Laborator12Securitate

CheatSheet
Comand Descrierescurt cofigurarepermisiuniimplicite schimbarepermisiunipefiier/folder

u m a s k c h m o d

n e t s t a t vizualizareporturidereea,conexiunideschise

Suportdelaborator
10.Elementedesecuritate[http://books.google.com/books?
id=_JFGzyRxQGcC&lpg=PA532&dq=introducere%20in%20sisteme%20de%20operare&pg=PA279#v=onepage&q&f=false]

6.3.ConfigurareaGRUB[http://books.google.com/books?
id=_JFGzyRxQGcC&lpg=PA532&dq=introducere%20in%20sisteme%20de%20operare&pg=PA162#v=onepage&q&f=false]

6.6.1Grub2[http://books.google.com/books?
id=_JFGzyRxQGcC&lpg=PA532&dq=introducere%20in%20sisteme%20de%20operare&pg=PA175#v=onepage&q&f=false]

tutorialdeGRUB2[http://ubuntuforums.org/showthread.php?t=1369019] tutorialdesuid[http://www.cybersecurity.org.uk/articles/suid.htm]

Introducere
Permisiuniimpliciteumask
Uneori,esteutilsspecificmcedrepturisaibfiierelenoi,astfelnctsnufolosimtottimpulc h m o d .Pentru aceastaexistconceptuldeu m a s k . Atuncicndcremunfiier,permisiunileluisestabilescnfelulurmtor:sefaceunANDlogicntrevaloareaoctal666 (pentrufiiere)sau777(pentrudirectoare)ivaloareanegataumask. Practic,putemtraducevaloareaumaskndouregulisimple: umaskddrepturilepecarevremsNUleaibunfiiersaudirectoratuncicndestecreat unfiiernuvafiniciodatcreatcupermisiunideexecuie. Configurareavaloriiumasksefaceutilizndcomandacuacelainume:
u m a s k0 0 2 t o u c hn e w _ f i l e l sln e w _ f i l e r w r w r - 1s t u d e n ts t u d e n t02 0 0 9 0 8 2 40 0 : 0 3n e w _ f i l e

Deasemenea,u m a s k poateprimiparametrinformsimbolic(u,g,oir,w,x).

Permisiunispecialepefiiere
RsfoindstructuradefiiereainstaneideLinux,esteposibilsfintlnitialtepermisiunidectr w x .Exemplede

astfeldepermisiunispecialesunt:stickybit,setuidisetgid. Stickybitaplicatpedirectoare,nupermiteredenumireasautergereafiierelorconinute,dectdectreownersau superutilizator.Utilitateastickybitaparendirectoareprecum/ t m p deaccescomun,darncarenudorimcaun utilizatorsmodificenumelefiiereloraltuiutilizator. Pentruasetastickybitfolosimcomanda:

c h m o d+ td i r e c t o r

Setuidaplicatpefiiereexecutabilevafacecaacesteasfierulatecautilizatorulowner.Altfelspus,unexecutabildeinut der o o t ,cusetuidsetatvarulacar o o t indiferentdeutilizatorulcarellanseaz. Atenielarisculdesecuritatepecarelimplicacestcomportament Setgidaplicatpedirectoarevafacecalacreareadefiiereninterioruldirectorului,acesteasmoteneascgrupul directoruluiprinte(nlocdegrupulutilizatoruluicarelecreaz).Setgidesteutilnsubdirectoarele/ h o m e . Pentruasetasetuid/setgidfolosim:

c h m o d+ sf i i e r#s e t u i d c h m o dg + sd i r e c t o r#s e t g i d

Monitorizareporturideschise
Oriceportdeschisesteoposibilbredesecuritate. Dorimsaflmceserviciidereeasuntpornitepesistemullocaliascultpentruconexiuni.Pentruaceasta,folosim comandanetstat,(lafelcanlaboratorul9[http://ocw.cs.pub.ro/courses/uso/laboratoare/laborator09#tcp_udp_porturi]),filtrnd ieirealaprotocolulTCPistarealistening.
#n e t s t a tt l P r o t oR e c v QS e n d QL o c a lA d d r e s s t c p 0 0* : s s h t c p 0 0l o c a l h o s t : i p p t c p 6 0 0[ : : ] : s s h t c p 6 0 0l o c a l h o s t : i p p F o r e i g nA d d r e s s * : * * : * [ : : ] : * [ : : ] : * S t a t e L I S T E N L I S T E N L I S T E N L I S T E N

Fiieredelog
Serviciiledinsistemsalveazinformaiidesprefuncionarenfiieredetiplog.Deobiceiacesteasegsescn / v a r / l o g . OmetoddeaaflaadresaMACreal(cititlainiializareauneiplcidereea),puteminspectafiieruldelogal programuluid m e s g (responsabilculoguriledriverelor),filtrnddupeth:
g r e pe t h [ 0 9 ]/ v a r / l o g / d m e s g

Exerciii
1.Umask
Configurai,folosindumask,n/ h o m e / s t u d e n t ca:ownerulsaibdrepturidecitire/scriere,grupuldoardescriere, iarrestulutilizatorilordoardecitire.

Rezolvare
c d/ h o m e / s t u d e n t u m a s k0 4 2

Testaicrendunfiiernouilistndpermisiunileacestuia.

2.Suid
Folosinds u i d ,modificaicomandat o u c h astfelnctsrulezecaroot. Testaicrendcteunfiier:nhomeulstudent,nrdcinasistemuluidefiiereidefiecaredatverificndownerul fiieruluicreat. Aflai,folosindw h i c h caleactreexecutabilulrulatlacomandat o u c h . Rezolvare
w h i c ht o u c h c h m o du + s/ b i n / t o u c h

3.Portserver
InstalaiserverulProFTP(pachetulsenumetep r o f t p d ).Folosindunoneliner,descoperiiportulpecareacesta ascultpentruconexiuniTCP. Rezolvare
$n e t s t a tt l n p|g r e pf t p t c p 6 0 0: : : 2 1 : : : * L I S T E N 1 5 1 7 / p r o f t p d

Portuleste21.

4.Inspectarefiierlogntimpreal
Gsiiivizualizaifiieruldelogncaresuntstocatemesajeledesistemgeneratentimpulinstalriidepachete.Pornii apoi,caroot,comandat a i lf pentruvizualizareafiierului,iar,ntrunaltterminal,instalaipachetulm c . Ceobservai? Utilitaruldepachetesenumeted p k g Rezolvare
#p r i m u lt e r m i n a l s u d ot a i lf/ v a r / l o g / d p k g . l o g #c e ld ea ld o i l e a s u d oa p t g e ti n s t a l lm c

5.Schimbareparoldinbootloader
Spresupunemcaiuitatparoladeacceslacalculatorinuaveiconfiguratparolpentruutilizatorulprivilegiat(lucru implicitndistribuiiprecumubuntu). Pentruresetareaparolei,vomfolosimainavirtualsmalltalk.

Ceeacetrebuiesfacemestesbootmnmodulsingle,doarunshell,frserviciiisschimbmparolele. Pentruapornisistemulnmodsingle,nGRUB,selectaiprimalinieiapsaie.Adaugailafinalullinieikernelopiunea i n i t = / b i n / b a s h :
k e r n e l / b o o t / v m l i n u z T O D Or o o t = / d e v / s d a 1r oq u i e ti n i t = / b i n / b a s h

ApsaiENTERpentruaieidinmoduleditare,apoibpentruaboota. Implicit,sistemuldefiiere/ estemontatreadonly.Remontairdcinasistemuluidefiierenmodulcitire/scriere:

m o u n tor e m o u n t , r w/

Puteimodificaliniadekernelschimbndronrwpentruanumaifinecesarremount.Schimbaiparolautilizatoruluirootn usorules.Schimbaiparolautilizatoruluipascalncobol. Restartaisistemuldinmainavirtual.Verificaiparolele.

6./etc/sudoers
Dorimcatoimembriigrupuluis u d o spoatfolosis u d o framaiintroduceparola. Folosiicomandav i s u d o (frparametri)pentruamodificacorespunztorconfigurareasudo.Urmriipaginade manuals u d o e r s cutnddupdirectivaN O P A S S W D . Rezolvare
s u d ov i s u d o

Semodificliniadin/etc/sudoersn:
% s u d oA L L = ( A L L )N O P A S S W D :A L L

Verificaics t u d e n t poaterulas u d o

l s fraisecereparola.

7.chroot
Folosiic h r o o t pentruafacecap w d ndirectorul/ t m p / c h r o o t _ j a i l sreturneze/ .Puteinavigan exterioruldirectorului/ t m p / c h r o o t _ j a i l ,dupceaifcutc h r o o t ? Listaiconinutuldirectoruluidinc h r o o t .Faceiastfelnctlistareasfieposibil(pentruaieidinjailfolosiie x i t ) Construiindirectorul/ t m p / c h r o o t _ j a i l directoarepentruexecutabileleb a s h ,p w d (folosiiw h i c h pentrua aflalocaialor)ipentrubibliotecilenecesareacestorprograme(folosiil d d pentrualeafia). Folosiiaplicaiiprecumc h r o o t pentruacreaunmediuvirtual,protejat,pentrutestareaunoraplicaii.Tehnicaeste denumitsandboxing[http://en.wikipedia.org/wiki/Sandbox_%28computer_security%29]. <solution><codebash> mkdirchroot_jail ldd/bin/bash mkdirchroot_jail/bin

l i n u x v d s o . s o . 1= > ( 0 x 0 0 0 0 7 f f f 2 4 d b 0 0 0 0 ) l i b t i n f o . s o . 5= >/ l i b / x 8 6 _ 6 4 l i n u x g n u / l i b t i n f o . s o . 5( 0 x 0 0 0 0 7 f 1 f 5 5 7 2 1 0 0 0 ) l i b d l . s o . 2= >/ l i b / x 8 6 _ 6 4 l i n u x g n u / l i b d l . s o . 2( 0 x 0 0 0 0 7 f 1 f 5 5 5 1 d 0 0 0 ) l i b c . s o . 6= >/ l i b / x 8 6 _ 6 4 l i n u x g n u / l i b c . s o . 6( 0 x 0 0 0 0 7 f 1 f 5 5 1 9 5 0 0 0 ) / l i b 6 4 / l d l i n u x x 8 6 6 4 . s o . 2( 0 x 0 0 0 0 7 f 1 f 5 5 9 6 5 0 0 0 )

mkdirpchroot_jail/lib/x86_64linuxgnu/ gnu/libtinfo.so.5chroot_jail/lib/x86_64linuxgnu/$

cp/lib/x86_64linux

uso/laboratoare/laborator12.txtLastmodified:2013/01/2022:59bysorina.sandu