Come catturare gli intrusi di sistemi Linux
notiziaNon c'è dubbio che Linux sia un sistema operativo sicuro. Tuttavia, nulla è perfetto. Milioni di linee di codice sono sfornate attraverso il kernel ogni secondo e basta un solo errore di programmazione per aprire una porta nel sistema operativo. Se quella linea di codice si trova ad affrontare Internet, questa è una backdoor del tuo server.
Gli occhi ce l'hanno
Le patch vengono spesso rilasciate più rapidamente e più spesso per i sistemi Linux di quanto non lo siano per i prodotti proprietari. Questo perché chiunque può dare un'occhiata al codice - e migliaia di sviluppatori lo fanno regolarmente. Questo approccio 'molti occhi', che è stato avanzato da Linus Torvalds, significa che i problemi come le porte di servizio si trovano di solito in fretta. Significa anche che le correzioni vengono rilasciate altrettanto rapidamente.
Di recente c'è stato un dibattito molto vocale sulla mailing list del kernel di Linux, con gli sviluppatori che discutevano se i bug di sicurezza che sono stati corretti dovessero essere annunciati e documentati formalmente. Torvalds crede che fare una grande canzone e ballare sui cerotti di sicurezza attiri l'attenzione dei miscredenti come le api al miele. Altri credono che tutto tranne la completa apertura vada contro la filosofia del Software Libero.
Il dibattito sta ancora bruciando, ma mentre i padroni del kernel Linux stanno decidendo su quale strada poter oscillare, c'è molto che si può fare per proteggere il sistema, anche se un servizio di connessione a Internet è in qualche modo compromesso.
Guardare le trappole con Tripwire
Tripwire genera checksum da tutti i binari essenziali in esecuzione sul tuo sistema. Ogni file ha un checksum completamente unico. Se un singolo bit di dati cambia nel file, il checksum generato sarà completamente diverso.
Questi checksum non possono essere incrinati o duplicati perché si basano su un metodo di crittografia collaudato. Usando questo database di checksum, Tripwire ricontrolla periodicamente il valore di ciascun file binario nel suo database. Se un file è stato modificato, il filo è scattato e viene segnalato un allarme.
Questo sistema è incredibilmente efficace, perché la prima cosa che un hacker di solito fa quando accede al tuo sistema è la sostituzione di file di sistema importanti con la loro versione. Questo è noto come "rootkit" e significa che l'hacker può sempre accedere al tuo sistema, anche dopo aver individuato e aggiornato il problema di sicurezza della "porta sul retro" originale.
Esistono vari strumenti che cercano la firma di un'installazione di rootkit, ma Tripwire prevarica questi strumenti catturando le modifiche al file system, si spera che prima possa essere utilizzato anche il rootkit. Per questo motivo, puoi trovare Tripwire nel repository di pacchetti di quasi tutte le distribuzioni Linux a cui possiamo pensare. Basta cercarlo e installarlo.
La difesa di Tripwire ha avuto un tale successo che una società proprietaria è stata lanciata sul retro del prodotto originale di Tripwire; entrambi sono chiamati in modo confuso Tripwire. Fortunatamente, tuttavia, la versione opensource del software è ancora popolare, nonostante il fatto che, come tutti gli strumenti di sicurezza di Linux, ci vuole uno sforzo considerevole per farlo funzionare.
La maggior parte di questo sforzo ha a che fare con la modifica di file di configurazione arcani. La scelta di Ubuntu o Debian può essere d'aiuto, poiché entrambe queste distribuzioni includono una procedura guidata di installazione rapida quando si installano i pacchetti. Abbiamo usato Ubuntu Hardy Heron nella seguente configurazione di esempio. Abbiamo anche fornito i comandi manuali per la configurazione se stai utilizzando una distribuzione diversa.
Assicurati che tutto ciò che deve essere installato sia installato. Se aggiungi altri pacchetti dopo l'installazione di Tripwire, dovrai passare attraverso una routine di riconfigurazione piuttosto complessa. Per questo motivo, è più semplice installare Tripwire dopo aver configurato e configurato il server esattamente come necessario.