[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:48861] Re: /root/.bash_history cleared



質問した渡辺です。

On Wed, 13 Jun 2007 14:00:52 +0900
SATOH Fumiyasu <fumiyas@xxxxxxxxxx> wrote:

> さとうふみやす @ OSS テクノロジです。
> 
> At Wed, 13 Jun 2007 11:30:47 +0900,
> WATANABE Takashi wrote:
> > 現象:
> >  ssh でログインして操作しているホストにて、/root/.bash_history 
> > が知らぬ間に空にされていました。
> 
> 私は経験ありませんね。HISTFILESIZE=0 にして exit したとか?

あるいは、
# cp /dev/null /root/.bash_history
# unset HISTFILE
# exit
とか。いずれにしても、このような特徴的な行動をとったら、
さすがに覚えていますよね。(^^;
ちなみに、このホストは、私以外に合法の利用者は居ません。

BTS にある
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=283702
に似たような現象である可能性は、あり得ないのかな。

> > 問題:
> >  クラックされているのではないか心配です。
> 
> 私の過去に見たクラックされたホストは:
>   * OS が不安定になる。
>     → バックドアの類がカーネルモジュールか何かで仕掛けらて、
>        そいつにバグがある?
>   * 過去に利用していたコマンドのオプションが利用できなく
>     なったり、コマンド出力のフォーマットが微妙に変化したり、
>     期待した動作をしない。
>     → コマンドが置き換えられている。
> といった現象でクラックに気付いたことがあります。

なるほど。今のところ、そういった感じはしません。

> > no md5sums for 何々
> > という大量のメッセージが出ていますが、これらの
> > パッケージは念のため、リインストールすべきでしょうか?
> 
> パッケージによってはパッケージに含まれるファイルの
> MD5 情報が含まれていないものがあります。そのような
> パッケージに対して debsums を実行すると、そのような
> 結果になります。debsums を設定すれば、MD5 情報のない
> パッケージのインストール直後に MD5 を計算・保存
> してくれますよ。`dpkg-reconfigure debsums`

なるほど。dpkg-reconfigure で設定して有効にするんですね。
単純に、debsums のインストール以降ならオーケーなのかと思って
いました。勉強になります。

tripwire とかもそうでしょうが、これって、クラックされる前に
やっておいて、md5sum は read-only な場所やリモート操作でアク
セスできないような場所に保存しておかないといけませんね。 
USB メモリにコピーしておいて、普段は物理的に外しておくとか
で良いかな。

一度、クリーンインストールし直して、徹底的に対策を講じておく
べきか。でも、aptitude update -> aptitude upgrade の度に、
新しい md5sum を安全な場所にコピーしないといけないか。ちょっと
面倒くさいかも。tripwire を本格的に使ってみるべきかな。

地震対策とかと全く同じですね。面倒くさいけれど、
備えあれば憂い無し...なのかな。

> 例示に用いるドメインは実在する可能性のあるドメインではなく、
> example.com, example.jp ... などにしましょう。

そうでした。気をつけます。