[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01040] Re: 実行時にハッシュ値をチェック
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01040] Re: 実行時にハッシュ値をチェック
- From: Delta <ml@xxxxxxxxxx>
- Date: Tue, 27 Nov 2001 15:21:03 +0900
こんにちはデルタです。
On Tue, 27 Nov 2001 12:34:08 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
> コマンドが改ざんされていないかをチェックするのには、Tripwire とか
> 使えばいいんですが、絶対パス使わずに ps とか打って、/tmp/evil/ps
> が実行されるのを、ハッシュチェックさせてれば防げるはずなので、そ
> いう機能を実現するツールなどがないものかなと...
「which ps」と打てばpsへのパスが出ます。
たとえばベースラインデータベースに「/bin」あたりを登録しておいて、、、
・コマンド実行。
・which コマンドでパスを調べる。
※ここでpsなら/bin/psが求められる。rootkitを入れられるとそれ以外の戻
り値になるのでしょうか、、、?
・tripwireで指定されたファイル(上記の例なら/bin/ps)を検証する。
・問題なければ、そのままpsコマンドを実行。問題があれば実行しない。
上記のようなプログラムを作れば実現できそうですね。
問題はたとえばポリシーを「/bin->$(ReadOnly)」と定義している状態で、
「/bin/ps」だけを検査できるかどうかってところですかね。それが実現でき
れば、Perlのプログラムでも作れそうな気がします。
---
Delta<ml@xxxxxxxxxx>
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
★ 一票いっとく? ★
http://isweb.infoseek.co.jp/hp_daiou/?svx=971122