απορίες για directories και files στο ubuntu και στο linux γενικότερα.

[rizitis]

On Sat, 2008-09-27 at 15:14 +0300, Konstantinos Togias wrote:
> 2008/9/27 cyberpython <cyberpython at gmail.com>
> >
> > rizitis wrote:
> > > ήθελα να ρωτήσω τι πληροφορίες περιέχουν τα παρακάτω αρχεία σε ένα
> > > linux ;
> > >
> > > initrd.img.old
> > > initrd.img
> > > vmlinuz.old
> > > vmlinuz
> > > /root/.bashrc
> > > /root/.config/Trolltech.conf
> > > /root/.profile
> > > dpkg.status.1.gz
> > > dpkg.status.2.gz
> > > dpkg.status.3.gz
> > > dpkg.status.4.gz
> > > /var/backups/dpkg.status.0
> > > /var/tmp/kdecache-rizitis
> > >
> > > και αν υποθέσουμε ότι κάποιος τρίτος έχει πρόσβαση σε αυτά τι
> > > πληροφορίες θα μπορούσε να εξάγει για το σύστημα μου;
> > > η ερώτηση έχει να κάνει ως προς το αν θα γινόταν λιγότερο ασφαλές το
> > > σύστημα αν κάποιος είχε πρόσβαση σε αυτά.
> > >
> > > άλλη μια υποθετική ερώτηση είναι η εξής,
> > > είναι δυνατον να εκμεταλευτεί κάποιο site ένα bug στον browser μας και
> > > μέσου αυτού του bug να περιηγηθεί στο /home μας ή στο /media/cdrom0
> > > ή έστω να συλλέξει πληροφορίες απο αυτά;
> > >
> > > ευχαριστώ.
> > >
> > >
> > >
> > >
> >
> > Το initrd.img είναι ένα Ramdisk image για να φορτωθούν στη μνήμη κάποια
> > απαραίτητα στοιχεία του πυρήνα στη μνήμη κατά την εκκίνηση. Το
> > initrd.img.old είναι απλά παλαιότερη έκδοσή του (μάλλον για παλαιότερο
> > πυρήνα).
> >
> > Το vmlinuz είναι ο πυρήνας (ΔΕΝ το διαγράφουμε!!!) και το vmlinuz.old
> > παλαιότερη έκδοσή του (καλό είναι να υπάρχει αφού σε περίπτωση
> > προβλήματος μπορούμε να bootάρουμε σε αυτόν).
> >
> > Το /root/.bashrc είναι αρχείο ρυθμίσεων του bash (το κέλυφος που πιθανώς
> > χρησιμοποιείς για να δείς εντολές από γραμμή εντολών)
> >
> > Το αρχέιο .profile κάθε χρήστη συνήθως περιέχει διάφορες μεταβλητές
> > περιβάλλοντος και ρυθμίσεις
> >
> > Το /root/.config/Trolltech.conf μάλλον είναι κάποιο αρχείο ρυθμίσεων του
> > QT toolkit (η εταιρεία κατασκευής είναι η Trolltech)
> >
> > Τα αρχεία dpkg.status.x.gz ΑΝ ΔΕΝ ΚΑΝΩ ΛΑΘΟΣ (δεν είμαι σίγουρος) είναι
> > παλαιότερα αντίγραφα της κατάστασης του dpkg (πρόγραμμα που
> > διαχειρίζεται τα πακέτα .deb και κάνει εγκαταστάσεις/απεγκαταστάσεις -
> > χρησιμοποείται από τους package managers όπως το apt)
> >
> > Τώρα, για το τί παίζει με την ασφάλεια του συστήματος θα πρέπει να
> > απαντήσει κάποιος άλλος...
> >
> >
> > --
> > Ubuntu-gr mailing list
> > Ubuntu-gr at lists.ubuntu.com
> >
> > If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
> 
> Το τι περιέχει κάθε αρχείο στο είπε ο cyberpython. Το τι μπορεί να
> κάνει κάποιος με τις πληροφορίες αυτές περιορίζεται μόνο από τη
> φαντασία και την ευρηματικότητα του. Π.χ. Από το bashrc και το profile
> θα μπορούσε κάποιος να δει σε ποια path ψάχνει το bash των χρηστών για
> εκτελέσιμα εφαρμογών και με πια σειρά και άλλες πληροφορίες σχετικά με
> ρυθμίσεις και μεταβλητές του κελύφους που θα μπορούσαν να του φανούν
> χρήσιμες για να τοποθετήσει ένα κακόβουλο εκτελέσιμο αρχείο εκεί που
> πρέπει για να ξεγελάσει τον χρήστη και να το τρέξει νομίζοντας ότι
> τρέχει κάτι άλλο. Βέβαια αυτό θα απαιτούσε πρόσβαση με δικαιώματα
> root... Το dpkg status θα μπορούσε να δώσει στον υποτιθέμενο
> επιτιθέμενο πληροφορίες για το τι πακέτα λογισμικού και ποιες
> εκδόσεις, άρα και με πια patch και ενημερώσεις ασφαλείας, είναι
> εγκατεστημένα στον υπολογιστή. Αυτή την πληροφορία θα μπορούσε να τη
> χρησιμοποιήσει ο επιτιθέμενος για να κάνει κάποια στοχευμένη σε
> συγκεκριμένο κενό ασφάλειας συγκεκριμένης έκδοσης συγκεκριμένου
> προγράμματος ή υπηρεσίας επίθεση.
> 
> Γενικά, όσο περισσότερες, έστω και φαινομενικά μικρής σημασίας,
> πληροφορίες για το σύστημα έχει στα χέρια του ο επιτιθέμενος, τόσο πιο
> αποτελεσματικά μπορεί να επιτεθεί. Γι' αυτό θα δεις μεγάλες εταιρίες
> δικτυακών υπηρεσιών (π.χ. web hosting) όχι μόνο να κόβουν προς τον έξω
> κόσμο όσο το δυνατό περισσότερες πληροφορίες για τα πραγματικά
> συστήματα που τρέχουν τις υπηρεσίες, αλλά πολλές φορές να αναφέρουν
> εσκεμμένα ψευδείς πληροφορίες. (π.χ. ένας web server apache μπορεί να
> είναι ρυθμισμένος έτσι ώστε να αναφέρει ένα άλλο όνομα web server -
> π.χ. ligthhttpd - αντί για apache  στις συνομιλίες του με τους
> clients, προκειμένου να αποκρύψει την πραγματική του ταυτότητα και να
> αποφύγει στοχευμένες σε αυτόν επιθέσεις.
> 
> Όσον αφορά την ερώτησή σου για τον browser, η απάντηση είναι ναι.
> Μπορεί να γίνει. Αν ένα πρόγραμμα έχει κάποιο χοντρό bug τότε κάποιος
> μπορεί να το εκμεταλλευτεί και δίνοντας κατάλληλη είσοδο στο πρόγραμμα
> να το οδηγήσει σε κατάσταση κατάρρευσης (crash) και να καταφέρει τη
> στιγμή της κατάρρευσης να τρέξει δικό του κώδικα με τα δικαιώματα του
> προγράμματος. Έτσι αν κάποιος μέσω μιας σελίδας ή ενός javascript
> κρασάρει τον firefox με ένα buffer overflow μπορεί να τρέξει δικό του
> κώδικα με τα δικαιώματα πρόσβασης στα αρχεία και τους δίσκους που είχε
> ο firefox. Και εφόσον ο ff είχε εκκινηθεί από τον χρήστη kokos πχ. και
> συνεπώς είχε δικαίωμα πρόσβασης στο home dir του kokos, τα ίδια
> ακριβώς δικαιώματα θα αποκτήσει και ο επιτιθέμενος. Αυτός είναι και
> ένας από τους λόγους που φωνάζουμε ότι απαγορεύεται να χρησιμοποιείς
> καθημερινές εφαρμογές όπως gnome, nautilus,firefox, openoffice, xchat
> κλπ από το λογαριασμό του root. Αν τρέχεις πχ. τον ff ως root και
> κάποιος του επιτεθεί τότε θα αποκτήσει πρόσβαση όχι μόνο στο home
> directory σου, αλλά θα του έχεις δώσει πλήρη root πρόσβαση σε όλο το
> μηχάνημα.
> 
> 
> --
> Konstantinos Togias
> Dipl.-Math., M.Sc.
> Research Academic Computer Technology Institute


σας ευχαριστώ και τους δύο για τις απαντήσεις, 
επιτρέψτε μου να το συνεχίσω λίγο τώρα που έχω ποιο σφαιρική εικόνα
μερικών πργμάτων.

αν λοιπόν εγώ έχω την δυνατότητα να περιηγούμε στα παραπάνω αρχεία που
αναφέρω με τον firefox χωρίς  root δικαιώματα, δεν είναι κενό ασφαλείας
αυτό; γιατί πχ ο browser να μπορεί να μπει σε αυτά τα αρχεία και δίσκους
και να τα κατευάσει, εγώ πχ κάνω πειράματα και τα αντιγράφω μέσω firefox
στην επιφάνεια εργασίας. 
πόσο εύκολο τελικά είναι ένα επίβουλο site , να συλέξει αυτές τις
πληροφορίες μέσω του browser μας; 
μόνο αν εκμεταλευτεί κάποιο bug ;


ευχαριστώ.