==============================================================================
-----------[ BFi numero 10, anno 4 - 30/09/2001 - file 9 di 18 ]--------------
==============================================================================
-[ HACKiNG ]------------------------------------------------------------------
---[ ELE0N0RA v0.2
-----[ Tharkas - http://tharkas.mascanc.net
Eleonora 0.2 Ovvero l'ennesimo modulo atto a limitare la liberta` di
espressione e di divertimento degli utenti maliziosi.
Di Tharkas (tharkas@tiscalinet.it)
ATTENZIONE: L'autore dell'articolo e del programma Eleonora non si assume
alcuna responsabilita` per i danni che uno scorretto uso degli stessi
potrebbero provocare al vostro computer. Non si assume nemmeno
responsabilita` per i danni che potrebbero provocare se usati correttamente,
del resto. =)
Un salutone con tanto di bacio con lingua a: La persona che porta il nome del
programma.. :)
Un mega insulto a: il suo ragazzo....
El33t qu0t3:
"Se vorrei potrei imparare il C in un giorno."
"Impara l'italiano prima, potrebbe esserti piu` utile."
Credits sparsi:
- RageMan, lemming- & gli altri: Uh.. Ciao.
- ARS3N1C0: Hai detto che ci tenevi..
- Joy: Felice pargolo!
- vecna e Raistlin: vi siete sorbiti le 7 (sette!) versioni del mio
programma in pochi giorni, ognuna differente dall'altra solo per un
bugfix o un'aggiunta stupida.. Dovrebbero farvi santi.
1. DISCLAIMER
2. SALUTINI DELLA MINCHIA
3. DESCRIZIONE DEL PROGRAMMA
4. FEATURES
5. AVVERTIMENTO MOLTO IMPORTANTE
6. INSTALLAZIONE
7. CONFIGURAZIONE
8. MA BASTA QUESTO ?
9. CONCLUSIONI
10. AGGIORNAMENTO POSTUMO
3. DESCRIZIONE DEL PROGRAMMA
Eleonora e` un kit atto ad impedire che gli utenti del sistema si prendano...
Diciamo, "troppe liberta`".
E` completamente modulare, quindi potrete facilmente liberarvene quando non lo
vorrete nemmeno piu` vedere.
Descrivero` le features implementate nel prossimo paragrafo, per ora vi basti
sapere che quando la versione accando al nome del programma non sara` 0.2, ma
sara` magari 1.0, gli utenti maliziosi potranno veramente attaccarsi al tram e
tirare.
4. FEATURES
Ognuna delle caratteristiche che andro` a descrivere e` attivabile e
disattivabile a piacimento (vedi paragrafo CONFIGURAZIONE).
Locked_files = I file con owner root, group root e permessi settati a 0
(chmod 0 file) non possono essere usati da nessuno, nemmeno dal root.
Deny_vcss = Se attivato, l'unica /dev/vcs* e /dev/vcsa* accessibile sara`
la propria. Per tutti. (Vedere ad esempio il sorgente sinto.c by vecna se
non si e` capito niente di quello che ho detto).
Deny_ttys = Idem come sopra, ma con le tty. Questo e` disabilitato di default
perche` accedere ad altre tty serve, ad esempio, per i vari bcast message di
shutdown o per il comando write(1).
Remote_root = Se attivato impedisce un setuid(0) e un setgid(0) (praticamente,
settarsi superuser) tranne che alle tty scritte nel file di configurazione
/etc/Eleonora/tty.allow .
Il formato e` questo: in pratica dovete scrivere i tty_name dei gruppi che
volete far entrare (es. /dev/tty), su righe incolonnate.
Id_redirect = Gli utenti che si trovano nella situazione di cui sopra
(Remote_root), vengono assegnati all'id e al gid settati qui.
Restricted_socket_use = Arriviamo a livelli assolutamente paranoici. Solo
chi ha id minore o uguale a quella fissata nella prossima opzione puo` usare
i socket.
Minimum ID = Gia` spiegata.
No_binding = NESSUNO puo` eseguire una chiamata a bind(2) e avere successo.
No_daemons_shell = Impedisce ai processi che hanno un socket connesso in
qualche modo (anche come client) di eseguire /bin/sh.
Security_level = Se e` 0, il superuser puo` rmmodare Eleonora. Se e 1, non
lo puo` fare nemmeno Gesu`.
Logging = Scrive nel file /etc/Eleonora/ele.log .
Deny_insmod = Impedisce che vengano caricati altri moduli... E` per
evitare che vengano aggiunte altre 'teste di ponte'.
Save = Si spiega da solo.. E` necessario farlo, chiaramente.
Exit = Ma a che mai servira`...
Load_Defaults = Serve a caricare i valori di default per le opzioni.
5. AVVERTIMENTO MOLTO IMPORTANTE
Per utilizzare tutte le opzioni che limitano i comandi degli utenti, DOVETE
ASSOLUTAMENTE SAPERE COSA DIAVOLO STATE FACENDO! Molte opzioni potrebbero
risultare fatali per la salute di un computer, se le si usa sconsideratamente!
In particolare, se si usa l'opzione "Livello di sicurezza 1" NON E' POSSIBILE
RMMODARE Eleonora, a meno di riavviare il computer.
6. INSTALLAZIONE
Lair:~/Eleonora# make
make Eleonora
make[1]: Entering directory `/root/Eleonora'
gcc -c -O6 -I/usr/src/linux/include Eleonora.c
make[1]: Leaving directory `/root/Eleonora'
make configure
make[1]: Entering directory `/root/Eleonora'
gcc -o configure configure.c
make[1]: Leaving directory `/root/Eleonora'
Lair:~/Eleonora# make install
mkdir /etc/Eleonora
touch /etc/Eleonora/ele.log
touch /etc/Eleonora/tty.allow
cp Eleonora.o /etc/Eleonora/
cp configure /usr/bin/ele-conf
Piu` semplice di cos` si muore.
7. CONFIGURAZIONE
Fate partire ele-conf e destreggiatevi tra le opzioni descritte nel paragrafo
4. Ricordatevi di salvare =)
Poi dovrete solo insmodare Eleonora (o farlo insmodare al boot).
Se posso permettermi un consiglio, se dovete gestire un server (e quindi avete
intenzione di far partire in automatico Eleonora al boot), lasciatelo come
ultimo programma, cosi` i demoni possano partire senza problemi, e quando sul
sistema non si fa partire piu` nulla, Eleonora cerchera` di garantire la
sicurezza.
8. MA BASTA QUESTO ?
No. Un sistema che si basa su un unico modulo per la sicurezza, rimane
comunque tranquillamente 'bucabile'. Eleonora e` uno _STRUMENTO_ che puo`
aiutare verso la ricerca della sicurezza, non la panacea di tutti i mali.
Cercate, nei limiti del possibile, di ricompilare il software con compilatori
anti-buffer overflow, e di aggiornare di frequente i demoni.
9. CONCLUSIONI
Io ho finito, mi augro che il mio programmino possa esservi d'aiuto.
10. AGGIORNAMENTO POSTUMO
Ho rivisto il sorgente del programma in modo da adeguarlo per il kernel
2.4.x... Grazie vecna per avermi fatto notare la mancanza =)
Buon divertimento,
- Tharkas (tharkas@tiscalinet.it)
[NDR: i file del progetto sono in attachment/Eleonora0.2.tar.gz ]
==============================================================================
---------------------------------[ EOF 9/18 ]--------------------------------
==============================================================================