Bonjour a tous,
Je souhaiterai savoir ce qu'il en est aujourd'hui de la commande lsattr
et chattr
Est ce qu elle est encore bcp utilisée ? Cette commande a l air tres
interessante notamment pour ce qui est de la protection....
Bonjour a tous,
Je souhaiterai savoir ce qu'il en est aujourd'hui de la commande lsattr
et chattr
Est ce qu elle est encore bcp utilisée ? Cette commande a l air tres
interessante notamment pour ce qui est de la protection....
Bonjour a tous,
Je souhaiterai savoir ce qu'il en est aujourd'hui de la commande lsattr
et chattr
Est ce qu elle est encore bcp utilisée ? Cette commande a l air tres
interessante notamment pour ce qui est de la protection....
Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens bien) sur
ma clé privée ssh.
Pour ceux qui ont système de sauvegarde via dump le +d peut sembler utile
(je n'ai jamais tésté).
Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens bien) sur
ma clé privée ssh.
Pour ceux qui ont système de sauvegarde via dump le +d peut sembler utile
(je n'ai jamais tésté).
Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens bien) sur
ma clé privée ssh.
Pour ceux qui ont système de sauvegarde via dump le +d peut sembler utile
(je n'ai jamais tésté).
Salut,Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens bien) sur
ma clé privée ssh.
+a et +u (undeletable) sont aussi TRES TRES interessant pour des fichiers
comme .bash_history ou les fichiers de logs...
Salut,
Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens bien) sur
ma clé privée ssh.
+a et +u (undeletable) sont aussi TRES TRES interessant pour des fichiers
comme .bash_history ou les fichiers de logs...
Salut,Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens bien) sur
ma clé privée ssh.
+a et +u (undeletable) sont aussi TRES TRES interessant pour des fichiers
comme .bash_history ou les fichiers de logs...
Bertrand wrote:Salut,Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens
bien) sur ma clé privée ssh.
+a et +u (undeletable) sont aussi TRES TRES interessant pour des
fichiers comme .bash_history ou les fichiers de logs...
Même si je ne nie pas l'utilité de ces drapeaux dans le cas de SK ou
de scripts permettant de cacher ou faire disparaitre ses traces sur un
serveur, dans le pire des cas cela ne fera que ralentir l'intru.
Ce qui peut-être fait peut-être défait (bien souvent).
Effacer chattr n'est surmeent pas la bonne solution. Existe-t-il un
drapeau dans /proc qu'on pourrait mettre à 1 et qui empêcherait
l'utilisation l'ioctl de changement des ces flags ?
Dernières questions.
Est-ce qu'un trace dans les logs est générée lorsque qu'on tente une
action sur le fichier qui est interdite par un drapeau ?
Connaissez vous une distribution utilisant ses drapeaux dans son
installation par défaut ?
Une URL sur une doc ou un article à propos de chattr ?
Bertrand wrote:
Salut,
Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens
bien) sur ma clé privée ssh.
+a et +u (undeletable) sont aussi TRES TRES interessant pour des
fichiers comme .bash_history ou les fichiers de logs...
Même si je ne nie pas l'utilité de ces drapeaux dans le cas de SK ou
de scripts permettant de cacher ou faire disparaitre ses traces sur un
serveur, dans le pire des cas cela ne fera que ralentir l'intru.
Ce qui peut-être fait peut-être défait (bien souvent).
Effacer chattr n'est surmeent pas la bonne solution. Existe-t-il un
drapeau dans /proc qu'on pourrait mettre à 1 et qui empêcherait
l'utilisation l'ioctl de changement des ces flags ?
Dernières questions.
Est-ce qu'un trace dans les logs est générée lorsque qu'on tente une
action sur le fichier qui est interdite par un drapeau ?
Connaissez vous une distribution utilisant ses drapeaux dans son
installation par défaut ?
Une URL sur une doc ou un article à propos de chattr ?
Bertrand wrote:Salut,Perso j'utilise le mode +a (append)pour .ssh/authorized_keys et
.ssh/known_hosts ainsi que le mode +i (imuable si je me souviens
bien) sur ma clé privée ssh.
+a et +u (undeletable) sont aussi TRES TRES interessant pour des
fichiers comme .bash_history ou les fichiers de logs...
Même si je ne nie pas l'utilité de ces drapeaux dans le cas de SK ou
de scripts permettant de cacher ou faire disparaitre ses traces sur un
serveur, dans le pire des cas cela ne fera que ralentir l'intru.
Ce qui peut-être fait peut-être défait (bien souvent).
Effacer chattr n'est surmeent pas la bonne solution. Existe-t-il un
drapeau dans /proc qu'on pourrait mettre à 1 et qui empêcherait
l'utilisation l'ioctl de changement des ces flags ?
Dernières questions.
Est-ce qu'un trace dans les logs est générée lorsque qu'on tente une
action sur le fichier qui est interdite par un drapeau ?
Connaissez vous une distribution utilisant ses drapeaux dans son
installation par défaut ?
Une URL sur une doc ou un article à propos de chattr ?
Faut-il encore être root, car ces attributs ne sont modifiables que par
root. Du moins pour les attributs les plus intéressants (+i,+a, ...).
De plus faut-il connaître cette fonctionnalité des systèmes de fichiers
ext2/3, ce qui est rarement le cas.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple) permet
de limiter l'utilisation de ces attributs et de ceux qui peuvent les
modifier.
Une URL sur une doc ou un article à propos de chattr ?
Le man ? :) Car que dire de plus sur son utilisation simple.
Faut-il encore être root, car ces attributs ne sont modifiables que par
root. Du moins pour les attributs les plus intéressants (+i,+a, ...).
De plus faut-il connaître cette fonctionnalité des systèmes de fichiers
ext2/3, ce qui est rarement le cas.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple) permet
de limiter l'utilisation de ces attributs et de ceux qui peuvent les
modifier.
Une URL sur une doc ou un article à propos de chattr ?
Le man ? :) Car que dire de plus sur son utilisation simple.
Faut-il encore être root, car ces attributs ne sont modifiables que par
root. Du moins pour les attributs les plus intéressants (+i,+a, ...).
De plus faut-il connaître cette fonctionnalité des systèmes de fichiers
ext2/3, ce qui est rarement le cas.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple) permet
de limiter l'utilisation de ces attributs et de ceux qui peuvent les
modifier.
Une URL sur une doc ou un article à propos de chattr ?
Le man ? :) Car que dire de plus sur son utilisation simple.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple)
permet de limiter l'utilisation de ces attributs et de ceux qui peuvent
les modifier.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple)
permet de limiter l'utilisation de ces attributs et de ceux qui peuvent
les modifier.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple)
permet de limiter l'utilisation de ces attributs et de ceux qui peuvent
les modifier.
Faut-il encore être root, car ces attributs ne sont modifiables que
par root. Du moins pour les attributs les plus intéressants (+i,+a,
...).
De plus faut-il connaître cette fonctionnalité des systèmes de
fichiers ext2/3, ce qui est rarement le cas.
Je ne pense pas que cela soit une excuse suffisante.
Par exemple, si peut/veut modifié les fichiers de logs ou changer un
binaire c'est très certainement qu'on est root.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple)
permet de limiter l'utilisation de ces attributs et de ceux qui
peuvent les modifier.
Bah j'ai cherché dans la conf et dans le patch et j'ai rien trouvé.
Sur mon système, qui n'a peut-être pas la bonne option activée, un
test rapide genre:
# touch REMOVEME
# chattr +i REMOVEME
# rm REMOVEME
rm: remove write-protected file `REMOVEME'? y
rm: cannot unlink `REMOVEME': Operation not permitted
#
ne génère aucune trace dans les logs...
Une URL sur une doc ou un article à propos de chattr ?
Le man ? :) Car que dire de plus sur son utilisation simple.
Je pensais plus à des cas pratiques déjà rencontré par des
utilisateurs avec une application précise (genre les exemples avec
ssh dans les posts précédents).
Ces attributs sont interessants contre des fausses manipulations, même
du root, mais d'un point de vue sécurité je ne trouve pas que cela
apporte grand chose (dans l'état actuel).
Faut-il encore être root, car ces attributs ne sont modifiables que
par root. Du moins pour les attributs les plus intéressants (+i,+a,
...).
De plus faut-il connaître cette fonctionnalité des systèmes de
fichiers ext2/3, ce qui est rarement le cas.
Je ne pense pas que cela soit une excuse suffisante.
Par exemple, si peut/veut modifié les fichiers de logs ou changer un
binaire c'est très certainement qu'on est root.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple)
permet de limiter l'utilisation de ces attributs et de ceux qui
peuvent les modifier.
Bah j'ai cherché dans la conf et dans le patch et j'ai rien trouvé.
Sur mon système, qui n'a peut-être pas la bonne option activée, un
test rapide genre:
# touch REMOVEME
# chattr +i REMOVEME
# rm REMOVEME
rm: remove write-protected file `REMOVEME'? y
rm: cannot unlink `REMOVEME': Operation not permitted
#
ne génère aucune trace dans les logs...
Une URL sur une doc ou un article à propos de chattr ?
Le man ? :) Car que dire de plus sur son utilisation simple.
Je pensais plus à des cas pratiques déjà rencontré par des
utilisateurs avec une application précise (genre les exemples avec
ssh dans les posts précédents).
Ces attributs sont interessants contre des fausses manipulations, même
du root, mais d'un point de vue sécurité je ne trouve pas que cela
apporte grand chose (dans l'état actuel).
Faut-il encore être root, car ces attributs ne sont modifiables que
par root. Du moins pour les attributs les plus intéressants (+i,+a,
...).
De plus faut-il connaître cette fonctionnalité des systèmes de
fichiers ext2/3, ce qui est rarement le cas.
Je ne pense pas que cela soit une excuse suffisante.
Par exemple, si peut/veut modifié les fichiers de logs ou changer un
binaire c'est très certainement qu'on est root.
Non. Mais l'utilisation d'un kernel patché avec grsec (par exemple)
permet de limiter l'utilisation de ces attributs et de ceux qui
peuvent les modifier.
Bah j'ai cherché dans la conf et dans le patch et j'ai rien trouvé.
Sur mon système, qui n'a peut-être pas la bonne option activée, un
test rapide genre:
# touch REMOVEME
# chattr +i REMOVEME
# rm REMOVEME
rm: remove write-protected file `REMOVEME'? y
rm: cannot unlink `REMOVEME': Operation not permitted
#
ne génère aucune trace dans les logs...
Une URL sur une doc ou un article à propos de chattr ?
Le man ? :) Car que dire de plus sur son utilisation simple.
Je pensais plus à des cas pratiques déjà rencontré par des
utilisateurs avec une application précise (genre les exemples avec
ssh dans les posts précédents).
Ces attributs sont interessants contre des fausses manipulations, même
du root, mais d'un point de vue sécurité je ne trouve pas que cela
apporte grand chose (dans l'état actuel).
Je ne pense pas que cela soit une excuse suffisante. Par exemple, si
peut/veut modifié les fichiers de logs ou changer un binaire c'est
très certainement qu'on est root.
Bah j'ai cherché dans la conf et dans le patch et j'ai rien trouvé.
Sur mon système, qui n'a peut-être pas la bonne option activée, un
test rapide genre:
...
ne génère aucune trace dans les logs...
Je pensais plus à des cas pratiques déjà rencontré par des
utilisateurs avec une application précise (genre les exemples avec ssh
dans les posts précédents).
Ces attributs sont interessants contre des fausses manipulations, même
du root, mais d'un point de vue sécurité je ne trouve pas que cela
apporte grand chose (dans l'état actuel).
Je ne pense pas que cela soit une excuse suffisante. Par exemple, si
peut/veut modifié les fichiers de logs ou changer un binaire c'est
très certainement qu'on est root.
Bah j'ai cherché dans la conf et dans le patch et j'ai rien trouvé.
Sur mon système, qui n'a peut-être pas la bonne option activée, un
test rapide genre:
...
ne génère aucune trace dans les logs...
Je pensais plus à des cas pratiques déjà rencontré par des
utilisateurs avec une application précise (genre les exemples avec ssh
dans les posts précédents).
Ces attributs sont interessants contre des fausses manipulations, même
du root, mais d'un point de vue sécurité je ne trouve pas que cela
apporte grand chose (dans l'état actuel).
Je ne pense pas que cela soit une excuse suffisante. Par exemple, si
peut/veut modifié les fichiers de logs ou changer un binaire c'est
très certainement qu'on est root.
Bah j'ai cherché dans la conf et dans le patch et j'ai rien trouvé.
Sur mon système, qui n'a peut-être pas la bonne option activée, un
test rapide genre:
...
ne génère aucune trace dans les logs...
Je pensais plus à des cas pratiques déjà rencontré par des
utilisateurs avec une application précise (genre les exemples avec ssh
dans les posts précédents).
Ces attributs sont interessants contre des fausses manipulations, même
du root, mais d'un point de vue sécurité je ne trouve pas que cela
apporte grand chose (dans l'état actuel).
Le même type de test rapide :
:/tmp# rm pwet
:/tmp# :>pwet
:/tmp# chattr +i pwet
chattr: Operation not permitted while setting flags on pwet
:/tmp# dmesg|tail -1
grsec: From 192.168.150.3: use of CAP_LINUX_IMMUTABLE denied for
(chattr:30312) UID(0) EUID(0), parent (bash:30130) UID(0) EUID(0)
Vos ACLs ont-ils été chargé et configuré correctement ?
Le même type de test rapide :
root@pegase:/tmp# rm pwet
root@pegase:/tmp# :>pwet
root@pegase:/tmp# chattr +i pwet
chattr: Operation not permitted while setting flags on pwet
root@pegase:/tmp# dmesg|tail -1
grsec: From 192.168.150.3: use of CAP_LINUX_IMMUTABLE denied for
(chattr:30312) UID(0) EUID(0), parent (bash:30130) UID(0) EUID(0)
Vos ACLs ont-ils été chargé et configuré correctement ?
Le même type de test rapide :
:/tmp# rm pwet
:/tmp# :>pwet
:/tmp# chattr +i pwet
chattr: Operation not permitted while setting flags on pwet
:/tmp# dmesg|tail -1
grsec: From 192.168.150.3: use of CAP_LINUX_IMMUTABLE denied for
(chattr:30312) UID(0) EUID(0), parent (bash:30130) UID(0) EUID(0)
Vos ACLs ont-ils été chargé et configuré correctement ?