[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01035] Re: 実行時にハッシュ値をチェック
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01035] Re: 実行時にハッシュ値をチェック
- From: ikari@xxxxxxxxx
- Date: Mon, 26 Nov 2001 13:54:32 +0900
碇です。
On Mon, 26 Nov 2001 11:29:40 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> さんは書きました:
>
>
>
> おはようございます、伊原です。
>
どうも。
> On Mon, 26 Nov 2001 11:02:16 +0900
> ikari@xxxxxxxxx wrote:
>
> >碇と申します。
>
> >> Windows XP ではソフトウェアの制限ポリシーを利用すると、事前に
> >> 登録(パス or ハッシュ値により確認)してあるプログラムのみ起動を
> >> 許可するということが可能ですが、そういった機能を Linux 等で実
> >> 現するツールなどは存在するのでしょうか?
> >
> >起動シェルを実行したいプログラムだけにするのは駄目でしょうか?
>
> おぉー、確かに起動を許可するのが一つだけであればいけますね。
>
> そもそも何がやりたいかというと、例えば ps とか ls とか通常利用
> するコマンドのハッシュ値を毎回起動時にチェックしてくれれば、仮
> にコマンドが改ざんされていても検出できるんではないかと考えてい
> ます。
>
> Windows 環境でこのような機能を実現する商用ソフトとしては、
> SecureEXE があります。
>
> http://www.securewave.com/products/secureexe/secure_exe.html
>
> 起動を許可する、しないを簡単に変更できるのであれば、例えば
> insmod コマンドを管理者が必要なときだけ起動を許可するコマンド
> とすれば LKM rootkit 対策へも通じるかなと...
> #登録した段階ですでに改ざんされてたらアウチですが:p
>
いっそのこと/boot,/sbin,/bin,/usrをread onlyでマウントしてはどうで
しょう?fstabを書き換えればOKです
後はログを転送してrebootしたら警告メールを送ってファイル改竄とfstabを
チェック。read onlyでマウントしていれば書き換え不可能でしょう。
perlでファイル改竄したら警告を出すスクリプトをちょっと書いてみたんですが
perl自体が安全かどうかわからない&バグが出たらえらい事になる。
でread onlyでマウントが一番手っ取りはやいと思います。
パッチあてのときが面倒ですが、楽だと思います。
急がず 焦らず 参ろうか
碇 永志
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
★ 一票いっとく? ★
http://isweb.infoseek.co.jp/hp_daiou/?svx=971122