Überlegungen zu chkrootkit und Automatisierung

Stefan Ulrich Hegner stefan at hegner-online.de
Fri Feb 6 12:02:44 CET 2004 

Moin,

aus gegebenem Anlass (siehe "gehackt" thread von gestern) hab' ich mir
auch nochmal über chkrootkit Gedanken gemacht.

Dabei scheinen für mich - wenn ich das irgendwie als routinemäßigen
Gesundheitscheck automatisieren will - v.a. zwei Gedanken im vordergrund
zu stehen:

1. Verwendung von geschützten Binaries
2. Art des periodischen Aufrufs

zu 1:
Sicher ist es eine relativ sichere Methode was die Datenintegrität
angeht die binaries von chkrootkit und der benötigten anderen Progs
(awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed,
uname) auf eine CD zu backen und die im Rechner zu lassen.

Hier kann ein potentieller Angreifer zwar nicht die Binaries verändern.
- Er könnte aber am den Mountpoint was anderes hängen mit korrupten
Binaries.

... Ist also auch nicht sooooo sicher. Außerdem wär' es mir lieber statt
ein CD Laufwerk zu blockieren, das irgendwie anders zu regeln. Nur wenn
ich USB-Sticks verwende oder die Dateien doch irgendwo auf einer Platte
im Filesystem habe kann ich mir bezügl. der Datenintegrität nicht so
sicher sein.

Eine Containerdatei mit einem Crypto-fs wäre da besser ... nur da das PW
eingegeben werden muss, hilft das nix zur Automatisierung.

... wahrscheinlich ist es da u.U. einfacher (und ähnlich wirksam) die
binaries mit gpg zu signen und die sig zu prüfen, oder?

Mich würd' interessieren, ob von Euch sich hierzu schon mal Gedanken
gemacht hat und zu passablen Ergebnissen gekommen ist.

zu 2:
Sicher ist es das einfachste, den Aufruf von chkrootkit über cron zu
machen. - Nur wenn ich der Angreifer wäre, wär die crontab eine der
Dateien, die ich mir relativ zuerst anschauen würde. Und wenn dort
(direkt oder über ein shellscript) chkrootkit aufgerufen würde wär das
etwas, woran ich zuerst "arbeiten" würde. Ob das crontab eines
nichtprivilegierten Users da so viel besser ist ... weiß nicht. Auch der
at-daemon scheint keine wirkliche Alternative zu sein.

Mit meinem derzeitigen Erkenntnisstand würde ich die Sache vermutlich so
angehen: 
- binaries in ein loop-fs container packen, den mit gpg signen
- ein script mit "harmlosem Namen" basteln welches die Integrität des
containers mittels gpg prüft ihn als loop-fs mountet und dann chkrootkit
anstubst und die Ergebnisse in eine Mail packt
- dieses script vom root-crontab (wg. mount - ich will nix in die fstab
eintragen müssen) aus aufrufen, getarnt mit ein paar unverfänglichen
Kommentaren 

... wirklich "wasserdicht" ist das sicher nicht ... aber eine wesentlich
bessere Idee habe ich auch nicht.

... schreibt mir doch mal, wie Ihr sowas anpackt!

Gruß

Stefan.


-- 
/ Stefan Ulrich Hegner aka "Hegi" - Loehne/ Westfalen - Germany \
| stefan at hegner-online.de, my Cyberhome http://www.hegner-web.de|
\ GPG-Fprint D9DB 51BD 2DA6 9B3A 41CB  0287 05A1 8D11 38BA CE91 /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Dies ist ein digital signierter Nachrichtenteil
URL: <http://lug-owl.de/pipermail/linux/attachments/20040206/23489b5f/attachment.sig>

More information about the Linux mailing list