ChrootDirectory ile OpenSSH loglama
Bir önceki yazıda eksik kalan OpenSSH loglama kısmına bu yazıda değineceğim. Bir önceki yazıya buradan ulaşabilirsiniz.
Chroot içinde syslog kullanılabilir kılmak
Basitçe herbir seçilen chroot dizinleri içerisinde bir dev dizini oluşturalım.
# mkdir /home/user/dev
Yeni loglama kaynağında rsyslog ayarlanması
/etc/rsyslog.d/sshd.conf de aşağıda gördüğünüz içerikleri çıkarınız:
# Create an additional socket for some of the sshd chrooted users. $AddUnixListenSocket /var/fileserv/dev/log # Log internal-sftp in a separate file :programname, isequal, "internal-sftp" -/var/log/sftp.log :programname, isequal, "internal-sftp" ~
Loglama için openssh ayarlanması
Bir önceki yazıya göre , /etc/sshd_config değiştirilmelidir. Subsystem sftp satırı aşağıdaki satırı okumalıdır :
Subsystem sftp internal-sftp -l VERBOSE
Match bölümü aşağıdaki gibi görünmelidir.
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp -l VERBOSE
Yeni log dosyası için Log rotation
/etc/logrotate.d de bulunan aşağıdaki satırı çıkarınız:
/var/log/sftp.log {
weekly
missingok
rotate 52
compress
delaycompress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
ChrootDirectory ile OpenSSH SFTP chroot()
OpenSSH versiyon 4.8p1 den itibaren bazı yeni ayar özellikleri eklendi: ChrootDirectory.
Bu yeni özellik sshd bağlantılı olarak yeni SFTP altsistemi bağlantısını sağlamış oldu.
Bu sayede şifreleme ayarlarında zorluk çıkarmadan ve/veya uğraştırmadan pasif FTP ile ve bir NAT yönlendiricisinden geçen aktif düğümlerde basit FTP servislerini değiştirmek kolay oldu. Bu aynı zamanda rssh, scponly veya other patches paketlerinden daha basittir, çünkü; kurma ve bir chroot ortamında bakım yapma (güvenlik güncellemleri) gibi gereksinimi yoktur.
Etkinleştirmek için, yeni sersiyon 4.8p1 ve sonrası paketlere ihtiyacınız vardır. Şuanki süründe Debian GNU/Linux 5.0 (codename lenny) OpenSSH 5.1p1-5 ‘dir ve fazladan birşey yapmanıza gerek yoktur. Ben kendim Debian GNU/Linux 5.0 kullanıyorum ve bende düzgün olarak çalışmaktadır.
/etc/ssh/sshd_config :
OpenSSH ‘ın kendi iç SFTP altsistemini kullanmak için ayarlarını yapmamız gerekir.
Subsystem sftp internal-sftp
Sonrasında, uygun kuraldaki chroot()ayarlanır.
Match group sftponly
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
chroot() dizini sahibi root kullanıcısı olmak zorundadır. chroot() çağırdıktan sonra, sshd ev dizinini yeni root dizinine göre göreceli olarak yeni ev dizinini değiştirir. / ‘ı ev dizini olarak kulanmamızın sebebi budur.
# chown root.root /home/user # usermod -d / user # adduser user sftponly
Beklendiği gibi çalışmaktadır:
$ sftp user@host Connecting to host... user@host's password: sftp> ls build cowbuildinall incoming johnbuilderclean sftp> pwd Remote working directory: / sftp> cd .. sftp> ls build cowbuildinall incoming johnbuilderclean
Burada unutulan bir tek şey kaldı oda dosya transferinde loglama, yazının devamında loglama ile ilgili böümü bulabilirsiniz. ChrootDirectory ile OpenSSH loglama
Referanslar :
CDPR – Cisco Discovery Protocol
cdpr, Cisco Discovery Protokolünü kullanan, ağınızdaki ilginç şeyleri öğrnenmenize yardım eden küçük ve güzel bir komuttur.
cdpr paketi ‘ni kurmak çok basittir, kullanıcı kitapcığı ile ayarlar kolayca yapılabilir:
root@optimus:/home/dean# apt-get install cdpr
Öncelikle yükleme yaptıktan sonra “cdpr -help” komutunu çalıştırarak yardım komutlarını görelim. (Uyarı, script /sbin dizini altında yüklüdür, ve sadece root tarafından çalıştırılabilir.)
root@optimus:/home/dean# cdpr -help
cdpr - Cisco Discovery Protocol Reporter
Version 2.2.1
Copyright © 2002-2006 - MonkeyMental.com
d: Specify device to use (eth0, hme0, etc.)
h: Print this usage
t: time in seconds to abort waiting for a packet (should be > 60)
v[vv]: Set verbose mode
** Options dealing with server updates: **
u: Send cdpr information to a cdpr server
requires config file as arg
l: Location/description of this port for use with -u or -s and -p
n: Override the hostname reported to the server for use with -u or -s and -p
s: Server to send information to specify port with a : after Server/IP
Example: 192.168.1.20:88 (default: 80) requires -p (overridden by -u)
p: Path of server script to send data to requires -s (overridden by -u)
cdpr başka opsiyon girmeden çalıştırınca karşınıza basit bir menü gelmektedir, çalışmak istediğiniz arayüzü buradan seçebilirsiniz.
root@optimus:/home/dean# cdpr
cdpr - Cisco Discovery Protocol Reporter
Version 2.2.1
Copyright © 2002-2006 - MonkeyMental.com
1. eth0 (No description available
2. br0 (No description available)
3. eth1 (No description available)
4. usb1 (USB bus number 1)
5. usb2 (USB bus number 2)
6. usb3 (USB bus number 3)
7. usb4 (USB bus number 4)
8. usb5 (USB bus number 5)
9. any (Pseudo-device that captures on all interfaces)
10. lo (No description available)
Enter the interface number (1-10):
Tercih ettiğiniz arayüzü seçiniz ve cdpr bunu yaparken bekleyiniz.
8. usb5 (USB bus number 5)
9. any (Pseudo-device that captures on all interfaces)
10. lo (No description available)
Enter the interface number (1-10):1
Using Device: eth0
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds)
Device ID
value: SMC10390011
Addresses
value: 10.16.126.9
Port ID
value: 4/33
Şimdi CDP size daha fazlasını verebilir.
Eğer “cdpr --help” komutunun çıktısına bakarsanız veya cdpr yardım sayfasına göz atarsanız, menüyü atalayabileceğinizi ve -d parametresi ile istediğiniz aygıtı seçebileceğinizi, ve daha fazla ayrıntılara (verbosity) -v veya -vvv erişebileceğinizi görebilirsiniz.
root@optimus:/home/dean# cdpr -d eth0 -vvv
cdpr - Cisco Discovery Protocol Reporter
Version 2.2.1
Copyright © 2002-2006 - MonkeyMental.com
Using Device: br0
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds)
Received a CDP packet, header length: 484
cdp packet:
version: 02
time to live: b4
checksum: 83e2
cdp type/len/val:
[snip]
cdp type/len/val:
type: 001a – Unknown type
length: 0010
Unknown type
value: 00 00 00 01 00 00 00 00 FF FF FF FF
Data Link Type: Ethernet (10MB, 100MB, 1000MB and up).
cdpr aynı zamnada size -u komutunu kullnarak web sunucuda bu detayların kapatılmasını sağlayabilirsiniz. /usr/share/doc/cdpr/README.cdprs dosyasına bakarak bunun nasıl yapılacağını bulabilirsiniz.
cdpr biraz perl/python/poisonoftheday ile kolaylıkla paketlenebilir ve veri diğer hesap açmaları doğrultusu için kullanılabilir. Biraz kod ile uğraşarak makineler ile ilgili olarak çok daha fazla bilgi elde edilebilir. Örneğin; hangi anahtar hangi anahtar portunda takılı olduğu gibi. IPMI ile diğer birçok özellik (örneğin seri numaraları) donanımla gelen yazılımlar ile ilgili bilgiler edinilebilir ve bunların hepsi otomatik olarak yapılabilir.
Puerto Rico’ya Yapılan TLD Saldırısının Arkasında Türk Hacker’lar Olabilir mi?
Kendileri “Peace Crew” olarak adlandıran grubun daha önce “Terrorist Crew” adını kullandıkları ve hack ettikleri sitelere “Özgür Filistin” türü mesajlar yerleştirdikleri belirtiliyor. Bu grubun Türk olabileceği de konuşuluyor.
Dünya, Puerto Rico’daki ana domain name sistem kayıt firmasına yapılan saldırıyı konuşuyor. Saldırı sonucunda Google, Microsoft, Yahoo, Coca-Cola, PayPal, Nike, Dell, Nokia ve diğer büyük firma web siteleri 27 nisan Pazar günü birkaç saatliğine, sayfaları değiştirilmiş sitelere yönlendirdiler. Yönlendirildikleri sayfada da siyah üstüne klasik hacker mesajı “Bu siteler hack edilmiştir” yer alıyordu.
Dünya henüz Puerto Rico’da, bu kadar çok sayıda web sitesinin aynı anda nasıl yönlendirilebildiğini anlamamış durumda. “Sitelerde ortak açık” gibi açıklamalar var ama bu da bilinmiyor. Puerto Rico’nun NIC sistemi ise henüz çalışmıyor gibi gözüküyor. Çünkü press@nic.pr adresi hata veriyor.
Hackerların bilgi çalmaya yönelik bir hareketleri olmadığı sanılıyor. Siteleri yönlendirerek dikkatleri üzerlerine çekmeye çalıştıkları düşünülüyor.
Kendileri “Peace Crew” olarak adlandıran grubun daha önce “Terrorist Crew” adını kullandıkları ve hack ettikleri sitelere “Özgür Filistin” türü mesajlar yerleştirdikleri belirtiliyor. Bu grubun Türk olabileceği de konuşuluyor.
Symantec’den Internetnews.com’a gönderilen mailde “Bu saldırı vektörü yeni değil. Hackerlar DNS’in kendisindeki bir açığı değil, domain kayıt edici firmanın sitesindeki bir SQL sızma açığını kullanmış olabilirler” denildi.
TrendMicro Uzmanı Paul Ferguson ise en iyi korunan firmaların bile bu tür saldırıya açık olduğunu anlatmak için, “Bu geçen kasımda CheckFree.com’un başına gelenin tam aynısı.” dedi.
Bazıları Puerto Rico’da DNSSEC uygulanmalıdır derken, Diğerleri hem mümkün olmadığını hem de problemi çözmeyeceğini iddia ediyor. Puerto Rico NIC sayfasında “DNSSEC İsveç, Puerto Rico, Bulgaristan, Brezilya, Çe Cumhuriyetinde var ama VeriSign sistemi ancak 2011 sonrasında destekleyecek” deniliyor.
Symantec’e göre, gelecekte de benzer saldırılar göreceğiz. Zaten bu saldırının daha önce defalarca yapıldığı, bu seferki fark, yaygın kullanılan bir domain kayıt sistemine olması olarak tanımlanıyor.
Kaynak: http://turk.internet.com/haber/yazigoster.php3?yaziid=23869
Lazerle Hack Görmediniz!
İki güvenlik uzmanının geliştirdiği teknik, uzak mesafeden dizsütü bilgisayarlarda yazılan şeylerin ele geçirilmesine izin veriyor.
Lazer ışınıyla yapılan hack’te, sistem bir dizüstü bilgisayara yönlendirilen lazer ışını bilgisayarda basılan bütün tuşları okuyabiliyor ve bunları kullanmak artık saldıranın insafına kalıyor. Normal şartlarda böyle bir sistem zaten mümkün ve TEMPEST (bu bir kısaltma ama Türkçesi bora) olarak anılıyor. Fakat bu defa sistem oldukça küçültülmüş ve kullanımı kolay hale getirilmiş.
Lazer Kalemle Hack Olur mu?
Inverse Path’in Kıdemli Güvenlik Mühendisi Andrea Barisani ve hacker Daniele Bianco tarafından geliştirilen sistemde bir lazer saçan kalem bile kullanılabiliyor. Bu sistem 30 metreye kadar çalışıyor ve daha güzeli, eğer görünmez lazer ışını kullanılırsa (şu farelerin altında kullanılandan) duvar arkasındaki dizüstü bilgisayarlar bile okunabiliyor.
Kaynak: http://shiftdelete.net/lazerle-hack-nasil-yapiliyor-10735.html
