|
|
(20 versioni intermedie di 4 utenti non mostrate) |
Riga 1: |
Riga 1: |
| Nell ultimo articolo eravamo rimasti ai RootKit , ma se siamo infetti come scoprirlo?
| | '''APT''' (acronimo di '''Advanced Packaging Tools''') è il sistema usato da Debian per gestire i [[pacchetto|pacchetti]] ed è nato per fornire un'interfaccia più amichevole a [[dpkg]], che invece si occupa di gestire i pacchetti a basso livello.<br/> |
| con il checksum dei binari di sistema , in questa guida vedremo come fare.
| | Grazie a questa interfaccia sono nati dei software, a linea di comando o a interfaccia grafica, che permettono all'utente di gestire facilmente i pacchetti; tra questi: |
| | * apt |
| | * [[aptitude]] |
| | * dselect |
| | * [[Apt-file: ricerca all'interno dei pacchetti|apt-file]] |
| | * [[Synaptic]] |
| | * [[gdebi]] |
| | * Software Center |
| | e molti altri. |
|
| |
|
| Partiamo dal presupposto che per poter mettere in atto quanto diremo da qui in poi abbiamo bisogno o di una macchina con os appena installato o dobbiamo essere sicuri al 300% che la nostra macchina non sia compromessa.
| | '''apt''' è una suite di programmi (contenuti nel pacchetto omonimo) che utilizzano l'Advanced Packaging Tools. Questa suite contiene i comandi: |
| Partiamo con lo scaricarci uno di questi 2 software AFICK AIDE (si veda fondo pagina per i link).
| | * [[apt-cache]] |
| | * [[apt-cdrom]] |
| | * [[apt-config]] |
| | * [[apt-get]] |
| | * [[apt-key]] |
| | * [[apt-mark]] |
|
| |
|
| Il bello di questi programmi e che oltre che calcore il checksum dei binari , possono controllare gli accessi , i permessi , il numero di link simbolici e tanto altro ancora,per questa guida io mi basero' su AFICK , a noi interessa il file afick.pl e afick.conf il suo file di configurazione.
| | '''apt''', dalla versione 1.0 del pacchetto omonimo, presente a partire da Debian 8 ([[Jessie]]), contiene anche un comando (<code>/usr/bin/apt</code>) che permette un diverso approccio per ciò che concerne le operazioni (per ora di base) sui pacchetti. Per maggiori informazioni si legga: [[Apt|Guida ad apt]].<br/> |
| mettiamo questi 2 file in /root e prepariamoci per modificare il file di conf per esempio:
| | Si propone come un comando che in futuro riunirà funzionalità fornite da pacchetti e comandi diversi. Un po' come accade già con [[aptitude]]. |
|
| |
|
| <pre>
| |
| # esempio di file di conf
| |
| database:=./afick
| |
| warn_dead_symlinks := yes
| |
| exclude_suffix := wav WAV mp3 avi
| |
| =/ d+i+p+u+g
| |
| =/bin p+n+b+m+c+md5
| |
| =/sbin p+n+b+m+c+md5
| |
| =/usr/sbin p+n+b+m+c+md5
| |
| =/usr/bin p+n+b+m+c+md5
| |
| </pre>
| |
|
| |
|
| dopo aver controllato che la prima riga di afick.pl contenga la locazione precisa dell eseguibile Perl , possiamo passare a inizializzare il database dei nostri binari,
| | {{ box | Tratto da : [http://www.debian.org/doc/manuals/apt-howto/ch1.it.html APT HOWTO]| |
| digitiamo da console quanto segue:
| | ''In principio esistevano i .tar.gz. Gli utenti dovevano compilare ogni programma che volevano usare sui loro sistemi GNU/Linux. Quando fu creata Debian, fu ritenuto necessario che il sistema incorporasse un metodo di gestione dei pacchetti installati sulla macchina. A questo sistema fu dato il nome ''dpkg''. Fu così che nacque il famoso "pacchetto" nel mondo GNU/Linux, poco prima che Red Hat decidesse di creare il proprio "rpm".'' |
|
| |
|
| <pre>
| | ''Rapidamente un nuovo dilemma si fece strada nelle menti degli sviluppatori di GNU/Linux. A loro serviva un modo rapido, pratico ed efficiente per installare i programmi, che gestisse automaticamente le dipendenze e che avesse cura di mantenere i file di configurazione esistenti mentre si effettuavano i vari aggiornamenti. Ancora una volta Debian ha aperto la strada dando vita a APT (Advanced Packaging Tool), che poi è stato adattato da Conectiva per usarlo insieme a rpm e in seguito è stato adottato anche da altre distribuzioni. '' |
| # ./afick.pl -c afick.conf -i
| | }} |
| </pre>
| |
|
| |
|
| bene cosi' abbiamo creato il nostro database di sistema , ora facciamo passare un po di tempo e poi controlliamo come va'
| |
|
| |
|
| <pre>
| | ''Voci correlate sul Wiki'': |
| # ./afick.pl -c afick.conf -k
| |
| </pre>
| |
|
| |
|
| se non abbiamo modificato nessun binari inserito nel file di configurazione dovrebbe apparirci in risposta dal programma:
| | * [[Introduzione all'APT System]] |
| | | [[Categoria:Glossario]] |
| <pre>
| |
| Hash Database : numero file scanned 0 changed ecc
| |
| </pre>
| |
| | |
| bene ora proviamo a modificare qualche file, banalmente:
| |
| | |
| <pre>
| |
| # touch /sbin/lilo
| |
| # ln-s /sbin/sulogin /usr/sbin/sulogin
| |
| </pre>
| |
| | |
| ora rieseguiamo il controllo come prima, questa volta in risposta avremmo:
| |
| | |
| <pre>
| |
| new symbolic link : /usr/sbin/sulogin
| |
| changed file : /sbin/lilo
| |
| changed directory :/usr/sbin
| |
| </pre>
| |
| | |
| seguito dai dettagli delle varie operazioni compiute.
| |
| | |
| Dal momento che sappiamo che queste modifiche le abbiamo fatte noi
| |
| ora dobbiamo riaggiornare il database:
| |
| | |
| <pre>
| |
| # ./afick.pl -c afick.conf -u
| |
| </pre>
| |
| | |
| ora sappiamo usare il nostro Monitor di sistema.
| |
| | |
| Uun consiglio che mi sento di darvi e di aggiungere un controllo al db tramite cron in base all uso della macchina ogni giorno ogni 2 ore vedete voi.
| |
| | |
| ==Non � finita qui==
| |
| Credete che questo basti, invece no' pensate un momento se un hacker riuscisse a penetrare il vostro sistema, anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare la root potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sara' la base per un prossimo articolo e si chiama RFC e GRSEC
| |
| | |
| | |
| ==Link==
| |
| | |
| http://www.afick.sourceforge.net
| |
| http://www.cs.tut.fi/~rammer/aide.html
| |
| | |
| Un consiglio scaricate pure chkrootkit e aggiungetelo al cron insieme al tool per il controllo da voi scelto.
| |
| | |
| http://www.chkrootkit.org
| |
| | |
| ----
| |
| Autore: debian
| |
| [[Categoria:Sistema]]
| |
| [[Categoria:Networking]] | |