ciao , ho una domanda , l'ennesima , a riguardo di questi strumenti :
dovendo usare tripwire o aide , quali directory terreste sotto controllo per essere certi che non ci siano manomissioni ?

è possibile usare questi strumenti per assicurarsi che il kernel caricato sia effettivamente quello originale (moduli compresi) ?
che senso, ha ai fini della sicurezza ,usare una live usb se poi si usa tripwire ad esempio?

letto?

http://wiki.ubuntu-it.org/Sicurezza/Malware

http://wiki.ubuntu-it.org/Sicurezza/RootkitHunter

letto?

http://wiki.ubuntu-it.org/Sicurezza/Malware

http://wiki.ubuntu-it.org/Sicurezza/RootkitHunter

ciao grazie , il primo link è molto interessante e non l avevo letto: lo farò!:)

il mio dubbio è sempre o stesso nel dettaglio :
come faccio a essere sicuro che gli aggiornamenti installati sono legittimi e come faccio a sapere quali modifiche legittime sono state fatte al sistema.

Inoltre vorrei essere certo che il kernel caricato sia quello che avevo installato io , moduli compresi.
c'è qualche link per scendere in dettaglio in questi argomenti ?

- per i pacchetti ci sono i repo con chiave di autenticazione GPG
(di sicuro quelli ufficiali)

http://wiki.ubuntu-it.org/Repository



- per il kernel, intendi quello compilato da te?

vedi la configurazione online (attivando CONFIG_IKCONFIG_PROC )
dal file: /proc/config.gz

http://www.xaprb.com/blog/2006/05/23/how-to-use-linuxs-proc-config-feature/

- per i pacchetti ci sono i repo con chiave di autenticazione GPG
(di sicuro quelli ufficiali)

http://wiki.ubuntu-it.org/Repository



- per il kernel, intendi quello compilato da te?

vedi la configurazione online (attivando CONFIG_IKCONFIG_PROC )
dal file: /proc/config.gz

http://www.xaprb.com/blog/2006/05/23/how-to-use-linuxs-proc-config-feature/
ciao il kernel è quello di default creato al momento dell installazione : cosa cambia ai fini della sicurezza?

allora e' come un'altro pacchetto qualsiasi dai repo ufficiali
quindi controllato con la firma gpg

ciao ho letto i due link che mi hai postato :
non mi è chiaro forse una cosa : come posso con tripwire essere certo che il kernel non sia stato manomesso?

forse non è la via corretta usare questo tipi di software , ma il problema è che voglio essere certo che non ci siano moduli alterati o aggiuntivi caricati:
credi che sia sufficiente monitorare la directory /boot ?
essendo la /proc un filesystem virtuale può avere senso interessarmene?

in alternativa , alla luce di hacker 6.0 (il libro) , converebbe congelare il kernel o crearlo interamente statico (senza moduli) ?

- dall'integrita' del pacchetto

- i file contenuti li vedi dal comando: dpkg -L <nomepacchetto>

il kernel oltre in /boot ha i moduli in: /usr/lib/modules/<ver>/...

- dall'integrita' del pacchetto

- i file contenuti li vedi dal comando: dpkg -L <nomepacchetto>

il kernel oltre in /boot ha i moduli in: /usr/lib/modules/<ver>/...
ciao grazie , ho un ultima domanda :
tu dici dall'integrità del pacchetto ; per verificarla dovrei fare match con i pacchetti dei repository no ?
come faccio a essere certo che le chiavi gpg nel mio pc sono trusted?

- per controllarlo manualmente mi informo se possibile

- le chiavi gpg vengono prese dal repo e le gestisce "apt" (eseguibile da root o sudo)

non ho mai usato tripwire, uso rkhunter + tiger

in rete si trovano molti suggerimenti, es.:

http://askubuntu.com/questions/146775/what-can-be-done-to-secure-ubuntu-server





p.s.
ho letto un po su tripwire, usa un database, sembrerebbe perfetto

scopro adesso il comando: debsums

"check the MD5 sums of installed Debian packages"

http://manpages.ubuntu.com/manpages/trusty/man1/debsums.1.html

scopro adesso il comando: debsums

"check the MD5 sums of installed Debian packages"

http://manpages.ubuntu.com/manpages/trusty/man1/debsums.1.html
si è molto comodo : è possibile controllare i pacchetti installati
http://askubuntu.com/questions/9463/what-is-the-apt-equivalent-to-rpm-v-verify-installed-packages