linux user group brescia

>
>  Domanda: esiste un comando/utility/qualcosaltro che ti permette di entrare
> in "browse" sul flusso di dati che scorre in una tty ?
ttysnoop

>  Hai presente quelle cose "da film" per cui il ragazzino cracker entra nel
> sistema bersaglio ed i sistemisti, dall'altra parte, vedono tutto quello che
> sta facendo ma (forse perchè in browsing) non riescono a fare nulla ?
>
Beh... se qualcuno entra sul sistema la soluzione piu' immediata e'
 di scollegare il cavo di rete ;)

>  Non sò... mi viene in mente una specie di "splitter" logico (o sniffer, che
> dir si voglia) da lanciare sulla macchina locale che riproduca su una mia
> console quello che sta facendo "root" (il cracker) sulla sua connessione
> Telnet/FTP/cheneso individuata tramite ps.

Una nota: piuttosto che vedere cosa succede su un terminale virtuale
 con ttysnoop puo' essere utile intercettare il flusso di dati in
 entrata/uscita tramite uno sniffer (tcpdump, ethereal, ipmon, etc. )

>
>  Ho visto che è possibile far partire, al momento della connessione di
> qualsiasi utente (quindi anche root), una utility che registra tutto quello
> che viene fatto (script) ed usando script+tail è possibile mettere in piedi
> qualcosa del genere: ci ho provato e funziona, sempre che il cracker non
> butti giù il processo script... ma mi pare che in quel caso si
> "suiciderebbe" anche lui dato che gira "dentro" lo stesso processo.
No... non e' cosi' semplice... quello che tu vuoi fare e' una `prigione'
 per l'intruso... jail(2) [ops... questa chiamata c'e' solo sotto OpenBSD]
 Esistono molti modi per implementarla, ma un intruso abbastanza furbo
 e capace solitamente riesce ad uscire (vedi bachi di wu-ftpd, per 
 esempio). L'unico modo relativamente sicuro parrebbe essere di avere
 un kernel che gira in user mode e sotto emulazione (tipo uml, ma
 anche plex86) senza accesso in alcun modo all'hardware... d'altro canto
 ho visto idee per forzare anche questo tipo di setup, per cui e' bene
 essere MOLTO prudenti...


Ciao,
 lg

>