1. Adminisztratv protokollok ellenrzsi lehetsgei Hltzl Pter CISA [email_address] http://www.balabit.hu/

2. Mirl lesz sz?

A hozzfrsi szintekrl

3. Mi ltszik s mi nem? 4. Megoldsi mdok 5. Elrhet technolgik 6. Pldk 7. A hozzfrs szintjei

OS

8. Alkalmazs 9. Adatbzis 10. Jogosultsgi szintek a-tl z-ig 11. Plda

Webes alkalmazs:

• Szerver admin

12. Webmester

13. DB admin 14. DB user 15. Iktat admin 16. Iktat felhasznl 17. Admin mindig van!

Krds, tudjuk-e mit csinl?

18. Plda Linux

groupadd[4609]: group added to /etc/group: name=proba, GID=1003

19. groupadd[4609]: group added to /etc/gshadow: name=proba 20. groupadd[4609]: new group: name=proba, GID=1003 21. useradd[4613]: new user: name=proba, UID=1003, GID=1003, home=/home/proba, shell=/bin/bash 22. passwd[4620]: pam_unix(passwd:chauthtok): password changed for proba 23. chfn[4621]: changed user 'proba' information 24. Plda

Nem mindig van napl:

Vi /etc/passwd

25. Vi /etc/group 26. visudo 27. Egy hack

File vltozs figyelse:

Csak napl

28. Tartalom nem 29. Plda

type=SYSCALL msg=audit(1320920870.653:34): arch=c000003e syscall=2 success=yes exit=3 a0=c3f3a0 a1=241 a2=120 a3=0 items=1 ppid=998 pid=1037 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="vi" exe="/usr/bin/vim.tiny" key=(null)

30. type=CWD msg=audit(1320920870.653:34):cwd="/root" 31. type=PATH msg=audit(1320920870.653:34): item=0 name="/etc/sudoers" inode=262413 dev=08:01 mode=0100440 ouid=0 ogid=0 rdev=00:00 32. type=SYSCALL msg=audit(1320920870.663:35): arch=c000003e syscall=90 success=yes exit=0 a0=c3f3a0 a1=8120 a2=48fbf7 a3=7fffaf097ca0 items=1 ppid=998 pid=1037 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="vi" exe="/usr/bin/vim.tiny" key=(null) 33. type=CWD msg=audit(1320920870.663:35):cwd="/root" 34. type=PATH msg=audit(1320920870.663:35): item=0 name="/etc/sudoers" inode=262413 dev=08:01 mode=0100440 ouid=0 ogid=0 rdev=00:00 35. Htrnyok

rtelmezhet?

36. Bonyolult 37. Csak a kiemelt esemnyek lthatak! 38. Eltntethet 39. Lellthat 40. Megolds

Tvoli elrs rgztse

41. Plda 1. 42. Plda 2. 43. Melyik rthet?

Log vagy audit trail?

44. Piaci megoldsok

Agentek

45. Snifferek 46. Jumphostok 47. Proxyk 48. Agentek

Telepts

49. Rendszer mdosts 50. Passzv 51. Natv kliens 52. Minden protokoll funkci 53. Megkerlhet 54. Snifferek

Port tkrzs

55. Rendszer mdosts 56. Passzv 57. Csatorna ellenrzs 58. Natv kliens 59. Megkerlhetetlen 60. Minden protokoll funkci 61. Jumphostok

Kapcsolat a bastion-rl

62. Rendszer mdosts 63. Natv kliens 64. Teljes funkcionalits 65. Brmilyen protokoll 66. Minden protokoll funkci 67. Proxyk

Teljes protokoll rtelmezs

68. Aktv 69. Natv kliens 70. Rendszer mdosts 71. Csatorna s paramter kontroll 72. Csatorna kontroll

Csatorna -> Funkcionalits

• Fjl tvitel

73. TCP port tvitele

74. X11 75. Eszkz tvitel 76. Csatorna kontroll pldk

Csatorna engedlyezs

77. Csatorna paramter kontroll 78. Fjl transzfer visszajtszs 79. Plda 3. 80. Ksznm a figyelmet! Hltzl Pter CISA [email_address] http://www.balabit.hu/