From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <olli@simauto.ru>
Date: Wed, 25 Dec 2002 13:35:44 +0300
From: "Oleg K. Artemjev" <olli@simauto.ru>
To: community@altlinux.ru
Subject: Re: [Comm] Re[2]: [Comm] =?KOI8-R?B?7c/Wzs8gzMksIM7FINrOwdEg0tXUzw==?=
 =?KOI8-R?B?18/HzyDQwdLPzNEgySDCxdog0MXSxdrBx9LV2svJINc=?= single mode,
 =?KOI8-R?B?2sHK1Mkg1yDTydPUxc3VPw==?=
Message-Id: <20021225133544.1e47ad9b.olli@simauto.ru>
In-Reply-To: <4596.021225@taxpol.krasnoyarsk.su>
References: <3E095676.2080705@symmetron.msk.ru>
	<4596.021225@taxpol.krasnoyarsk.su>
X-Mailer: Sylpheed version 0.7.4 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20021225133544.1e47ad9b.olli@simauto.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Wed, 25 Dec 2002 14:19:09 +0700
aek <aek@taxpol.krasnoyarsk.su> wrote:

> >>где может быть дыра в системе. Нужно срочно всё залатать.
Грамотно поставленный и адаптированный под Вас руткит отловить 
достаточно сложно. Алгоритм за рамками данного треда. 

После установки руткита входить в систему человек может настолько 
по разному, что.. В общем от консоли сервера все лишние люди должны 
быть отлучены административными мерами (замок/охрана/наказания). 
Сервер подлежит перестановке с адекватными настройками, если Вы 
этого не сделаете - мучение паранойей обойдется нервам дороже. ;)

Как промежуточную и явно недостаточную меру рекомендую загрузку с 
имеющимся в комплекте в мастере ядром 2.2.чего-то с наложенными на 
него соларовскими патчами плюс тупенький скриптик отправляющий Вам 
все что приходит от *log* daemon на уровне kern.alert по мылу и sms.
Теоретически это может Вам помочь, если некто пользуется стандартным, 
неадаптированным под ow эксплойтом к дырявому софту Вашего сервера. =)
Ну или соберите ядро с kernel org положив на него grsecurity и все что 
Вам нужно из Alt'овских патчей. =) Ну и, наконец, действительно стоит 
проверить права на скрипты и утили исполняемые от рута системой - Вы и 
вправду можете оказаться сам себе злобный буратина. =)

PS: В общем путь паранойи перед Вами. :)

BTW: Кстати, господа разработчики, расскажите, есть ли какие либо причины
к тому, что Вы отказались пользоваться grsecurity для 2.4, но таки 
приложили openwall для 2.2?

-- 
Bye.Olli.			http://olli.digger.org.ru