linux user group brescia
immagine del castello

Archivio della mailing list

Curiosita` varie: 01 - log-file di sistema

Maurizio Paolini paolini a dmf.bs.unicatt.it
Lun 19 Feb 2001 11:33:15 UTC 
> "Takedown", pag. 30:
>
> >    Quando  gli  intrusi  si  infiltrano  nei  computer  tramite
> > Internet,  una delle misure standard  che  mettono in  atto per
> > eludere  la  sorveglianza consiste nel cancellare le tracce che
> > hanno lasciato  nel  computer depredato.  Di solito entrano nei
> > file-diario, che vengono aggiornati automaticamente dal sistema
> > operativo,  nei quali sono riportati tutti i dati relativi alle
> > connessioni  al  sistema dall'esterno,  e  cancellano  le  voci
> > relative alla loro attivita` criminosa.
> >    Ma  cio'  determina una situazione  che pochi ciberspioni si
> > soffermano  a  prendere in considerazione:  cancellando le voci
> > relative alla loro attivita`, il file risulta piu` corto.
>
>    Tre pagine prima, diceva:
>
> >    La mia rete e` configurata in modo tale da produrre e tenere
> > continuamente aggiornato un file-diario che riporta l'elenco di
> > tutti i collegamenti dal mondo esterno:  c'e` scritto chi si e`
> > collegato  e  a  che ora.  Quattro volte  al giorno l'elenco di
> > queste informazioni viene automaticamente inviato a un computer
> > esterno controllato  da  Andrew.  E` ovvio che,  ogni volta che
> > viene inviato,  l'elenco deve essere uguale  o piu` lungo della
> > volta precedente.  Se  si  era accorciato,  la conclusione piu`
> > logica era che qualcuno aveva cercato di cancellarne una parte.
>
>    Scusate, ma faccio fatica a capire il senso di  questi  passi.
> L'unica spiegazione logica che mi viene  in  mente  e`  che,  dal
> momento che i log vengono spediti quattro volte al  giorno,  c'e`

C'e' il solito problema di rendere in poche parole qualcosa che di
per se' non e' cosi' semplice.  Intanto quello che dici e' giusto:
se l'intruso modifica solo la parte finale del "log", che ancora
non era stata spedita ad "Andrew", col cavolo che Andrew se ne accorge!

Dopodiche' il senso e' che si vuole sfruttare il fatto che un file
di "log" puo' solo "allungarsi", e questo permette un piccolo controllo
in piu' (che pero' becca l'intruso solo se quest'ultimo e' particolarmente
sfortunato).

La cosa migliore da fare e' invece (come dice Giuzzi) cambiare i
permessi del file di log in modo che sia "append only".  Questo puo'
essere fatto in modo tale che non si possa piu' cambiare l'attributo
nemmeno da "root".  Ancora meglio: mandare direttamente i log in stampa,
come si faceva una volta (o in alternativa mandarli su un dispositivo
di "sola scrittura").

>    (avevo pensato alla conversione 0d0a -> 0a tra ms-dos e  Unix,
> ma qua si sta parlando di Unix e basta... mah...)

No, questo non c'entra nulla.

mp

Maggiori informazioni sulla lista Lug