Seguraça extrema com LIDS

y2h4ck

Este artigo nos introduz ao LIDS (Linux Intrusion Detection System), um sistema robusto que aplicado como patch no kernel nos oferece recursos extremos de configurações de segurança do sistema operacional.

[ Hits: 52.118 ]

Por: Anderson L Tamborim em 21/02/2004 | Blog: http://y2h4ck.wordpress.com

0 0

Denuncie Favoritos Indicar Impressora

Configurações básicas para o sistema

Configuração de proteção para o Sistema:

# Protect System Binaries
#
/sbin/lidsconf -A -o /sbin -j READONLY
/sbin/lidsconf -A -o /bin -j READONLY

# Protect all of /usr and /usr/local
# (This assumes /usr/local is on a separate file system).
#
/sbin/lidsconf -A -o /usr -j READONLY
/sbin/lidsconf -A -o /usr/local -j READONLY

# Protect the System Libraries
#(/usr/lib is protected above since /usr/lib generally isn't
# on a separate file system than /usr)
#
/sbin/lidsconf -A -o /lib -j READONLY

# Protect /opt
#
/sbin/lidsconf -A -o /opt -j READONLY

# Protect System Configuration files
#
/sbin/lidsconf -A -o /etc -j READONLY
/sbin/lidsconf -A -o /usr/local/etc -j READONLY
/sbin/lidsconf -A -o /etc/shadow -j DENY
/sbin/lidsconf -A -o /etc/lilo.conf -j DENY

# Enable system authentication
#
/sbin/lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /usr/bin/vlock -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /bin/su -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /bin/su -o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /bin/su -o CAP_SETGID -j GRANT

# Protect the boot partition
#
/sbin/lidsconf -A -o /boot -j READONLY

# Protect root's home dir, but allow bash history
#
/sbin/lidsconf -A -o /root -j READONLY
/sbin/lidsconf -A -s /bin/bash -o /root/.bash_history -j WRITE

# Protect system logs
#
/sbin/lidsconf -A -o /var/log -j APPEND
/sbin/lidsconf -A -s /bin/login -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /bin/login -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /sbin/init -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /sbin/init -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /sbin/halt -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /sbin/halt -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysinit -o /var/log/wtmp -i 1 -j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysinit -o /var/log/lastlog -i 1 -j WRITE

# Startup
#
/sbin/lidsconf -A -s /sbin/hwclock -o /etc/adjtime -j WRITE

# Shutdown
#
/sbin/lidsconf -A -s /sbin/init -o CAP_INIT_KILL -j GRANT
/sbin/lidsconf -A -s /sbin/init -o CAP_KILL -j GRANT

# Give the following init script the proper privileges to kill
# processes and unmount the file systems. However, anyone who can
# execute these scripts by themselves can effectively kill your
# processes. It's better than the alternative, however.
#
# Any ideas on how to get around this are welcome!
#
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_INIT_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_NET_ADMIN -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_SYS_ADMIN -i 1 -j GRANT

# Other
#
/sbin/lidsconf -A -s /sbin/update -o CAP_SYS_ADMIN -j GRANT

Segurança para Apache:

/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o CAP_SETGID -j GRANT

# Config files
/sbin/lidsconf -A -o /etc/httpd -j DENY
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /etc/httpd -j READONLY

# Server Root
/sbin/lidsconf -A -o /usr/local/apache -j DENY
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /usr/local/apache -j READONLY

# Log Files
/sbin/lidsconf -A -o /var/log/httpd -j DENY
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /var/log/httpd -j APPEND
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /usr/local/apache/logs -j WRITE

Segurança para MySQL:

/sbin/lidsconf -A -o /usr/local/mysql/var -j APPEND
/sbin/lidsconf -A -o /usr/local/mysql -j DENY
/sbin/lidsconf -A -s /usr/local/mysql/libexec/mysqld -o /usr/local/mysql -j READONLY
/sbin/lidsconf -A -s /usr/local/mysql/libexec/mysqld -o /usr/local/mysql/var -j WRITE

Segurança para Snort:

/sbin/lidsconf -A -s /usr/sbin/snort -o CAP_DAC_OVERRIDE -j GRANT
/sbin/lidsconf -A -s /usr/sbin/snort -o CAP_NET_RAW -j GRANT
/sbin/lidsconf -A -s /usr/sbin/snort -o CAP_HIDDEN -j GRANT
/sbin/lidsconf -A -s /usr/sbin/snort -o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /usr/sbin/snort -o CAP_SETGID -j GRANT

Segurança para Postfix:

/sbin/lidsconf -A -o /etc/postfix -j DENY
/sbin/lidsconf -A -o /var/spool/postfix -j DENY
/sbin/lidsconf -A -s /etc/init.d/postfix -o /etc/postfix -j READONLY -i 1
/sbin/lidsconf -A -s /etc/init.d/postfix -o /var/spool/postfix -j WRITE -i 1
/sbin/lidsconf -A -s /usr/sbin/postfix -o /etc/postfix -j READONLY -i 4
/sbin/lidsconf -A -s /usr/sbin/postfix -o /var/spool/postfix -j WRITE -i 4

/sbin/lidsconf -A -s /usr/lib/postfix/master -o CAP_SETGID -j GRANT -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o CAP_SETUID -j GRANT -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o CAP_HIDDEN -j GRANT -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o CAP_DAC_OVERRIDE -j GRANT -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o CAP_SYS_CHROOT -j GRANT -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o /etc/aliases.db -j READONLY -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o /var/spool/postfix -j WRITE -i 1
/sbin/lidsconf -A -s /usr/lib/postfix/master -o /etc/postfix -j READONLY -i 1
/sbin/lidsconf -A -s /usr/sbin/postdrop -o /etc/postfix -j READONLY
/sbin/lidsconf -A -s /usr/sbin/postdrop -o /var/spool/postfix -j WRITE
/sbin/lidsconf -A -s /usr/sbin/sendmail -o /etc/postfix -j READONLY
/sbin/lidsconf -A -s /usr/sbin/sendmail -o /var/spool/postfix -j WRITE

Página anterior Próxima página

Páginas do artigo

   1. Introdução ao LIDS
   2. Instalando o LIDS
   3. Conhecendo o LIDS
   4. Configurando o LIDS
   5. Configurações básicas para o sistema
   6. Considerações finais

Outros artigos deste autor

PortSentry: Melhorando a segurança do seu Linux

PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it

Libsafe: Protegendo Linux contra Smashing Overflow

Análise Forense - Aspectos de perícia criminal

Snort avançado: Projetando um perímetro seguro

Leitura recomendada

Alta disponibilidade com CARP

Capturando e-mails da rede com Mailsnarf

Certificação CISSP

Tornando o OpenBSD stable

Como saber se houve uma invasão

Comentários

[1] Comentário enviado por fabio em 21/02/2004 - 12:34h

Já cansei de ouvir falar sobre LIDS, mas como nunca dei a devida atenção para segurança, nunca tinha procurado saber do que se tratava. Lendo esse artigo agora posso afirmar, essa é uma ferramenta fantástica. Parabéns!

0 0

[2] Comentário enviado por viniciusr em 22/02/2004 - 00:44h

parabens spawn... D:
meu maninho :X
root (un)security comming...

0 0

[3] Comentário enviado por Copyleft em 22/02/2004 - 13:07h

Oi, muito bom o artigo, fiz tudo, estou apenas tendo algumas respostas diferentes em relacao as regras e duvidas (de lei:)).
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /etc/httpd -j READONLY
lidsconf: cannot find the object file
/sbin/lidsconf -A -o /etc/lilo.conf -j DENY
lidsconf: the type is less than default permssion, this rule is useless
Estes sao apenas alguns exemplos, na maioria esta funcionado, alguem sabe qual meu erro aqui, no FAQ do site parecem ser as mesmas...alguem sabe de outro local com algumas?
Estava lendo (um livro muito velho), nele recomenda-se deixar o
[ ] Security alert when execing unprotected programs before
sealing LIDS selecionado, qual valor vcs recomendam?
E a respeito do 30:CAP_INIT_KILL, melhor deixar + ou -?
Desde ja agradeco pela ajuda:)

0 0

[4] Comentário enviado por Copyleft em 22/02/2004 - 14:22h

Voltei, bom eu dei uma olha e vi que estas menssagens sao bugs...nao se deve usar o lidstools-0.5.1 e lidstools-0.5.2 com kernel 2.4.24, nesta ja aproveitei e instalei o kernel 2.6.2 com o lids-2.0.4pre1-2.6.2 e lidstools-0.4 (recomendado), pelo fato desta versao ter uns lances de bloquear worms em HTTP, FTP, POP3, mas ta em desenvolvimento...alguem aqui esta usando, caso esteja, ta dando muito pau?
Se colocar assim funciona:
lidsconf -A -o /etc/ipsec.secrets -j DENY
lidsconf -A -o /etc -j READONLY
Se inverter nao rola:
lidsconf -A -o /etc -j READONLY
lidsconf -A -o /etc/ipsec.secrets -j DENY
Tem este patch pra corrigir:
-------------------------------------------------------------
diff -u -r1.1.1.1 lidsconf.c
--- lidsconf.c 17 Feb 2004 06:20:27 -0000 1.1.1.1
+++ lidsconf.c 20 Feb 2004 05:29:07 -0000
@@ -802,7 +802,7 @@
exit_error(2,"you must define the default rules for object
files");
}
/* if current type have less persmission of defualt _rule */
- if( type < default_rule ) {
+ if( type < default_rule && !sys_cap ) {
exit_error(2,"the type is less than default permssion, this rule is
useless"); }
}
------------------------------------------------------------
Acho que devemos testar algumas coisas antes de publicarmos,principalmente o que envolve seguranca.
Em todo caso valeu pelo artigo publicado, desperto meu interesse nesta ferramenta, to gostando muito dela.
PS. To rodando no 2.6.2 e ta indo.

0 0

[5] Comentário enviado por y2h4ck em 23/02/2004 - 01:54h

CopyLeft se vc pudesse me adicionar em seu icq para conversarmos melhor sobre o LIDS... ficarei muito grato obrigado :)

0 0

[6] Comentário enviado por y2h4ck em 25/02/2004 - 17:41h

A proposito nao tive bug nenhum em minha instalacao creio que seria mais interessante reinstalar pq deve ter dado algum problema por ai ... aqui ele esta funcionando perfeitamente num servidor de missao critica com mais de 200 dias de Uptime ... portanto meu amigo ... antes de vc vir falar para mim testar algumas coisas ... acho melhor VC ver se esta fazendo a coisa direito ...
mas obrigado pelo post ate mais :)

0 0

[7] Comentário enviado por Copyleft em 26/02/2004 - 00:03h

Sem duvida nao eh aqui o erro, eh um bug, tanto que se vc perceber o patch foi escrito no dia idsconf.c 20 Feb 2004 05:29:07 , nao teria como ter sido eu que escrevi, sendo que instalei no dia 22, quem afirma que eh um bug eh o responsavel como segue:
It is a bug..try following patch

------------------------- cut here ---------------------------------------------------
diff -u -r1.1.1.1 lidsconf.c
--- lidsconf.c 17 Feb 2004 06:20:27 -0000 1.1.1.1
+++ lidsconf.c 20 Feb 2004 05:29:07 -0000
@@ -802,7 +802,7 @@
exit_error(2,"you must define the default rules for object
files");
}
/* if current type have less persmission of defualt _rule */
- if( type < default_rule ) {
+ if( type < default_rule && !sys_cap ) {
exit_error(2,"the type is less than default permssion, this rule is
useless"); }
}
---------------------- cut here -----------------------------------------------------------

The problem is, this checking should only performance on all the acl with a "SUBJECT", for
other acl without a "SUBJECT", you can do any thing you want..:-).

Thanks for reporting the bug! It will be release in next version.

Huagang

Desculpe se pareceu que quis desprestigiar seu trabalho, se vc diz que nao teve problemas acredito, nao uso icq por isso nao entrei em contato.

0 0

[8] Comentário enviado por removido em 15/12/2006 - 07:15h

Legal seu artigo, só não concordei com o título. O LIDS é uma ótima ferramenta que pode até fazer um sistema extremamente seguro, mas com as regras que você colocou no artigo, não achei o artigo corresponde com o título. Mas de qualquer modo parabéns por esse artigo e pelo seus artigos disponibilizados no site do LIDS. Principalmete pela tradução do artigo feito pelo criador do LIDS!

0 0