[Linux-Biella] Come prevenire/intercettare l'installazione di un rootkit

[Federico Villa]

Riporto un articolo che ho appena letto...


  Come prevenire/intercettare l'installazione di un rootkit  
 

Fra i metodi per difendersi dall'installazione sul proprio 
sistema di un rootkit ci sono:
- Innanzitutto impedire che un utente possa bucare il proprio 
sistema utilizzando security bug noti sui servizi in produzione, 
quindi mantenere il proprio sistema protetto e aggiornato;
- Utilizzare tool come TRIPWIRE che eseguono un check costante 
dell'integrita' dei file di sistema;
- Utilizzare, su macchine in produzione, un kernel monolitico 
non modulare, che renderebbe impossibile l'installazione di un 
rootkit basato su un modulo del kernel (non basta con rootkit 
dell'ultima generazione che si basano su /dev/kmeme);
- Utilizzare strumenti come LIDS che limitano permessi e 
accesso alle risorse del sistema a livello di singoli processi 
(se ben configurato LIDS appare come la soluzione estrema e 
piu' efficace);
- Usare un demone come RKDET, che si accorge quando un' 
interfaccia di rete entra in promiscous mode e invia mail, 
disattiva il networking o esegue altre operazioni di conseguenza;
- Garantirsi l'integrita' dei log: stampandoli direttamente su 
carta o inviandoli ad un syslog server remoto (protetto);
- Avere un sistema che non puņ montare in write mode le 
directory /sbin, /usr/sbin, /bin e /usr/bin, impedendo che i 
comandi ivi contenuti possano essere modificati. Contestualmente
e' necessario verificare che la $PATH della shell non venga 
modificata. 

FEderico

--===ooo0 FEderico Villa 0ooo===--
 
      Unione Industriale Biellese
         Biella - Via Torino, 56
             13900 (BI) Italy
           Tel: 015.8483.214
        EMAIL: villa@ui.biella.it