[vpsFree.cz: community-list] Zmeny inode numbers u souboru na FS

Ondrej Mikle ondrej.mikle at gmail.com
Sun Mar 16 01:54:48 CET 2014


Diky za podrobnou odpoved, jsem se z toho dost naucil.

On 03/15/2014 11:20 PM, Pavel Snajdr wrote:
> On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
>> ma OpenVZ vlastnost, ze napriklad pri premigrovani kontejneru nebo
>> nejake jine zmene se taky zmeni inode numbers souboru na
>> filesystemu?
> 
> A jeste jsem ti neodpovedel uplne, tvoji VPS jsem prave migroval
> nedavno z ext node na ZFS node, to zpusobilo tu zmenu inodu. Dal tedka
> jakakoliv obnova ze zalohy, dalsi migrace atd. bude menit cisla inodu.

OK.

> Ale jakmile budeme ZFS only, povolime send/recv funkcionalitu a pak by
> mel ten filesystem VPS vypadat porad konzistentne v case, at je uz se
> na ten cilovej node dostal migraci nebo obnovenim ze zalohy.

Osobne mi prijde ZFS jako velmi dobry filesystem, mozna to kapku prehnali s
pouzitim SHA256 na "error-detection/integrity protection" (postacila by
jednodussi funkce). Ale jsem rad, ze ZFS driver pro linux je uz pouzitelny :-)

>> Ptam se proto, ze rkhunter to "spatne nese" a reportuje to. Pri
>> porovnani SHA256 checksumu s cistym systemem i s rpm --verify
>> checksumy sedi. Souboru se zmenenym inode je velka spousta, tim
>> padem z predchoziho vyplyva, ze jde o spis false alarm.
> 
> Jop, a to neni jedina aplikace, kterou to afektuje, i trivialnejsi
> programy se ridi cislem inodu (tusim i treba git tak detekuje mv souboru).

Tady jen drobna poznamka pro lidi, co treba taky rkhunter pouzivaji - rkhunter
je "prvni linie obrany" proti backdoorum, ale mam cim dal vic pocit, ze uz hodne
outdated v principech, ktere pouziva.

Doporucuji napriklad analyzu Ebury backdooru:
 http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/

Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne nezanedbatelny
cas. Krome featur jako pouzivani obskurnich gcc atributu
"__attribute__((constructor))" to sleduje, jestli je sitovka v promiskuitnim
rezimu (a pak nic neposila) a zaroven exfiltruje hesla pres DNS (kdo filtruje
DNS?).

Tady treba rkhunter nezabere, protoze to exploituje vlastnosti dynamickeho
linkeru. Patchuje to instrukce v binarce a ma dokonce vlastni SIGSEGV handler,
coz se moc casto nevidi.

Ondro

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 490 bytes
Desc: OpenPGP digital signature
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140316/1de4aec5/attachment.sig>


More information about the Community-list mailing list