Re: chkrootkit e lkm
Alle 01:54, sabato 29 novembre 2003, Ferdinando ha scritto: > Beh, se mi citi una distribuzione che invece ce l'ha mi fai > felice... ;-) fedora e redhat 9 verificano le chiavi pubbliche dei repository, ma non ho capito se in automatico o se lo devi fare tu tutte le sante volte. V. -- Noi difendiamo la libertà perché non si può consentire a chi è stato comunista di andare al governo. [Silvio Berlusconi, Convention di Forza Italia, 11/05/2003] (aggiunta chiedendomi che male ci sia nei comunisti)
Re: chkrootkit e lkm
* Friday 28 November 2003, alle 19:07, Mauro scrive: > On Friday 28 November 2003 14:35, Ferdinando wrote: > > * Friday 28 November 2003, alle 08:20, Mauro scrive: > > > > Sì, uso la unstable e sì ne ho un infinità di pacchetti con "no > > > > md5sums"... > > > > Anche su stable è così, in pratica Debian (ma forse c'è solo > > Mandrake che lo fa se non ricordo male) sta implementando un > > sistema molto sicuro che ti impedirà di installare "roba" se non è > > firmata da uno sviluppatore, con controllo incrociato di firma e > > md5, sul securing manual è spiegato sicuramente meglio di come te > > l'ho detto io ;-) > > Sta implementando? > Significa che ancora non ha un sistema sicuro che controlli che i > pacchetti che vengono installati non siano contraffatti? > Uhm, dopo gli ultimi avvenimenti questo mi rende ancora piu' insicuro. > Vorrei evitare a tutti i costi di dover rifare le installazioni dei > server :-( Beh, se mi citi una distribuzione che invece ce l'ha mi fai felice... ;-) A parte le battute se non ricordo male solo Mandrake l'aveva ma anche quello non era così "certo", ovvero complesso per darti certezza, invece Debian ci sta lavorando sopra. Per metterci una pietra sopra al tutto... ricordi vero che hanno bucato anche GNU e pure, se non ricordo male kernel.org? Ciao Ferdinando
Re: chkrootkit e lkm
* Friday 28 November 2003, alle 20:05, Leonardo Canducci scrive: > On Fri, Nov 28, 2003 at 07:07:38PM +0100, Mauro wrote: > > Sta implementando? > > Significa che ancora non ha un sistema sicuro che controlli che i > > pacchetti che vengono installati non siano contraffatti? > > Uhm, dopo gli ultimi avvenimenti questo mi rende ancora piu' insicuro
Re: chkrootkit e lkm
On Fri, Nov 28, 2003 at 07:07:38PM +0100, Mauro wrote: > Sta implementando? > Significa che ancora non ha un sistema sicuro che controlli che i > pacchetti che vengono installati non siano contraffatti? > Uhm, dopo gli ultimi avvenimenti questo mi rende ancora piu' insicuro. > Vorrei evitare a tutti i costi di dover rifare le installazioni dei > server :-( "As of today (february 2003) Debian does not provide signed packages for the distribution and the woody release (3.0) does not integrate that feature. There is a solution for signed packages which will be, hopefully, provided in the next release (sarge)." vedi: http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-deb-pack-sign -- Leonardo Canducci GPG Key ID: 429683DA
Re: chkrootkit e lkm
On Friday 28 November 2003 14:35, Ferdinando wrote: > * Friday 28 November 2003, alle 08:20, Mauro scrive: > > > Sì, uso la unstable e sì ne ho un infinità di pacchetti con "no > > > md5sums"... > > Anche su stable è così, in pratica Debian (ma forse c'è solo > Mandrake che lo fa se non ricordo male) sta implementando un > sistema molto sicuro che ti impedirà di installare "roba" se non è > firmata da uno sviluppatore, con controllo incrociato di firma e > md5, sul securing manual è spiegato sicuramente meglio di come te > l'ho detto io ;-) Sta implementando? Significa che ancora non ha un sistema sicuro che controlli che i pacchetti che vengono installati non siano contraffatti? Uhm, dopo gli ultimi avvenimenti questo mi rende ancora piu' insicuro. Vorrei evitare a tutti i costi di dover rifare le installazioni dei server :-( Ciao.
Re: chkrootkit e lkm
* Friday 28 November 2003, alle 08:20, Mauro scrive: > > Sì, uso la unstable e sì ne ho un infinità di pacchetti con "no > > md5sums"... Anche su stable è così, in pratica Debian (ma forse c'è solo Mandrake che lo fa se non ricordo male) sta implementando un sistema molto sicuro che ti impedirà di installare "roba" se non è firmata da uno sviluppatore, con controllo incrociato di firma e md5, sul securing manual è spiegato sicuramente meglio di come te l'ho detto io ;-) Ciao Ferdinando
Re: chkrootkit e lkm
Alle 08:20, venerdì 28 novembre 2003, Mauro ha scritto: > Su http://www.wiggy.net/debian/developer-securing/ oltre a lanciare > chkrootkit si consiglia di usare debsums per verificare > l'autenticita' dei pacchetti. > Ma se molti di questi non hanno md5sums che razza di verifica si puo' > fare? > E poi non e' strano che alcuni pacchetti non abbiano l'md5sum? Da buon ignorantone io non so se c'è un motivo ben noto, forse chi è maintainer lo sa... > Ciao. Ciao "collega". -- Franz Debian User a intermittenza :-)
Re: chkrootkit e lkm
On Wednesday 26 November 2003 08:01, Franz wrote: > Alle 20:48, martedì 25 novembre 2003, Mauro ha scritto: > > Usi la unstable? > > Io lanciando debsums mi ritrovo con numerosi errori di questo > > tipo: > > > > ebsums: no md5sums for at > > debsums: no md5sums for base-files > > debsums: no md5sums for base-passwd > > debsums: no md5sums for bc > > debsums: no md5sums for biff > > debsums: no md5sums for bin86 > > > > ecc. ecc. su moltissimi pacchetti > > > > Risulta a qualcuno di voi? > > Sì, uso la unstable e sì ne ho un infinità di pacchetti con "no > md5sums"... Su http://www.wiggy.net/debian/developer-securing/ oltre a lanciare chkrootkit si consiglia di usare debsums per verificare l'autenticita' dei pacchetti. Ma se molti di questi non hanno md5sums che razza di verifica si puo' fare? E poi non e' strano che alcuni pacchetti non abbiano l'md5sum? Ciao.
Re: chkrootkit e lkm
Alle 20:48, martedì 25 novembre 2003, Mauro ha scritto: > Usi la unstable? > Io lanciando debsums mi ritrovo con numerosi errori di questo tipo: > > ebsums: no md5sums for at > debsums: no md5sums for base-files > debsums: no md5sums for base-passwd > debsums: no md5sums for bc > debsums: no md5sums for biff > debsums: no md5sums for bin86 > > ecc. ecc. su moltissimi pacchetti > > Risulta a qualcuno di voi? Sì, uso la unstable e sì ne ho un infinità di pacchetti con "no md5sums"...
Re: chkrootkit e lkm
> grazie per la dritta... > il mio è proprio il caso citato da loro... > comunque ho seguito le istruzioni e sto per cambiare le password > l'unica cosa è che con debsums ho trovato dei "mismatch" sui > pacchetti libpaperg > python2.1-qt3c102 > python2.3-qt3c102 > proverò a reinstallarli Usi la unstable? Io lanciando debsums mi ritrovo con numerosi errori di questo tipo: ebsums: no md5sums for at debsums: no md5sums for base-files debsums: no md5sums for base-passwd debsums: no md5sums for bc debsums: no md5sums for biff debsums: no md5sums for bin86 ecc. ecc. su moltissimi pacchetti Risulta a qualcuno di voi?
Re: chkrootkit e lkm
Alle 09:54, martedì 25 novembre 2003, Mattia Dongili ha scritto: > On Mon, Nov 24, 2003 at 08:57:44AM +0100, Franz wrote: > > Ciao a tutta la lista, > > dopo aver lanciato un chkrootkit ho visto: > > > > checking "lkm"... You have 4 process hidden for ps command > > Warning: possible LKM trojan installed > > > > Ora mi chiedo: > > 1) come posso verificare se il "possible" sia "real" oppure, come ho > > letto di sfuggita su dei post di kuht.it (non posso postare i riferimenti > > perché visti sul pc di un amico), sia un falso allarme? > > e' probabile che siano dei false positives, prova con chkrootkit -x lkm > C'e' un piccola guida creata per il recente defacement delle macchine > debian: http://www.wiggy.net/debian/developer-securing/ grazie per la dritta... il mio è proprio il caso citato da loro... comunque ho seguito le istruzioni e sto per cambiare le password l'unica cosa è che con debsums ho trovato dei "mismatch" sui pacchetti libpaperg python2.1-qt3c102 python2.3-qt3c102 proverò a reinstallarli -- Franz Debian User a intermittenza :-)
Re: chkrootkit e lkm
On Mon, Nov 24, 2003 at 08:57:44AM +0100, Franz wrote: > Ciao a tutta la lista, > dopo aver lanciato un chkrootkit ho visto: > > checking "lkm"... You have 4 process hidden for ps command > Warning: possible LKM trojan installed > > Ora mi chiedo: > 1) come posso verificare se il "possible" sia "real" oppure, come ho letto di > sfuggita su dei post di kuht.it (non posso postare i riferimenti perché visti > sul pc di un amico), sia un falso allarme? e' probabile che siano dei false positives, prova con chkrootkit -x lkm C'e' un piccola guida creata per il recente defacement delle macchine debian: http://www.wiggy.net/debian/developer-securing/ > 2) tenuto conto che la mia macchina sta in una rete dietro un router che fa > il > natting, anche se fossi compromesso, in concreto cosa rischierei? se il cattivone ha posseduto anche il firewall puo' fare quello che vuole :) > 3) mi preparo a usare la sabbiatrice sull'hard disk? no, vedi punto 1 ciao -- mattia :wq!
chkrootkit e lkm
Ciao a tutta la lista, dopo aver lanciato un chkrootkit ho visto: checking "lkm"... You have 4 process hidden for ps command Warning: possible LKM trojan installed Ora mi chiedo: 1) come posso verificare se il "possible" sia "real" oppure, come ho letto di sfuggita su dei post di kuht.it (non posso postare i riferimenti perché visti sul pc di un amico), sia un falso allarme? 2) tenuto conto che la mia macchina sta in una rete dietro un router che fa il natting, anche se fossi compromesso, in concreto cosa rischierei? 3) mi preparo a usare la sabbiatrice sull'hard disk?