Articles précédents : Articles
- [3] Les premiers disques durs 'pixie dust' d'IBM
- [19] La machine à remonter le web
- [11] Linux Weekly News du 8 novembre 2001
- [10] Comment rédiger le certificat de décés de sa boiboite Linux
- [4] Des prototypes de G5 atteignent 2,4 GHz
- [71] Linus Torvalds : 'Tout le monde se plaint de Windows'
- [36] Zend Engine sous licence BSD
- [68] Nouvelle attaque sur le front des brevets logiciels
- [79] Des sous? non des logiciels...
- [37] Article a propos de conflit IPFRANCE.net I-FRANCE.com
Ce module dynamique du noyau permet d'obtenir un niveau de sécurité C2 pour notre OS préféré, en ajoutant des capacités d'audit et de détection d'intrusion au niveau 'host' (et non réseau comme des projets tel que Snort).
SNARE se compose d'un module noyau à installer ou à recompiler (snare-core) et d'une interface graphique (snare-gui) pour définir le paramétrage de l'audit et avoir un journal d'événements (voir screenshots très ressemblant au journal événement de NT).
![[en]](../../../images/en.png)
SNARE (1805 hits)-
Article sur NewsForge (527 hits)
> Lire la dépêche (18 commentaires, moyenne: 8,7).
les modules et la securite
franchement c'est pas un peu dangereux d'ajouter le support des modules dans le noyau etant donne tous les pbs dus aux rootkits qui justement utilisent le detournement des appels systemes par l'insertion de modules ?
je sais qu'il existe St Michael pour surveiller ca mais quand meme je me pose des questions
il s'agit donc de reduire son niveau de securite d'un cote pour l'augmenter de l'autre
au final, de quel cote penche la balance ?
-
[^]Re: les modules et la securite
Posté par Gaël Le Mignot (page perso, ) le 10/11/2001 à 15:52. (lien). Évalué à 17.A partir du moment où tu actives le support des modules dans le noyau, le risque d'un kernel-rootkit existe. Si tu veux éviter, la solution c'est un noyau monolithique, ce qui n'est pas forcément une bonne chose... et surtout qui est beaucoup plus compliqué à administrer.
Par exemple, si ton noyau est monolithique, tu ne peux rajouter de nouveaux modules pour Netfilter (un protocol helper, le module port-scan detection, ...) sans recompiler le noyau et rebooter la machine. Ca peut être très génant.-
[^]On peut charger des modules avec un noyau monolithique !
Posté par pappy (page perso, ) le 10/11/2001 à 16:25. (lien). Évalué à 48.Je dis HALTE : ce n'est pas parce que tu as compilé ton noyau sans le support des modules qu'il n'est pas possible d'insérer un module ou du code en mémoire !
Le support des modules donne accès à des utilitaires qui te permettent de charger/décharger des modules. Maintenant, si tu parviens à mettre du code dans la mémoire "kernel", les instructions seront exécutées quand même. Pour cela, il "suffit" d'attaquer le fichier /dev/kmem.
L'article qui explique ceci : http://www.big.net.au/~silvio/runtime-kernel-kmem-patching.txt(...)
Il date un peu, mais l'idée est encore très intéressante :)-
[^]Re: On peut charger des modules avec un noyau monolithique !
Posté par tfing () le 10/11/2001 à 17:47. (lien). Évalué à 19.juste pour clarifier les choses
supposons que mon kernel (un 2.4 vanilla) soit compile sans le support des modules, qu'un intrus ait reussi a s'introduire chez moi et qu'il ait tous les droits. d'apres l'article precedent, il pourrait donc charge du code en memoire
je suppose alors qu'il pourrait alors aussi detourner tous les appels systemes et tout ca sans passer par la fonction init_module
merci de me corriger si j'ai encore ecrit une connerie plus grosse que moi-
[^]Re: On peut charger des modules avec un noyau monolithique !
Posté par _PinG _ () le 10/11/2001 à 19:13. (lien). Évalué à 13.Tu ne te trompes pas, c'est parfaitement possible... /dev/kmem permet d'accéder à la zone mémoire contenant le noyeau chargé, et donc de jouer avec ca... tu peux le modifier, et tout et tout... De mémoire, il y a même un programme qui te permet de jouer avec, et ce, avec plein d'options... Mais je le retrouves plus :'(
-
[^]Re: On peut charger des modules avec un noyau monolithique !
Posté par Yéman () le 11/11/2001 à 13:40. (lien). Évalué à 7.je dis ptet une connerie mais, pour toucher au noyau ou/via la mémoire, faut être root... or si un "méchant" devient root sur une machine c'est qu'il y'a une faille de sécurité avant...
Une fois root c'est sûr qu'après il fait ce qu'il veut...
#dd bs=2048 if=/dev/zero of=/proc/kcore ... je vous le conseille...-
[^]Re: On peut charger des modules avec un noyau monolithique !
Posté par Gaël Le Mignot (page perso, ) le 11/11/2001 à 13:51. (lien). Évalué à 20.Le problème dont on parle dans ce thread, c'est les root-kits à base de modules noyaux. On se situe donc après qu'un pirate aie trouvé et exploité une faille. Le pirate possède donc un shell root, et veut:
1/ Faire en sorte que son intrusion ne soit pas détecter
2/ Se ménager une porte d'entrée facile, mais non détectable, et ceci même si le trou initial est patché.
Pour cela, il existe des "root-kits" qui remplacent certaines commandes (ls, md5sum, ...) pour que les fichiers modifiés apparaissent comme sains. Le fin du fin dans les rootkits est de faire un module noyau, totalement indétectable, qui "ment" aux applications pour que le système paraisse sain.
L'absence de support pour les modules dans le noyau rend ce travail plus difficile, mais pas impossinle comme l'a signalé Pappy plus haut.-
[^]pub
Posté par pappy (page perso, ) le 11/11/2001 à 14:22. (lien). Évalué à 16.<pub>
J'avais écrit un article là-dessus pour le HS de Linux Mag sur la sécurité. Il est en ligne :
http://minimum.inria.fr/~raynal/index.php3?page=404(...)
</pub>
-
-
-
-
-
-
[^]portscan detection
Posté par Alexandre T. () le 10/11/2001 à 19:26. (lien). Évalué à 10.ah tiens tu aurais des exemples d'utilisation du module portscan detection ? deja comment l'activer ? il faut compiler le module du kernel, et puis iptables aussi ?
-
[^]Re: portscan detection
Posté par Gaël Le Mignot (page perso, ) le 10/11/2001 à 21:50. (lien). Évalué à 13.Il y a un module pour le kernel et un pour iptables, le tout se trouve parmis la collection 'patch-o-matic' dans les sources d'iptables (make patch-o-matic)
La doc se trouve, toujours dans le package source d'ipables, dans le fichier patch-o-matic/psd.patch.help.
La syntaxe c'est
iptables -m psd [options] -j DROP
-
-
[+] Ca compile pas...
Ca compile pas :(
newton:/usr/src/snare/snare-core-0.8# make
gcc -c -g -O6 -DMODVERSIONS -Iinclude -DMODULE -D__KERNEL__ -DLINUX auditmodule.c
auditmodule.c:64: `spin_lock' redeclared as different kind of symbol
/usr/include/asm/spinlock.h:79: previous declaration of `spin_lock'
auditmodule.c: In function `auditmodule_read':
auditmodule.c:453: called object is not a function
auditmodule.c: In function `auditmodule_close':
auditmodule.c:603: called object is not a function
auditmodule.c: In function `audit_event':
auditmodule.c:1286: called object is not a function
auditmodule.c: In function `write_event':
auditmodule.c:1390: called object is not a function
auditmodule.c:1396: called object is not a function
auditmodule.c:1445: called object is not a function
auditmodule.c:1455: called object is not a function
auditmodule.c: In function `timeout':
auditmodule.c:1504: called object is not a function
make: *** [auditmodule] Error 1
-
[+] [^]Re: Ca compile pas...
Posté par Anonyme () le 11/11/2001 à 11:38. (lien). Évalué à -7.mais au lieu de scorer négativement, dites plutôt si ça compile ou si ça compile pas chez vous.. Quelle mentalité sur linuxfr !
-
[+] [^]Re: Ca compile pas...
Posté par Anonyme () le 13/11/2001 à 08:06. (lien). Évalué à -2.dites plutôt si ça compile ou si ça compile pas chez vous..
plutôt si ça compile ou si ça compile pas chez vous..
Avec de l'habitude, on s'apercoit que si on est
incapable de compiler ce genre d'outil, c'est qu'on
n'est pas suffisamment "hacker" et encore trop "cracker"
(encore des trucs à lire, faire etc...)
Par contre, si on y arrive finalement en cherchant, on y gagne
beaucoup!
C'est ainsi que se fait la selection
des outils "kifontdumal" d'une part largement
répandus et d'autre part tres bon...
Apres quelques modifications ça compile:
la structure redéfinie, je l'ai vu une bonne
douzaine de fois...
Ca marche a tout les coups avec les script-kiddies
pressé de péter le serveur de leur école.
ps: inutile de me demander les modifs à apporter
pps: je sais que ca va en enerver un paquet,
alors je poste en anonyme...
-
pas C2
ce n'est pas installer un module qui "permet d'obtenir un niveau de sécurité C2", ils disent sur le site "C2-style auditing/event logging capability"
Cette page a été générée par Templeet en 0.0924s (dont 0.0102 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.