RE: [FreeBSD] chkrootkit ve lkm
Mesut hocam, "rkhunter" ile ilgili gonderdiginiz mail'de ciktilar yer almiyor :)) Hocam, keylogger'lar genelde keyboard portu (aygiti) uzerine yapilan "input" lari log olarak tutar. Konsola input olarak bir girdi yapamaz, sadece okuyabilir.. Bu sebeple sizin konsolunuzun bir satir asagiya dusmesi; yani SSH'da veya diger konsollarda "enter" a basilmalarin sebebi baska seyler olabilir. Konsolun size sundugu prompt disindan bir mudahele soz konusu ise, bunun komut calistirmak seklinde olabilecegini sanmiyorum. Bildiginiz uzere konsollar karakter aygitlarindandir. Eger bir konsoldan diger bir konsola bir karakter basmak isterseniz bunu bir dosyaya girdi yapar seklinde basarsiniz. (Aslinda UNIX/BSD/Linux isletim sistemlerin hersey dosyalardan ve soketlerden ibarettir.) sh # echo ""> /dev/ttyXX Fakat diger konsol sizin konsolunuza mudahele ederken sadece karakter (stderr'e dusen hatalar seklinde) olarak mudahele edecektir. Mudahele edilen konsol ise bunlari bir string dizisi olarak kabul edecek ve komut yorumlama islemini gerceklestirmeyecektir.. Acaba "enter"a basildigini dusundugunuz noktada, konsol size nasil tepki veriyor ? Tekrar direk olarak kabuga (direk alt satira) mi dusuyor yoksa kabuk prompt'u geri gelmemis kursor 1 alt satirda mi bekliyor ve siz mudahele edince mi prompt geri geliyor ? Mesut Hocam, ayrica gonderdiginiz ciktilari inceledim.. Sahsen cok enteresan birsey goremedim. "crontab"a basit bir script yazmanizi ve surekli olarak "last" ciktisini yani son giris yapan kullanici ciktisini bir dosyaya tutmanizi onerebilirim. Ayrica bir komut isletebilmek icin bir konsola sahip olmaniz gerekir. Eger bir konsola sahip iseniz; bunu "w" ciktisinda gorebilirsiniz.. Bu komutun ciktisini da surekli olarak bir dosyaya kaydedip kontrol edebilirsiniz.. Saygilarimla.. Mehmet CELIK _ Climb to the top of the charts! Play Star Shuffle: the word scramble challenge with star power. http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] tum network umu dinleyecek sniffer hk. bilgi talebi
Selamlar.. Windows sunucuyu izlemek istiyorsaniz, windows bilesenlerinde SNMP mevcut olarak bulunmaktadir. Lokasyonda bulunan bir Linux makina uzerinden mrtg ile Windows sunucudaki SNMP degerlerini cekebilirsiniz. Iyi calismalar.. > Date: Wed, 31 Oct 2007 16:54:08 +0200 > From: [EMAIL PROTECTED] > To: [EMAIL PROTECTED]; freebsd@lists.enderunix.org > Subject: [FreeBSD] tum network umu dinleyecek sniffer hk. bilgi talebi > > Merhabalar , > Birbirine wireless ile bagli ayni subnetli 2 locasyonumuz bunulmaktadir. > Sunucularimiz Merkez locasyonda . Merkez ile sube arasindaki paket trafigini > olcmek istiyoruz. Ozellikle Sube sql mi daha cok > kullaniyor yoksa web i mi? > Herhangibir PC ye kurup olce bilecegim program var mi? (Wireless > baglantisinin yavaslamasi sebebi ile Access Point in hemen > arkasina kurulum yapamiyorum. Sunucum Windows) > Simdiden tesekkur ederim. iyi gunler ve iyi calismalar > -- > Ahmet Musa KOSALI > msn : ahmetmusa (at) msn.com > Skype : ahmetmusa> www.ahmetmusa.com _ Help yourself to FREE treats served up daily at the Messenger Café. Stop by today. http://www.cafemessenger.com/info/info_sweetstuff2.html?ocid=TXT_TAGLM_OctWLtagline - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] chkrootkit ve lkm
İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. Konsola düşüyor. [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# Şeklinde.. "w" komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# w 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 USER TTY FROM LOGIN@ IDLE WHAT mesutp0 172.16.0.80 11:16AM - w [EMAIL PROTECTED]:~]# who mesutttyp0 1 Kas 11:16 (172.16.0.80) [EMAIL PROTECTED]:~]# "Last" komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# last mesutttyp0172.16.0.80 Per 1 Kas 11:16 still logged in wtmp begins 1 Kas 2007 Per EET 11:16:48 [EMAIL PROTECTED]:~]# /usr/bin/login [ Warning ] has the immutable-bit set. /usr/bin/passwd [ Warning ] has the immutable-bit set. /usr/bin/su [ Warning ] has the immutable-bit set. /usr/bin/whatis [ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /sbin/init [ Warning ] has the immutable-bit set. /usr/sbin/adduser[ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /usr/local/sbin/pkgdb[ Warning ] has been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 script text executable Checking package database[ Warning ] Warning: The package database seems to have inconsistencies.This may not be a security issue, but running 'pkgdb -F' may help diagnose the problem. Checking for hidden files and directories[ Warning ] Warning: Hidden directory found: /usr/.snap Checking version of OpenSSL [ Warning ] Warning: Application 'openssl', version '0.9.7e', is out of date, and possibly a security risk. -Original Message- From: mehmet celik [mailto:[EMAIL PROTECTED] Sent: Thursday, November 01, 2007 10:47 AM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] chkrootkit ve lkm Mesut hocam, "rkhunter" ile ilgili gonderdiginiz mail'de ciktilar yer almiyor :)) Hocam, keylogger'lar genelde keyboard portu (aygiti) uzerine yapilan "input" lari log olarak tutar. Konsola input olarak bir girdi yapamaz, sadece okuyabilir.. Bu sebeple sizin konsolunuzun bir satir asagiya dusmesi; yani SSH'da veya diger konsollarda "enter" a basilmalarin sebebi baska seyler olabilir. Konsolun size sundugu prompt disindan bir mudahele soz konusu ise, bunun komut calistirmak seklinde olabilecegini sanmiyorum. Bildiginiz uzere konsollar karakter aygitlarindandir. Eger bir konsoldan diger bir konsola bir karakter basmak isterseniz bunu bir dosyaya girdi yapar seklinde basarsiniz. (Aslinda UNIX/BSD/Linux isletim sistemlerin hersey dosyalardan ve soketlerden ibarettir.) sh # echo ""> /dev/ttyXX Fakat diger konsol sizin konsolunuza mudahele ederken sadece karakter (stderr'e dusen hatalar seklinde) olarak mudahele edecektir. Mudahele edilen konsol ise bunlari bir string dizisi olarak kabul edecek ve komut yorumlama islemini gerceklestirmeyecektir.. Acaba "enter"a basildigini dusundugunuz noktada, konsol size nasil tepki veriyor ? Tekrar direk olarak kabuga (direk alt satira) mi dusuyor yoksa kabuk prompt'u geri gelmemis kursor 1 alt satirda mi bekliyor ve siz mudahele edince mi prompt geri geliyor ? Mesut Hocam, ayrica gonderdiginiz ciktilari inceledim.. Sahsen cok enteresan birsey goremedim. "crontab"a basit bir script yazmanizi ve surekli olarak "last" ciktisini yani son giris yapan kullanici ciktisini bir dosyaya tutmanizi onerebilirim. Ayrica bir komut isletebilmek icin bir konsola sahip olmaniz gerekir. Eger bir konsola sahip iseniz; bunu "w" ciktisinda gorebilirsiniz.. Bu komutun ciktisini da surekli olarak bir dosyaya kaydedip kontrol edebilirsiniz.. Saygilarimla.. Mehmet CELIK _ Climb to the top of the charts! Play Star Shuffle: the word scramble challenge with star power. http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.o
RE: [FreeBSD] chkrootkit ve lkm
Hocam, asagidaki gibi kontrol ciktisi daha once gormedim. Bu konuda yorum yapamayacam. Bilen ustadlarimiz varsa, bizide bizide bilgilendirirlerse sevinirim.. > /usr/bin/login [ Warning ] has > the immutable-bit set. "w" ciktisindaki IDLE tanimi kabuk uzerinde calistirilan son komuttan bu yana gecen zamani tutar. Aslinda son komut degil. Mesela konsola bir karakter dizisi yazmaniz konsol uzerindeki IDLE tanimini degistirmez!! Ne zaman siz "enter"a karsilik gelen '\n' karakterinin ASCI kodunu basarsaniz o zaman IDLE tanimi tekrar sifirlanir. Yani kisaca "enter"larsaniz o zaman zaman sifirlanir. Eger sistemde sizden habersiz biseler oldugunu dusunuyorsaniz asagidaki gibi bir script ile IDLE zamanini surekli olarak kontrol edebilirsiniz.. # Script baslangic #!/bin/sh DATE=`date +%F-%H:%M` LOGDIR="/var/log/cons/" for cons in /dev/tty* ; do CONS=`basename ${cons}` IDLE=`w | grep ${CONS} | awk -F' ' '{print $5}' ` if [ "${IDLE}" = "" ]; then continue else echo "${DATE} - ${CONS} konsolu ${IDLE} zamanindan bu yana islem gormemistir.">> ${LOGDIR}/${CONS} fi done # Script bitis Bu script; belirleyeceginiz peryotlarda calistirilirsa, sistemdeki aktif olan tum konsollara bakacaktir. Eger bir konsol aktif ise "w" ciktisinda yer alacagindan dolayi tum aktif konsollar kontrol edilecektir. Aktif olan konsollar icin belirtilen dizinde konsolun ismine bagli bir log dosyasi tutacaktir. Scripti "cron"a bagladiktan sonra kabuk uzerinde her "enter"a basildigi anda log dosyasindaki IDLE zamani degismis olacaktir. Hocam insalla yardimi olur.. Saygilarimla.. Mehmet CELIK > From: [EMAIL PROTECTED] > To: freebsd@lists.enderunix.org > Date: Thu, 1 Nov 2007 11:43:59 +0200 > Subject: RE: [FreeBSD] chkrootkit ve lkm > > İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar > gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. > Konsola düşüyor. > > [EMAIL PROTECTED]:~]# > [EMAIL PROTECTED]:~]# > [EMAIL PROTECTED]:~]# > > Şeklinde.. > > "w" komut çıktım ise şu şekilde; > > [EMAIL PROTECTED]:~]# w > 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 > USER TTY FROM LOGIN@ IDLE WHAT > mesut p0 172.16.0.80 11:16AM - w > [EMAIL PROTECTED]:~]# who > mesut ttyp0 1 Kas 11:16 (172.16.0.80) > [EMAIL PROTECTED]:~]# > > "Last" komut çıktım ise şu şekilde; > > [EMAIL PROTECTED]:~]# last > mesut ttyp0 172.16.0.80 Per 1 Kas 11:16 still logged in > > wtmp begins 1 Kas 2007 Per EET 11:16:48 > [EMAIL PROTECTED]:~]# > > > /usr/bin/passwd [ Warning ] has > the immutable-bit set. > /usr/bin/su [ Warning ] has > the immutable-bit set. > /usr/bin/whatis [ Warning ] has > been replaced by a script: /usr/bin/whatis: Bourne shell script text > executable > /sbin/init [ Warning ] has > the immutable-bit set. > /usr/sbin/adduser [ Warning ] has > been replaced by a script: /usr/bin/whatis: Bourne shell script text > executable > /usr/local/sbin/pkgdb [ Warning ] has > been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 > script text executable > Checking package database [ Warning ] > Warning: The package database seems to have inconsistencies.This may not be > a security issue, but running 'pkgdb -F' may help diagnose the problem. > Checking for hidden files and directories [ Warning ] > Warning: Hidden directory found: /usr/.snap > Checking version of OpenSSL [ Warning ] > Warning: Application 'openssl', version '0.9.7e', is out of date, and > possibly a security risk. > > Climb to the top of the charts! Play Star Shuffle: the word scramble > challenge with star power. > http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct > > - > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine > bakiniz. > > Cikmak icin, e-mail: [EMAIL PROTECTED] > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 > > - > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine > bakiniz. > > Cikmak icin, e-mail: [EMAIL PROTECTED] > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 > _ Windows Live Hotmail and Microsoft Office Outlook – together at last. Get it now. http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups
[FreeBSD] dosya bütünlüÄü
Sistem içerisinde oluÅturulan yakÅalık 4.3 GB lik bir dosyanın deÄiÅtirilmediÄini, deÄiÅtirilemez olduÄunu, en son iÅlem tarihinden bu ana kadar herhangi bir iÅlem görmediÄini kanıtlamak için ne önerirsiniz ya da sizler ne kullanıyorsunuz. Tabiki bunda zaman damgası vs da söz konusu. Hash olmalı sanırım ama nasıl? Ä°yi çalıÅmalar... Mesut GÃLNAZ
Re: [FreeBSD] dosya bütünlüÄü
Merhaba Mesut, en son iÅlem gördüÄü tarihte dosyanın md5 özeti varsa tekrar md5 özeti alarak kontrol edebilirsin. Thursday, November 1, 2007, 3:09:10 PM, you wrote: > > > > Sistem içerisinde oluÅturulan  yakÅalık 4.3 GB lik bir dosyanın > deÄiÅtirilmediÄini, deÄiÅtirilemez olduÄunu, en son iÅlem tarihinden > bu ana kadar herhangi bir iÅlem görmediÄini kanıtlamak için ne > önerirsiniz ya da sizler ne kullanıyorsunuz. Tabiki bunda zaman > damgası vs da söz konusu. Hash olmalı sanırım ama nasıl? > >  > > Ä°yi çalıÅmalar... > >  > > Mesut GÃLNAZ > > > -- + + http://www.enderunix.org/ismail http://www.endersys.com.tr + + EnderUNIX SDT @ Tr Endersys Consultancy Ltd.+ + ismail ~ enderunix.org ismail.yenigul ~ endersys.com.tr + + Volunteer, Core Team Member Project Manager + + TCP/IP ve AÄ güvenliÄi kitabının 2. baskısı çıktı! http://dukkan.acikakademi.com - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] chkrootkit ve lkm
Dediğiniz şekillerde console u takip edeceğim. Ancak immutable-bit konusunda diğer arkadaşlardan bilgi alabilirsek çok seviniriz... -Original Message- From: mehmet celik [mailto:[EMAIL PROTECTED] Sent: Thursday, November 01, 2007 3:02 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] chkrootkit ve lkm Hocam, asagidaki gibi kontrol ciktisi daha once gormedim. Bu konuda yorum yapamayacam. Bilen ustadlarimiz varsa, bizide bizide bilgilendirirlerse sevinirim.. > /usr/bin/login [ Warning ] has > the immutable-bit set. "w" ciktisindaki IDLE tanimi kabuk uzerinde calistirilan son komuttan bu yana gecen zamani tutar. Aslinda son komut degil. Mesela konsola bir karakter dizisi yazmaniz konsol uzerindeki IDLE tanimini degistirmez!! Ne zaman siz "enter"a karsilik gelen '\n' karakterinin ASCI kodunu basarsaniz o zaman IDLE tanimi tekrar sifirlanir. Yani kisaca "enter"larsaniz o zaman zaman sifirlanir. Eger sistemde sizden habersiz biseler oldugunu dusunuyorsaniz asagidaki gibi bir script ile IDLE zamanini surekli olarak kontrol edebilirsiniz.. # Script baslangic #!/bin/sh DATE=`date +%F-%H:%M` LOGDIR="/var/log/cons/" for cons in /dev/tty* ; do CONS=`basename ${cons}` IDLE=`w | grep ${CONS} | awk -F' ' '{print $5}' ` if [ "${IDLE}" = "" ]; then continue else echo "${DATE} - ${CONS} konsolu ${IDLE} zamanindan bu yana islem gormemistir.">> ${LOGDIR}/${CONS} fi done # Script bitis Bu script; belirleyeceginiz peryotlarda calistirilirsa, sistemdeki aktif olan tum konsollara bakacaktir. Eger bir konsol aktif ise "w" ciktisinda yer alacagindan dolayi tum aktif konsollar kontrol edilecektir. Aktif olan konsollar icin belirtilen dizinde konsolun ismine bagli bir log dosyasi tutacaktir. Scripti "cron"a bagladiktan sonra kabuk uzerinde her "enter"a basildigi anda log dosyasindaki IDLE zamani degismis olacaktir. Hocam insalla yardimi olur.. Saygilarimla.. Mehmet CELIK > From: [EMAIL PROTECTED] > To: freebsd@lists.enderunix.org > Date: Thu, 1 Nov 2007 11:43:59 +0200 > Subject: RE: [FreeBSD] chkrootkit ve lkm > > İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar > gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. > Konsola düşüyor. > > [EMAIL PROTECTED]:~]# > [EMAIL PROTECTED]:~]# > [EMAIL PROTECTED]:~]# > > Şeklinde.. > > "w" komut çıktım ise şu şekilde; > > [EMAIL PROTECTED]:~]# w > 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 > USER TTY FROM LOGIN@ IDLE WHAT > mesut p0 172.16.0.80 11:16AM - w > [EMAIL PROTECTED]:~]# who > mesut ttyp0 1 Kas 11:16 (172.16.0.80) > [EMAIL PROTECTED]:~]# > > "Last" komut çıktım ise şu şekilde; > > [EMAIL PROTECTED]:~]# last > mesut ttyp0 172.16.0.80 Per 1 Kas 11:16 still logged in > > wtmp begins 1 Kas 2007 Per EET 11:16:48 > [EMAIL PROTECTED]:~]# > > > /usr/bin/passwd [ Warning ] has > the immutable-bit set. > /usr/bin/su [ Warning ] has > the immutable-bit set. > /usr/bin/whatis [ Warning ] has > been replaced by a script: /usr/bin/whatis: Bourne shell script text > executable > /sbin/init [ Warning ] has > the immutable-bit set. > /usr/sbin/adduser [ Warning ] has > been replaced by a script: /usr/bin/whatis: Bourne shell script text > executable > /usr/local/sbin/pkgdb [ Warning ] has > been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 > script text executable > Checking package database [ Warning ] > Warning: The package database seems to have inconsistencies.This may not be > a security issue, but running 'pkgdb -F' may help diagnose the problem. > Checking for hidden files and directories [ Warning ] > Warning: Hidden directory found: /usr/.snap > Checking version of OpenSSL [ Warning ] > Warning: Application 'openssl', version '0.9.7e', is out of date, and > possibly a security risk. > > Climb to the top of the charts! Play Star Shuffle: the word scramble > challenge with star power. > http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct > > - > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine > bakiniz. > > Cikmak icin, e-mail: [EMAIL PROTECTED] > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 > > - > Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. > > Cikmak icin, e-mail: [EMAIL PROTECTED] > Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey > FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 > _ Windows Live Hotmail and Microsoft Office Outlook - together at last. Get it now. http://office.micro
RE: [FreeBSD] dosya bütünlüÄü
Merhaba, Guvenlik seviyesini 2 yapip dosyayi immutable (schg, schange, simmutable ) yaparsaniz (man chflags) degistirilmesine engel olmus olursunuz. Bu durumda bir ihtimal kaliyor, birilerinin sunucuya fiziksel olarak ulasip single modda acip guvenlik seviyesini dusurmesi ihtimalidir. Bunu da fiziksel olarak engellemelisiniz. Hash(md5) dosyanin iceriginin degisip degismedigini kontrol etmenize yardimci olur. Ama dosyaya erisilmis mi, icerigi cat edilmis mi vs gibi bilgileri vermez size. Bu is icin gelistirilmis profesyonel cozum var. Tripwire. Banka ve finans kurumlari gibi firmalar icin bu is ciddi oldugundan bu yazilimi kullaniyorlar. Selamlar. Baris Simsek +++ + http://www.enderunix.org/simsek http://www.endersys.com.tr + + EnderUNIX SDT @ Tr Endersys Consultancy Ltd. + + simsek ~ enderunix.org baris.simsek ~ endersys.com.tr + + Volunteer, Software DeveloperDirector + +++ _ From: Mesut GÃLNAZ [mailto:[EMAIL PROTECTED] Sent: Thursday, November 01, 2007 3:09 PM To: freebsd@lists.enderunix.org Subject: [FreeBSD] dosya bütünlüÄü Sistem içerisinde oluÅturulan yakÅalık 4.3 GB lik bir dosyanın deÄiÅtirilmediÄini, deÄiÅtirilemez olduÄunu, en son iÅlem tarihinden bu ana kadar herhangi bir iÅlem görmediÄini kanıtlamak için ne önerirsiniz ya da sizler ne kullanıyorsunuz. Tabiki bunda zaman damgası vs da söz konusu. Hash olmalı sanırım ama nasıl? Ä°yi çalıÅmalar... Mesut GÃLNAZ
Re: [FreeBSD] dosya bütünlüÄü
Merhabalar, md5, sha1 gibi araclarla sadece dosyanin iceriginin degisip degismedigi kontrol edilebiliyor. Dosyanin izinlerinin vs degismesi ile ilgili kontrol isterseniz Samhain, Osiris, Tripwire gibi daha ileri seviye bir yazilima ihtiyaciniz var. Benim tavsiyem Samhaini kullanmaniz. http://www.la-samhna.de/library/scanners.html adresinde Integrity Checker araclarinin guncel ve guvenilir karsilastirmasini inceleyebilirsiniz. Mesut GÃLNAZ wrote: > Sistem içerisinde oluÅturulan yakÅalık 4.3 GB lik bir dosyanın > deÄiÅtirilmediÄini, deÄiÅtirilemez olduÄunu, en son iÅlem tarihinden bu ana > kadar herhangi bir iÅlem görmediÄini kanıtlamak için ne önerirsiniz ya da > sizler ne kullanıyorsunuz. Tabiki bunda zaman damgası vs da söz konusu. Hash > olmalı sanırım ama nasıl? > > > > Ä°yi çalıÅmalar... > > > > Mesut GÃLNAZ > > > -- Huzeyfe ONAL <[EMAIL PROTECTED]> http://www.lifeoverip.net Trust, but Verify! R.R signature.asc Description: OpenPGP digital signature
Re: [FreeBSD] dosya bütünlüÄü
Selamlar, Mecut Hocam, ayrıca sistemi mutlaka yakın takip etmek lazım. Bunun için; http://www.ossec.net/ kullanmak gayet iyi olur. Ossec aynı zamanda integrity check de yapabiliyor. Kendi araçlarıyla tesbit edebildiÄi saldırılara karÅı bloklar da koyabiliyor. Misal ssh brute force da hosts.deny dosyasına hemen bir deny satırı yazmak gibi. Alarm durumu olarak konulmuÅ kıstaslara göre mail atarak durumdan haberdar da ediyor. Bundan baÅka daima snort çalıÅtırmak da zamanında olan bitenden haberdar olmak için manalı. Ayrıca arkadaÅlarımızın da aÅaÄıda söylediÄi gibi dosya kontrolü yapan bir araç kullanılabilir. Kolay gelsin, Gökhan Huzeyfe ONAL yazmıÅ: Merhabalar, md5, sha1 gibi araclarla sadece dosyanin iceriginin degisip degismedigi kontrol edilebiliyor. Dosyanin izinlerinin vs degismesi ile ilgili kontrol isterseniz Samhain, Osiris, Tripwire gibi daha ileri seviye bir yazilima ihtiyaciniz var. Benim tavsiyem Samhaini kullanmaniz. http://www.la-samhna.de/library/scanners.html adresinde Integrity Checker araclarinin guncel ve guvenilir karsilastirmasini inceleyebilirsiniz. Mesut GÃLNAZ wrote: Sistem içerisinde oluÅturulan yakÅalık 4.3 GB lik bir dosyanın deÄiÅtirilmediÄini, deÄiÅtirilemez olduÄunu, en son iÅlem tarihinden bu ana kadar herhangi bir iÅlem görmediÄini kanıtlamak için ne önerirsiniz ya da sizler ne kullanıyorsunuz. Tabiki bunda zaman damgası vs da söz konusu. Hash olmalı sanırım ama nasıl? Ä°yi çalıÅmalar... Mesut GÃLNAZ - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
Re: [FreeBSD] Itojun
> Merhaba, > Dun bugtraq'a gonderilen bir e-posta ile en aktif FreeBSD committer'larindan > Itojun hayata veda ettigi duyuruldu. > http://www.securityfocus.com/archive/1/483015/30/0/threaded > Itojun, ozellikle KAME IPv6 stack'in gelistirilmesindeki cok onemli > katkilari ile biliniyordu. mekani cennet olsun :) -- Metin KAYA EnderUNIX Software Developer Endersys Software Engineer http://www.EnderUNIX.org/metinhttp://www.Endersys.com/ - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6