КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Работа с объектами файловой системы
|
|
|
|
Необходимо остановиться на способах, применяемых нарушителями с правами root для нейтрализации системы аудита. Для этого могут использоваться нижеследующие операции.
1. Удаление определенных журнальных файлов, в которых протоколируются факты проникновения в систему, повышение прав доступа, создание новых учетных записей и др. Удаление файлов для пользователя, имеющего права на поиск и запись в каталог /var/log, никаких проблем не представляет. Ликвидация бинарных файловwtmp,wtmp, lastlog, faillog приводит к тому, что регистрация соответствующих событий будет прекращена, а удаленные файлы вновь не появятся. Подобное грубое вмешательство заведомо привлечет внимание администратора и иных пользователей хотя бы по той причине, что станет невозможно пользоваться некоторыми командами, такими как who, w, last.
2. Завершение работы демона syslogd. После этого дальнейшее пополнение регистрационных записей прекратится. Демаскирующий признак – отсутствие syslogd в списке процессов. Нарушителю имеет смысл завершать этот процесс до выполнения деструктивных действий, хотя само проникновение в систему и приобретение администраторских прав будет зафиксировано.
3. Нейтрализация работы демона syslogd с оставлением его в списке процессов может происходить путем его перезапуска с направлением вывода в нулевое устройство /dev/null.
4. Установка и запуск «исправленного» демона syslogd, который не будет протоколировать демаскирующие события.
Программы, используемые злоумышленниками для очистки журналов аудита, получили название log cleaner или log wiper. Они служат для избирательного удаления информации, свидетельствующей о незаконных действиях в системе. Стирание или замена строки, демаскирующей нарушителя, в текстовом log-файле программных затруднений не вызывает (если нарушитель имеет права администратора). Но такие файлы аудита, как utmp, wtmp и lastlog, имеют двоичный вид, и произвести в них удаление или замену записей непросто.
|
|
|
В файловых системах ОС Linux основным логическим объектом является файл. Все объекты, включая устройства ввода/вывода информации и каналы межпроцессного взаимодействия, называются файлами. Определено семь функциональных типов файлов:
· обычные файлы;
· каталоги;
· символические ссылки;
· именованные каналы;
· сокеты;
· файлы символических устройств;
· файлы блочных устройств.
Внутренняя структура обычного файла для операционной системы совершенно безразлична, и файл воспринимается ею как простая последовательность байтов. Для операционной системы Linux не имеют значения расширения имён файлов, по которым можно судить об их типе. Расширение имени файла в ОС UNIX, в том числе и Linux, не предусмотрено по причине того, что символ «.» входит в состав имени файла наравне с другими символами. Точнее, пользователи могут присваивать файлам имена, содержащие точки и символы, напоминающие характерные для ОС семейства Windows расширения, но только для своего удобства.
Таким образом, внутренняя структура файла в ОС Linux целиком зависит от пользовательской программы. Исключение составляют собственно исполняемые файлы формата ELF (Executable and Linking Format), так как они непосредственно исполняются центральным процессором и запускаются при наличии установленного признака исполняемости. Они имеют по нулевому смещению от начала стандартную четырехбайтную сигнатуру, которая называется «магическим числом» файла.
В остальных случаях файл с установленным признаком исполняемости считается текстовым, содержащим строки с командами оболочки. Если первой строкой такого текстового файла является строка вида #!/bin/sh (допускается наличие пробелов после «!»), то первые два символа являются «магической комбинацией», а /bin/sh есть программа, которая будет запущена с передачей ей всех последующих строк файла. Если в первой строке отсутствует вышеописанное, то строки файла последовательно обрабатывает оболочка, обслуживающая данный терминал. Установленный признак исполняемости является необходимым, но не достаточным условием. Любому файлу можно установить сигнатуру исполняемости, но результат его запуска на исполнение будет зависеть от его содержимого.
|
|
|
Одна из утилит ОС Linux, именуемая file, умеет различать довольно много разновидностей файлов по их «магическим числам» и некоторым иным признакам внутреннего формата.
|
|
|
|
|
Дата добавления: 2015-03-31; Просмотров: 452; Нарушение авторских прав?; Мы поможем в написании вашей работы!