hi!

habe eine frage an alle pam spezialisten:

ist es irgendwie möglich daß man mit pam in kombination mit einem schellscript oder sowas ähnlichem ein mail an den serveradministrator verschickt, falls irgendein benutzer root status erlangt bzw. sich als root einloggt.
(falls jemand das passwort gecrackt hat zum beispiel)

danke!

mfg
sais

BOFH Warunung, oder wie? :ugly:

Im Syslog wird normalerweise jedesmal eingetragen, wenn root sich einloggt.

MFG fsd.

so auf die schnelle:

Erstelle eine /root/.bashrc

echo "Root hat sich eingelogt!" > mail - "ROOT - LOGIN"user@email.de

oder falls su benutzt wird:

/bin/su umbenennen in zB /bin/suorig

neue /bin/su erstellen:

echo "Root hat sich eingelogt!" > mail - "ROOT - LOGIN"user@email.de
/bin/suorig

ich werd es mit der .bashrc lösen, und das su ebenfalls mit so einem script ersetzen.


danke!

mfg
sais

hallo!

das ist so sinnlos.
ein cracker wird kaum /root/.bashrc ausführen...
mach es so, dass immer wenn eine shell (zb: /bin/bash) mit der euid 0 gestartet wird eine mail ausgeht.
patche den kernel mit grsec und verwende die exec-log-funktion.

//richard

da hast du recht, die bashrc wird ein cracker kaum ausführen.

ich werd grsec verwenden. muß mich aber erst damit vertraut machen.

danke für den tipp

mfg
sais

Gib doch dem Root eine andere shell z.B. /bin/myshell und in dem File myhsell ist einfach

------

#! /bin/bash
echo "Root hat sich eingelogt!" > mail - "ROOT - LOGIN"user@email.de

-----

enhalten.

Sobald sich der User als Root einloggt, sollte eigentlich ein Mail abgesetz werden

Original geschrieben von reto2000
Gib doch dem Root eine andere shell z.B. /bin/myshell und in dem File myhsell ist einfach

------

#! /bin/bash
echo "Root hat sich eingelogt!" > mail - "ROOT - LOGIN"user@email.de

-----

enhalten.

Sobald sich der User als Root einloggt, sollte eigentlich ein Mail abgesetz werden
hallo!

und was ist, wenn sich ein cracker per exploit eine eigene shell als root öffnet?
denkst, dass der in der /etc/passwd nachschaut und da dann die shell nimmt?

//richard

ok stimmt, doch für den DAU-Cracker und script-kiddy würde es reichen

Original geschrieben von reto2000
ok stimmt, doch für den DAU-Cracker und script-kiddy würde es reichen
hallo!

axo, du bist ein freund von halber sicherheit. :D
http://www.fefe.de/pffaq/halbesicherheit.txt

//richard

axo, du bist ein freund von halber sicherheit.

Na ja eigentlich nicht.

BTW wie wäre es mit snort?

Original geschrieben von reto2000
Na ja eigentlich nicht.

BTW wie wäre es mit snort?
hallo!

snort ist ein nids, kein hids.

//richard

Tripwire ist nen hids .. aber das würde nur anzeigen, das und was verändert wurde ...

Original geschrieben von Dellerium
Tripwire ist nen hids .. aber das würde nur anzeigen, das und was verändert wurde ...
dann schon lieber AIDE :)

Original geschrieben von Basti_litho
Tripwire? ... dann schon lieber AIDE :)
ihr glaubt, das diese programme (file integrity checking tools) euch nicht anlügen wenn der rechner bereits einem anderem gehört?

cu

Original geschrieben von systemdefender
ihr glaubt, das diese programme (file integrity checking tools) euch nicht anlügen wenn der rechner bereits einem anderem gehört?

cu
eigentlich: ja, sofern der Angreifer nicht eine gepachte Version von AIDE mitbringt :D

PS: die datenbank liegt natürlich auf einem read-only Medium.

aha. wir sind da also etwas spät dran, oder? :rolleyes:

dann lieber lids und nen logserver oder so.

cu

das langt nichma fuer das script kiddie usw, da alle linux exploits via shellcode direkt eine shell oeffnen die in den meisten faellen /bin/bash ist oder moeglicherweise direkt ne backdoor einbaut, also von daher. um davon ma abzusehen, ein kiddie wird dein system eh nur knacken wenn du nich updatest, alle daemons verwendest usw, also wenn dein system fit ist und trotzdem jemand reinkommt, wird das alles nich viel bringen..
flowinhard1