LINUX.ORG.RU
ФорумSecurity

who и last -доверие

 


0

3

Команды who и last как мы знаем берут свой вывод из простых бинарных файлов, что ставит под сомнения их вывод.

Спорили с товарищем по этому поводу, возможно ли доверять этим командам в целом? Пришли к выводу что все будет конечно зависить от ситуации, если мы знаем что сервер скомпрометирован то тут уже никакого доверия быть не может. А как быть в более простых ситуациях? Должен ли админ в повседневной работе доверять их выводу? Что считаешь, ЛОР?

Альтернативы?



Последнее исправление: Klymedy (всего исправлений: 1)
Шифрование разделов через loop-AES
В ядре Linux выявлена уязвимость, которая может привести к локальному повышению привилегий

Вспомнился анекдот: никому нельзя верить, даже себе! Хотел ведь только пукнуть...

beastie ★★★★★
()

Команды who и last как мы знаем берут свой вывод из простых бинарных файлов, что ставит под сомнения их вывод.

берут вывод из простых бинарных файлов => их вывод под сомнением.

Сестра, требуется срочно перенести пациента в толксы для обследования на предмет тяжелых логических травм.

t184256 ★★★★★
()

Если сервер скомпрометирован так, что утекла учётка рута - ты не можешь доверять ничему из того что находится на этом сервере. Никаким данным, никаким логам.

Pinkbyte ★★★★★
()
Ответ на: комментарий от entefeed

Хочу сказать, что логический переход отсутствует. Вставь шага три промежуточных, тогда и будет о чем поговорить. Щас выглядит так, как будто ты пророчишь, что истина в текстовых файлах, а двоичные все врут. Или истина в троичных?

t184256 ★★★★★
()
Ответ на: комментарий от Pinkbyte

Это понятно, но а если мы представим следующие? 1. повседневная работа. 2. есть сервер, на котором происходят порой странные вещи, возможно он скомпрометирован (но точно неизвестно).

Интересует ваше поведение в даных ситуациях. Речь только о who, last.

hama
() автор топика
Ответ на: комментарий от Pinkbyte

Интересно, а есть ли хитрые руткиты, которые патчат ведро так, чтобы не было видно в /proc левых процессов?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

Смеешься? Конечно есть. Вполне себе в виде модуля ядра, который не видно по lsmod. А если ты попал в ядро - то дальше жопа ясна

Pinkbyte ★★★★★
()
Ответ на: комментарий от hama

Речь только о who, last.

Если речь только о том, кто и когда заходил на сервер, то без логирования этого на удаленный сервер гарантию дать нельзя.

И не важно в каком виде хранятся данные. Тот же systemd позволяет хранить логи с криптографической подписью, но во-первых, он такой не единственный, просто на сегодняшний день это самое распиаренное и продвигаемое решение, а во-вторых - это не панацея. Безусловно лучше, чем отсутствие таковой подписи вообще, но - не панацея.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Eddy_Em

Есть как userspace (LD_PRELOAD), так и kernelspace. Причем не только левых процессов не видно, но и сокетов, файлов. Могут еще PAM модифицировать так, чтобы можно было залогиниться под определенным логином удаленно.

ValdikSS ★★★★★
()

Вывод команд who и last в принцепе расчитан на честных людей, не важно, из простых файлов они это берут или из шифрованных. Они показывают информацию о тех, кто зашёл в систему открыто — получил сессию и сделал об этом запись в соотв. файлы. А, допустим, если дырка в php-скриптах, то при её эксплуатации никакой сессии не создаётся, в wtmpx ничего не пишется и ничего от туда удалять не надо.

доверять их выводу?

Если админ не параноик, то должен доверять, а если параноик, то всё одно ничему не поверит, в том числе и этому форуму.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Шифрование разделов через loop-AES
Security
В ядре Linux выявлена уязвимость, которая может привести к локальному повышению привилегий