Di cosa stiamo parlando? Alcuni di voi sicuramente sapranno che cosa sono i rootkit, per quelli che non lo sanno i rootkit sono delle “collezioni” di software utilizzate per amministrare una macchina linux senza possedere i privilegi di amministratore.

Solitamente vengono utilizzate dagli intrusi di un sistema, ad esempio un utente malevolo che riesce a sfruttare la vulnerabilità di un utente non privilegiato, potrebbe utilizzare un rootkit per procedere poi a una privilege escalation per diventare amministratore della macchina.

Per difendersi da questo tipo di utilizzi, la cosa migliore è cercare di tenere sempre aggiornato il sistema, soprattutto se si tratta di server online con accesso pubblico, quello di cui voglio occuparmi ora, non è tanto questo aspetto, ma è quello di controllare se la nostra macchina è stata “infettata” da un rootkit o meno.

A questo scopo ho iniziato ad utilizzare il programma rkhunter, che serve a controllare tramite degli hash, se i nostri file di sistema importanti sono stati in qualche modo modificati.

L’installazione in ubuntu si fa un semplice

apt-get install rkhunter

o

aptitude install rkhunter

Una volta installato il programma, procediamo con l’aggiornamento delle definizioni con il comando

rkhunter --update

ottenendo come output una cosa simile a:

[ Rootkit Hunter version 1.3.0 ]

Checking rkhunter data files...
Checking file mirrors.dat                                  [ No update ]
Checking file programs_bad.dat                             [ No update ]
Checking file backdoorports.dat                            [ No update ]
Checking file suspscan.dat                                 [ No update ]
Checking file i18n/cn                                      [ No update ]
Checking file i18n/en                                      [ No update ]
Checking file i18n/zh                                      [ No update ]
Checking file i18n/zhutf                                   [ No update ]

Ora facciamo partire la nostra prima scannata con il comando

rkhunter -c

questo metodo di scan ha una modalità interattiva, ad ogni particolare tipologia di scan dovrete premere enter, alla fine otterrete una tabella riassuntiva come quella seguente

System checks summary
=====================

File properties checks...
Files checked: 127
Suspect files: 0

Rootkit checks...
Rootkits checked : 110
Possible rootkits: 0

Applications checks...
Applications checked: 6
Suspect applications: 0

The system checks took: 3 minutes and 44 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Per ottenere uno scan non intereattivo aggiungete l’opzione -sk alla fine

rkhunter -c -sk

Fra i vari report rkhunter vi segnalerà che avete abilitato l’accesso root via ssh, che di norma non è il massimo della siscurezza e vi darà un segnale di errore tipo questo

Checking for allowed root login... Watch out Root login possible. Possible risk!
info: "PermitRootLogin yes" found in file /etc/ssh/sshd_config
Hint: See logfile for more information about this issue

Se sapete cosa state facendo, per eliminarlo basta editare /etc/rkhunter.conf

e cambiate la riga da ALLOW_SSH_ROOT_USER=no a ALLOW_SSH_ROOT_USER=yes

Una volta che avete lanciato il primo scan e tutto è corretto e non vi sono state segnalazioni strane, lanciate il comando

rkhunter –propupd

Questo comando, aggiorna le tabelle hash dei vostri file, di modo che se vengono modificati in qualche modo verrete notificati al riguardo. Quando farete degli update che aggiornano i file interessato da rkhunter, noterete che vi verrà notificato il fatto che tali file sono cambiati. Solitamente quando fate gli aggiornamenti, se tutto è corretto, dovreste eseguire questo comando dopo l’aggiornamento, di modo che le tabelle hash per i check verranno aggiornate con i nuovi eseguibili e non riceverete (giustamente), notifiche al riguardo.

Saluti

Oggi mi è capitato fra le mani una versione di test di Windows Seven il nuovo sistema operativo Microsoft.

20 minuti per installarlo su una macchina virtuale di un portatile con un 1gb di ram.

Nel momento in cui scrivo sta completando l’installazione, apparentemente, rapida, pulita interfaccia scarna senza troppe opzioni un install in stile microsoft (metti dentro il cd e fai ok ok ok e forse tutto funziona).

Attendo…

Inquietante, sta bootando senza problemi al primo install…

Ora mi chiede le solite minchiate dell’utente nome, password, settaggi sull’orario e finisce l’install, 20 minuti circa e interazioni minime (fai partire l’install e torni dopo 15 minuti e le ultime cose), tutte cose già viste però sino ad ora.

Sembra un windows vista un po’ alleggerito, le finestre nella barra inferiore sembrano più dei quadrati che dei rettangoli, per risparmiare spazio suppongo.

Lancio un po’ di applicativi si aprono senza prblemi, tutti molto belli esteticamente

Lancio l’install dei vmware tools… c’è ancora quella cosa inutile tipo una specie di utente di root, che devi confermare ogni due secondi cosa fai, abbastanza seccante

Mi ha dato un errore mentre installavo i Vmare Tools, ma magicamente rilanciando l’install tutto ha funziona, strano…

30 secondi a riavviarsi, interfaccia stile Vista, ma tutto funzionante con i Tools, all’apparenza tutto funziona..

Non sembra particolarmente veloce nelle risposte al mouse, ma è pur sempre una Beta virtualizzata, sono ora curioso di vederlo su un pc attuale e vede come gira.

Temo che se faranno le cose per bene, per Linux e company la facenda si farà molto dura.

Non posso fare altro che unirmi per ora ai pareri positivi che ho sentito in giro, e sperare (o no?) che le cose migliorni ancora.

Saluti

In questi ultimi tempi ho evoluto la mia wirless di casa verso alcuni prodotti di “qualità” dotando la mia sana rete wifi di un bel Buffalo WHR-G125 (router wirless per la precisione) .

Appena comprato decisi che non era nemmeno il caso di prendere in considerazione il firmware originale, e senza perdere tempo gli ho installato il firmware DD-WRT.

Bel sistema, con un sacco di opzioni e molto flessibile direi ottimo, ma per le mie esigenze ho riscontrato un paio di problemi:

1- A volte il demone http di incartava e dovevo riavviarlo da shell

2- Avendo ip dinamico necessitavo di un update dell’ip tramite servizi come DynDns, per poter accedere ai miei dati e fare arrivare la posta anche nel caso in cui la linea cadesse e cambiasse ip (cosa che capita pressochè SEMPRE).

3-Gestione del QOS (Quality Of  Service) per alcuni servizi (VOIP e Gaming nello specifico).

Evitando di discutere del primo problema, gli altri due sono stati un po’ rognosi.

L’update dell’ip infatti veniva fatto al massimo una volta al giorno, e questo come potete capire è un po’ una limitazione (si ok è un linux potevo modificare tutto, ma non aveva senso sbattersi tanto per una cosa che secondo me doveva già funzionare così).

Per quanto riguarda il QOS, l’ho riscontrato gestito in modo pessimo, piallava completamente la gamba in molte configurazioni che ho testato (si ok, di per se funzionava, ma con una 20mbit e il QOS attivo, con priorità massima sull’http scaricavo al massimo a 200k, tolto il QOS tornavo ai miei 2MB/s).

Sicche con tutto questo ciarlare oggi ho deciso di cambiare e di provare Tomato.

Per ora ho riconfigurato tutto esattamente con sul DD-WRT, compresi il QOS e l’update dell’ip e tutto almeno per ora pare funzionare alla grande, in un interfaccia molto user friendly e gradevole.

Quindi per ora direi Tomato 1 – DDwrt 0, vedremo fra un po’ come si comporta il sistema.

Saluti