Günlük Dosyalarını Koruma
| Günlük Dosyalarını Koruma |
|
|
|
|
Sisteminize saldıran kişi,sistemde tutulan günlük dosyaları içinde kendi izlerini bırakır.Bu günlük dosyaları çok önemlidir;herhangi bir saldırı durumunda saldıran kişinin sisteme nasıl girdiğini ve neler yaptığını öğrenmek için kullanılır.Bu günlük dosyaları sisteme root kullanıcısı olarak giriş yapan saldırgan tarafından değiştirilebilir. Linux da Isattr ve chattr komutları ile bir dosya veya dizine verilmiş izinleri ve öznitelikleri görebilir ve değiştirebiliriz. Günlük dosyalarını korumanın en basit yollarından birisi sadece-ekle (sadece-ekle)özniteliğidir.Bu öznitelik ayarlandığı zaman kullanıcının dosyayı silme hakkı elinden alınır ve sadece dosyanın sonuna ekleme yapmasına izin verilir. Linux üzerinde sadece-ekle özniteliğini şu şekilde ayarlayabilirsiniz, [root@localhost ~]# chattr +a Dosya ismi +a özniteliğinin dizin oluşturulması sırasında uygulaması, [root@localhost ~]# touch /var/log/loglife [root@localhost ~]# echo ''sadece-ekle not set'' > /var/log/loglife [root@localhost ~]# chattr +a /var/log/loglife [root@localhost ~]# echo ''sadece-ekle set'' > /var/log/loglife bash: /var/log/loglife: İşleme izin verilmedi [root@localhost ~]# Görüldüğü gibi ikinci yazma girişiminde dosyayı tamamen değiştireceği için engellendi,fakat dosya sonuna ekleme yapmak hala mümkün, [root@localhost ~]# echo ''appending to file'' >> /var/log/loglife [root@localhost ~]# cat /var/log/loglife sadece-ekle not set appending to file [root@localhost ~]# Bu arada sisteminize root olarak giriş yapmayı becerebilen bir kişi bu dosyalar üzerinde sadece-ekle özniteliğinin kullanıldığını anladığı zaman chattr -a. komutunu kullanarak bu dosyalar üzerindeki özellikleri kaldırarak izlerini siler.Sizin bunu önlemeniz için sadece-ekle özniteliğinin uygulanmış bir dosya üzerinden kaldırılmasını engellenmeniz gerek.Bunu da Linux altında yetenek mekanizması ile yapıcaksınız. Linux yetenek modeli tüm haklara sahip root kullanıcısına verilen izinleri ayırıp bunları teker teker kapatmanıza izin verir.Bir dosya üzerindeki sadece-ekle özniteliğinin kaldırılmasının engellenmesi o kullanıcıya verilmiş CAP_LINUX_IMMUTABLE yeteneğinin kapatılması ile mümkündür.Bu özellikleri ve izinleri ayarlamak için Icap ı kullanıcağız. Sadece-ekle olayını değiştirmelere kapatmak için, ./Icap CAP_LINUX_IMMUTABLE ./Icap CAP_SYS_RAWIO Yukardaki ilk komut sadece-ekle nin değiştirme özelliğini kapatır,ikinci komut ham(raw) G/Ç özelliğini kaldırır.Bu komutlar /dev/mem ve /dev/kmem aygıtlarına girişi kapatarak,saldırganın burada bi kaçış noktası oluşturarak CAP_LINUX_IMMUTABLE özelliğini tekrar açmasını engeller. |
|
| Son Güncelleme ( Pazartesi, 17 Kasım 2008 ) |
