SourceFiles.org - Use the Source, Luke
Home | Register | News | Forums | Guide | MyLinks | Bookmark

Related Sites

Latest News
  General News
  Reviews
  Press Releases
  Software
  Hardware
  Security
  Tutorials
  Off Topic


Back to files 
                             ProSum 0.28
                          -----------------
  • ¿Que es?: ProSum es un programa para terminal que protege archivos, sys_call_table y la IDT de la forma que lo hace tripwire (Todo en espacio de usuario, sin modulos para el kernel). Ademas, la base de datos que contiene los ficheros, etc. puede estar encriptada con el algortimo Blowfish y los ficheros protegidos pueden estar en un host seguro/bastion para, en caso de intrusion, cambiar por los ficheros antiguos. Puedes desactivar el soporte para sys_call_table e IDT si vas a correr el programa en un SO que no sea Linux. ProSum puede correr en cualquier sistema UNIX, por lo menos con la proteccion de ficheros solo (sin soporte para sys_call_table, ni para IDT). ProSum esta diseñado idealmente para que si se corre en Linux x86 el kernel no tenga soporte para la carga de modulos o tenga algun tipo de proteccion contra la carga y descarga de modulos, para mayor proteccion. De todas maneras esto no es necesario, aunque si recomendable.
  • Software Requerido: gettext libtermcap readline libc Y si se quiere encriptacion: libopenssl
  • Como Compilarlo: Para compilarlo, simplemente poner ./configure y despues make. Una vez compilado meter en el /etc/rc.local del bastion host por ejemplo lo siguiente: cd /ruta/al/utils/snd_tcp_serv/ && ./snd_tcp_serv & Para arrancar el demonio que sirve los ficheros al ProSum
  • Ejemplos de Uso: Imaginemos que queremos proteger el fichero /bin/ping: # Metemos los ficheros a proteger en un archivo echo "/bin/ping" > files # Creamos la base de datos prosum -c files bbdd

    Y ya tendriamos protegido ese fichero, lo que hariamos ahora seria meter el siguiente comando en el CROND para que nos mande por el mail el reporte de si algo ha cambiado o no: echo -e "From: ProSum\r\nSubject: Verify Changes\r\n" > ret && \ prosum -v bbdd >> ret && /var/qmail/bin/qmail-inject fkt < ret && rm -f ret

    Asi seria si usamos qmail, con otro MTA seria de otra forma.

    Imaginemos ahora que instalamos una nueva version del ping, pues hacemos lo siguiente: prosum -v bbdd -i Y cuando nos pregunte si queremos guardar los cambios le decimos que si.

    Imaginemos ahora que nos han troyanizado el /bin/ping y lo vemos en el mail pues para restaurarlo lo que hacemos es: prosum -v bbdd -a Y los restaurara automaticamente. Tambien se podria hacer interactuando con el programa de la siguiente manera: prosum -v bbdd -i Cuando nos pregunte que si queremos guardar los cambios le decimos que no, y luego a la pregunta de si queremos restaurar los cambios le decimos que si.

    El mecanismo de la IDT y las Syscalls es exactamente igual solo que no se han de meter en ningun archivo para protegerlas.

  • Recomendaciones: Es altamente recomendable guardar una copia de la base de datos por si el programa hace algo inesperado y se queda mal. Una vez instalado el programa, hacer un strip prosum para mayor seguridad. Proteger el binario del ProSum con el propio programa. No especificar en el configure ningun --with-*-headers si se tienen las cabeceras en /usr/include.
  • Agradecimientos:
    kad
    Por dejarme usar su codigo en la parte de IDT publicado en el articulo 4 de la Phrack #59. Linux4All, Ripe, TaRRaDeLo, Seamus y Doing: Por su inestinable ayuda.


Other Sites

Discussion Groups
  Beginners
  Distributions
  Networking / Security
  Software
  PDAs

About | FAQ | Privacy | Awards | Contact
Comments to the webmaster are welcome.
Copyright 2006 Sourcefiles.org All rights reserved.