Perguntas[security](unix)

Estou observando a seguinte entrada em meu/var/log/unattended-upgrades/unattended-upgrades.log

WARNING Could not figure out development release: Distribution data outdated. Please check for an update for distro-info-data. See /usr/share/doc/distro-info-data/README.Debian for details

No entanto, esporadicamente, entre essas entradas, há algumas outras que indicam que algum patch de segurança está de fato ocorrendo; por exemplo

INFO Packages that will be upgraded: wget
INFO Writing dpkg log to /var/log/unattended-upgrades/unattended-upgrades-dpkg.log
INFO All upgrades installed

Qual é o caso aqui? O está distro-info-dataatualizado ou não? Se não, como é que algumas atualizações estão acontecendo?

O SO é Debian. Estou executando o nginx como um servidor web. Não estou executando o Wordpress. O registro está habilitado no bloco http com:

  access_log /var/log/nginx/access.log;
  error_log /var/log/nginx/error.log;

Estou vendo centenas de conexões no iftop do meu servidor web na porta 443 para 191-242.xxalivenet.com.br, para algumas centenas de IPs diferentes.

As coisas estranhas são:

• Nenhum dos endereços IP listados pelo iftop aparece nos meus logs nginx, que venho mantendo desde a criação do servidor.

• Essas conexões aparecem no iftop mesmo se o nginx não estiver em execução. Como isso é possível? Tentei parar o nginx, depois confirmei com o netstat que nada está escutando nas portas 80 ou 443, mas ainda vejo centenas dessas conexões listadas no iftop. Como o iftop pode mostrar essas conexões se nada está escutando nessas portas? Até tentei desabilitar o nginx e depois reiniciar meu servidor, mas elas ainda aparecem.

• lsof -a -i4 -i6 -itcpnão mostra nenhuma dessas conexões de alguma forma.

• No nethogs, vejo uma linha: ? root <ip of my web server>:443-191.242.x.x:<random port>. Executando como root? Ponto de interrogação para o pid? Isso parece absolutamente louco para mim. Isso significa que há algum processo em execução no meu sistema que de alguma forma não tem um pid atribuído, executando como root, de alguma forma escutando na porta 443, apesar do nginx supostamente estar usando essa porta no momento, que está enviando tráfego para um desses ips brasileiros?

O que exatamente está acontecendo aqui? Preciso me preocupar? Meu servidor foi hackeado? O que mais devo verificar para confirmar que o servidor está ok? Preciso bloquear esses ips via iptables? Como separo tentativas de hack do tráfego legítimo do servidor web? (por exemplo, alguém no Brasil está tentando visitar meu site) Como o nethogs não pode mostrar um pid? Como o iftop pode mostrar conexões em portas que não estão escutando? Como essas conexões não podem aparecer nos logs do nginx?

Meu laptop está conectado à internet apenas por wifi, mas ocasionalmente ele é desconectado. Quando isso acontece, não consigo sshentrar nele e preciso fazer login fisicamente para reconectar o wifi com nmcli(não configurei nenhum gráfico).

Infelizmente, algumas teclas do teclado não respondem, sendo necessárias para o login do usuário e a senha do Wi-Fi.

Então configurei uma conta de usuário cujo nome usa apenas chaves que funcionam e cujo "shell" de login é um script para reconectar o wifi:

#!/usr/bin/bash

if /usr/bin/nmcli device wifi connect 'SSID' password 'PASSWORD'; then
    echo "Connected as $(ip -json -4 address show wlp2s0 | jq -r '.[0].addr_info[0].local')"
else
    echo 'Failed to connect to wifi'
fi

read -sN 1 -p 'Press any key to exit...'

wirec:x:970:969::/:/opt/wirec/wirec

Definitivamente não é uma ótima configuração, mas funciona enquanto espero um novo teclado chegar. Também descobri que NetworkManagertem um recurso de reconexão automática, que é tudo o que eu realmente quero. Mas isso me fez pensar:

Em um caso geral, onde um programa está esperando uma entrada interativa sensível, e sem conectividade de rede, e não há teclado, é possível obter a entrada para o programa? Ou escrevê-la quando há rede para executar quando não há é tão bom quanto possível?

Digamos que algum administrador de sistema não tenha problemas com a leitura dos arquivos em/sbin, mas não deseja que eles os executem. Considere por exemplo

/sbin/init

ld.so /sbin/poweroff

ld.so

chmod +x ./myld.so
./myld.so /sbin/init

Qual é o objetivo do privilégio de execução então?

Estou seguindo o guia do desenvolvedor Debian para criptografia completa de disco para proteger uma máquina Ubuntu e estou confuso na seção 3. Ele afirma:

Nota: o cryptomount não possui uma opção para especificar o índice do slot de chave a ser aberto. Todos os slots de chave ativos são testados sequencialmente até que uma correspondência seja encontrada. A execução do algoritmo PBKDF é uma operação lenta, portanto, para acelerar as coisas, você desejará que o slot de chave desbloqueado no estágio GRUB seja o primeiro ativo. Execute o seguinte comando para descobrir seu índice.

root@debian:~# cryptsetup luksOpen --test-passphrase --verbose /dev/sda5
Enter passphrase for /dev/sda5:
Key slot 0 unlocked.
Command successful.

E esse é o fim da seção. Parece que ainda não terminamos? Ok, encontramos o índice (no meu caso é 1, não 0), e agora? Como "[definimos] o slot de chave para desbloquear no estágio GRUB para ser o primeiro ativo", como diz o guia? Parece que o guia termina cedo.

Obrigado!

Ou para ver qual/etc/spwd.db usuário causou a alteração do aviso de segurança ?

Estou lendo este guia que me permite criar uma política SELinux personalizada para um aplicativo e restringir o acesso irrestrito aos arquivos do sistema do kernel.

Na Etapa 9, preciso adicionar uma regra ao arquivo Type Enforcement (mydaemon.te) e reconstruir e reinstalar a política executando o script mydaemon.sh . Infelizmente, me deparei com um ERRO 'tipo desconhecido var_log_t' no token ';' como mostrado abaixo.

[ec2-user@ip-172-31-6-46 ~]$ sudo ./mydaemon.sh
Building and Loading Policy
+ make -f /usr/share/selinux/devel/Makefile mydaemon.pp
Compiling targeted mydaemon module
mydaemon.te:26:ERROR 'unknown type var_log_t' at token ';' on line 4010:
    
allow mydaemon_t var_log_t:file { open write getattr };
/usr/bin/checkmodule:  error(s) encountered while parsing configuration
make: *** [/usr/share/selinux/devel/include/Makefile:157: tmp/mydaemon.mod] Error 1
+ exit

Tentei usar outro tipo como var_t , mas também não funcionou.

Eu corro:

gpg --list-keys

Eu recebo:

pub   rsa1024 2014-01-26 [C]
      <REMOVED>
uid           [ unknown] Totally Legit Signing Key <[email protected]>

Isso pode ser perigoso? O que é isso? O endereço [email protegido] é confuso.

Preciso executar um aplicativo C++ proprietário no Linux e preciso entender se ele contém alguma função fora dos recursos anunciados.

Existe uma maneira de listar todas as chamadas de API que o aplicativo faz, desde que não use syscalls do Linux e use apenas funções padrão stdc++?

Uma pergunta semelhante foi feita há quase uma década e a resposta não é nada satisfatória para mim. Preciso de algo totalmente automatizado.

Gosto nanoe uso muito. Um aplicativo relacionado é o rnano.

Do rnanomanual:

DESCRIPTION
       rnano  runs  the  nano  editor in restricted mode.  This allows editing
       only the specified file or files, and doesn't allow the user access  to
       the filesystem nor to a command shell.

       In restricted mode, nano will:

       • not allow suspending;

       • not allow saving the current buffer under a different name;

       • not allow inserting another file or opening a new buffer;

       • not allow appending or prepending to any file;

       • not make backup files nor do spell checking.

Quando devo usar rnano?