Изпечатай

[maxich]

Здравейте,

Бих искал да попитам онези, които са запознати и използват Ubuntu Karmic, има ли някъде компактна информация, обясняваща всеки от списъка с процесите, действащи след зареждане на системата? Имам предвид стандартната конфигурация, защото ако човек собственоръчно си е пускал нещо допълнително, обикновено, може и сам да го идентифицира. Въпросът е, че иначе текат някакви десетки и т.н. спящи и прочие неща, които повечето хора просто няма как да разпознаят нормални ли са или представляват друго, от което да се плашиш. Поддържа ли се например някъде актуален списък с болестотворни процеси, за които трябва да се внимава? Сега, като се разрових в мрежата, виждам че и книги за хакване на Ubuntu вече се появяват, което явно тепърва ще се задълбочава с разпространението на системата, и затова си позволявам да отворя нова тема по отношение на действащите процеси

[anstas]

Здравей!

http://unixtoolbox.vladimirkolev.com/unixtoolbox.xhtml#processes

Прегледай: 1.2  и раздел 2!
Има интересни неща и като, Зареждане, статистики и съобщения
и като процеси.

Поздрави!

[maxich]

Здравей!
http://unixtoolbox.vladimirkolev.com/unixtoolbox.xhtml#processes
Прегледай: 1.2  и раздел 2!
...

Благодаря, но и във всичките тези опции не откривам възможност за разпознаване на процесите от гледна точка на сигурността. Ето, с „top“ например виждам, че ми текат над 180 процеса общо със спящите и въпроса е да има начин, по който човек да си извежда информация за всичките с няколко думи кратко описание до всеки от тях и/или съответното обозначение, така че да може своевременно да се преценява дали процеса е типичен за работата на системата, или е нещо нетипично (?)

[Kras]

Ей тук пише нещо по въпроса:
http://linux.aldeby.org/speed-up-your-ubuntu-linux-boot.html

Виж и тази програма за процесите по време на стартиране: http://www.bootchart.org/

[dejuren]

Четем за chkrootkit и rkhunter. Така вместо да се чудиш кой процес е подозрителен, кой не ще получиш списък.

[maxich]

Четем за chkrootkit и rkhunter. Така вместо да се чудиш кой процес е подозрителен, кой не ще получиш списък.

И двете ги прилагам, естествено, като веднага мога да кажа, че при тях вече се получават толкова фалшиви тревоги по принцип /а не само при мен/, че човек логично започва да се пита дали има смисъл и доколко може да разчита, като имате предвид че и --propupd на rkhunter си е изцяло на твоя отговорност. Така че, моля, нека да не изместваме темата. Ако се замислите, вероятно ще се убедите, че намирането на начин, чрез който всеки да може лесно да разпознава течащите процеси от гледна точка на сигурността, би било изключително ефективна възможност за текущ мониторинг и контрол над системата, както се получава посредством Firestarter например за текущите връзки в мрежата. И съответно това би било още едно съществено предимство пред „Windows“, където процесите също не могат да бъдат разпознавани от въпросната гледна точка и човек пак трябва да е някакъв суперспециалист за да знае всяко от всичките там за какво е

[dejuren]

... намирането на начин, чрез който всеки да може лесно да разпознава течащите процеси от гледна точка на сигурността, би било изключително ефективна възможност за текущ мониторинг и контрол над системата

Извинявай, но такова животно няма. Ти вкара под един знаменател професионалистите с опит и начинаещите. Нека го перефразирам, с надеждата да бъда разбран: "намирането на начин всеки да направи основен ремонт на двигателя и реглаж на карбуратора/електрониката би било изключително ефективна възможност за подобряване икономичността на автопарка". Е, не. Аз ходя при автомонтьор когато мисля, че с колата нещо не е наред, а автомонтьора пита мен, когато компа му дава процеси които не знае дали са нормални.
ПП Автомонтьора е само пример, замества се със зидаро-мазач, хирург, полицейски експерт, атомен физик по желание.

[tonitochev]

Вместо top, може да се използва htop. Той освен че подрежда процесите по това колко ресурси използват, позволява чрез стрелките да се разгледат всички процеси и съответно да се управляват. Освен това показва даден процес коя програма го е породила. Това е достатъчно. Просто потребителят, ако е толкова параноичен де, ще трябва да разгледа и запомни процесите при нормална работа. Така даже ще си опознае системата по-добре.
За десктоп система целият този страх от вредоносни процеси за Уиндоус система е нормален, но за Линукс е просто смешен.

[gat3way]

Абсолютно безсмислено. Първо, името на процеса няма никакво значение и е повече от глупаво на база това да преценяваш дали е malicious или не. Второ, криенето на процеси при положение че имаш superuser-ски права не е особено сложно. Същото важи за криене на файлове, както и на отворени файлове и сокети (това което виждаш с lsof и netstat). В интерес на истината, криенето на злонамерен код и съответно откриването му е доста дебела работа под линукс, както и под която и да е друга операционна система разбира се.

[maxich]

Добре, но всяко нещо, което се крие, може все пак да бъде показвано, нали? От друга страна, на едно и също място не може да има два файла с едно и също име, така че дори името на самия процес да е маскирано, той пак може да бъде разпознаван. И т.н..., въпреки че разбирам защо и в мрежата не се открива нищо по въпроса, тъй като явно тези възможности все още не са разработени, продължавам да мисля, че би било изключително полезно при наблюдението на процесите да има една надеждна и достъпна идентификация за принадлежността на всеки от гледна точка сигурността на системата. Всъщност, то и сега има някакъв „Контекст на сигурността“, но там навсякъде пише или „unconfinеd“, или не пише нищо, така че каква полза? Човек би искал да знае дали съответния процес му е необходим и принадлежи за нормалното функциониране на системата или е нещо външно, зловредно

Поздрави!

[gat3way]

Ако не пише нищо, значи няма selinux, ако _всичките_ са unconfined, тогава е много странна работата. Принципно има два варианта - targeted или strict policy. При първия вариант, разните демони се confine-ват и си работят в техния си контекст с множеството им от позволени обекти, ресурси и операции там. Потребителските процеси (демек тези които си си напускал след login) се водят unconfined, ерго правомощията им са относително неограничени. Когато се ползва strict policy, тогава и потребителите се confine-ват, това е доста по-сигурен вариант от една страна, от друга страна евентуалните проблеми с това при една десктоп система са ужасно много - просто има прекалено много софтуер, за да може разработчиците на selinux модули да наваксат, ужасно много гранични положения, където да възникнат проблеми и ще бъде голяма драма за потребителите. Затова досега поне на мен не ми е известен случай, където десктоп дистрибуция да е прегърнала strict selinux policy.

Що се отнася до криенето и показването, понякога е доволно трудно да бъдат показвани скрити неща. Модифицира ли се ядрото, откриването на скрити процеси, файлове и т.н. става на практика невъзможно със стандартни средства и трябва да се ползва някакъв специално написан за целта софтуер. Няма значение как ще бъде "маскиран" процеса - той просто няма да се вижда - нито с top, нито с ps, нито с lsof, нито с каквото и да е подобно utility - за администратора, такъв процес няма. На практика, дори и да не се модифицира ядрото, криенето на процеси и файлове пак не е толкова сложно, тъй като почти всичкия инструментариум е динамично-свързан и злонемерените гадове да се възползват от това, за да overload-ват glibc функции.

Ако случайно ти е интересно - можеш да погледнеш следните (идиотски) експерименти по въпроса:

http://www.gat3way.eu/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=34&cntnt01returnid=15
http://www.gat3way.eu/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=36&cntnt01returnid=15
http://www.gat3way.eu/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=38&cntnt01returnid=15

Апропо, това са много стари и добре известни неща, в днешно време идеите са доразработени до още по-брутални сценарии: backdoor-ване чрез разни занимавки с x86 debug регистрите, което прави откриването почти невъзможно, backdoor-ване на SMM handler-а - което прави откриването _още_ по-невъзможно.

Та изводът от това е че човек просто не може да разчита напълно на такива неща. Може и да се напише такъв софтуер, който рови из procfs, ptrace-ва разни процеси и търси някакви характеристики на злонамерен софтуер. Това обаче няма да е гаранция, че на системата ти не се изпълнява злонамерен код. В уиндоус света е същата работа. Защо според теб няма антивирусен софтуер, който тотално да решава проблемите с malware-а? Защо постоянно трябва да се update-ват вирусни дефиниции? Защо нямат край тези дивотии с вирусите и антивирусните?

[maxich]

Всичките са си unconfined без значение като какъв тип потребител съм се логнал. Единствено при dhclient, cupsd и freshclam там не пише нищо

[gat3way]

Като напишеш "getenforce" какво ти казва?

[maxich]

Казва, че е Disabled. Това не е ли нормално за Ubuntu Karmic

[gat3way]

Ммм, при това положение всичките трябва да излизат "празни", демек без selinux етикет. Странна работа.