[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01036] Re: 実行時にハッシュ値をチェック




岩本といいます。

> > >> Windows XP ではソフトウェアの制限ポリシーを利用すると、事前に
> > >> 登録(パス or ハッシュ値により確認)してあるプログラムのみ起動を
> > >> 許可するということが可能ですが、そういった機能を Linux 等で実
> > >> 現するツールなどは存在するのでしょうか?

最初これを読んだとき、rsh(remote shellじゃなくrestrict shellの方)
でいいのかなと思ったのですが、

> > そもそも何がやりたいかというと、例えば ps とか ls とか通常利用
> > するコマンドのハッシュ値を毎回起動時にチェックしてくれれば、仮
> > にコマンドが改ざんされていても検出できるんではないかと考えてい
> > ます。

こういう用途にはちょっと使えませんね。

> いっそのこと/boot,/sbin,/bin,/usrをread onlyでマウントしてはどうで
> しょう?fstabを書き換えればOKです
> 後はログを転送してrebootしたら警告メールを送ってファイル改竄とfstabを
> チェック。read onlyでマウントしていれば書き換え不可能でしょう。

FreeBSDだと、 mount -u / とかやるとread/write可能にmountし直す事が
できるのですが、Linuxだとどうなのでしょうか?

FreeBSDでコマンド等を改竄されないようにするのだったら、
書き換えられたくないファイルにchflagsでschgフラグをセットして変更不可にし、
schgフラグを外せないようにKernelのsecurelevelを1以上にします。

-- 
いわもとこういち(sue@xxxxxxxxx)
# なるようになれ、明日もイケイケ♪
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
                         ★ 一票いっとく? ★
            http://isweb.infoseek.co.jp/hp_daiou/?svx=971122