Pakketprioriteitsrichtlijnen voor de Audit

Beslissen welke pakketten moeten onderzocht worden is één van de eerste problemen bij het uitvoeren van een audit op de Debian-distributie.

Het zou ideaal zijn, mochten alle pakketten onderzocht worden, maar door de grote omvang van het archief, is er nood aan een eenvoudige manier om een prioriteit toe te kennen aan het werk.

Als een aantal eenvoudige richtlijnen, zijn de volgende pakketten het waard om als eerste te worden onderzocht:

  1. Elk binair bestand dat wordt geïnstalleerd met de setuid- of de setgid-vlag gezet.
  2. Alles wat een netwerkdienst aanbiedt.
  3. Elk vanbuiten uit toegankelijk CGI/PHP-script.
  4. Alles wat een cronjob of een ander automatisch script bevat met beheerdersprivileges.

Populaire pakketten hebben normaal een hogere prioriteit, aangezien elk probleem met ze een groter aantal gebruikers zal bereiken.

De Debian Populariteit Wedstrijd houdt een dynamische lijst bij van welke pakketten het populairst zijn onder te vrijwilligers die deelnemen.

Bekijk in het bijzonder de pakketten gesorteerd volgens stemmen. Dit rangschikt de pakketten naar het aantal keer dat ze gebruikt worden door de mensen die deelnemen.

Als een pakket belangrijk is voor de beveiliging, vooral als het voldoet aan één van bovenstaande criteria en het is populair, dan is het zeker een kandidaat voor inspectie.

Binaire bestanden met de setuid- of setgid-vlag gezet

Binaire bestanden met de setuid- of setgid-vlag gezet, zijn de traditionele doelen van beveiligingsaudits omdat een beveiligingslek in een binair bestand met deze permissies kan leiden tot een lokale gebruiker die priviliges verkrijgt die hij anders niet zou mogen hebben.

Om de zoektocht te helpen is er een lijst van alle binaire bestanden met de setuid- of setgid-vlag gezet in de huidige stabiele distributie.

Wanneer er tussen deze binaire bestanden gekozen moet worden, is het belangrijk om te onthouden dat sommige binaire bestanden gevoeliger zijn voor beveiligingsproblemen dan andere. Binaire bestanden met de setuid(root)-vlag gezet zouden bijvoorbeeld vóór die met de setgid(games)- of setuid(bugs)-vlag moeten onderzocht worden.

Netwerkservers

Netwerkservers zijn een andere evidente inspiratiebron wanneer het aankomt op het uitvoeren van een beveiligingsaudit omdat beveiligingslekken met hen kunnen leiden tot aanvallen op andere machines.

Beveiligingslekken op andere machines zijn gewoonlijk veel erger dan lokale.

Online Scripts

Online scripts, vooral CGI-scripts, behoren eigenlijk tot dezelfde klasse als netwerkservers — hoewel uw webserver zelf veilig kan zijn, zijn de scripts die erop uitvoeren even belangrijk.

Een bug in een script dat beschikbaar is over het netwerk is even ernstig als een bug in een server die luistert voor verbindingen — beide kunnen uw machine even veel compromiteren.

Cronjobs en systeemdiensten

Terwijl er niet veel zijn, is het waard om de automatische scripts, cronjobs, enz. binnen pakketten te bekijken.

Veel ondersteunende dingen worden standaard als beheerder uitgevoerd om logboekbestanden te verwijderen, enz.

Een succesvolle uitvoering van een symbolische koppelingaanval kan resulteren in een lokaal beveiligingslek.