Kotimainen ilmainen tietoturvascanneri linuxille...

[tniemela]

Terve.

Olen nyt muutaman viikon kehitellyt topiikissa mainittua scanneria. Jos näitä googlettaa sun muuta niin niitä ei juuri löydy kuin aivan muutama mitkä tutkivat paikallisesti tietoturvaan liittyviä asioita. Ihan hiljattain julkasin sen myöskin tuolla   freshmeat.net:stä mistä saa varmaan kymmeniä tuhansia muitakin linuxiin liittyviä projekteja.. http://freshmeat.net/projects/nixsecscan/

Scannerin omat sivut ovat http://nixsecurityscanner.com/ ja tuolta saa sitten enemmän tukea (uusimmat versiot jne) sitä mukaan kun alkaa tulemaan enemmän palautetta.

Jos joku ihmettelee, että kukas on "tniemela" niin olen täysipäiväisesti käyttänyt Linuxia jo yli 7 vuotta ja sitten viimiset noin 2 vuotta pelkästään tietoturvaan liittyvien asioiden kanssa paininut. Tästä sitten sain idean tehdä tälläisen sekä julkaista sen kaikille. Se, että kun mulla on itellä jotain 20 eri Linux palvelinta ylläpidettävänä niin ajattelin, että jos näitä käsin lähtee tutkailemaan kaikkia niin siinä menee vuosi

Tosta NiX scannerista puuttuu vielä "moduuleita" todella paljon ja testattavaa riittää. Se on todella haastava/aikaa vievä projekti mutta jonkun sekin pitää tehdä.

[muep]

I kuitenkaan näytä olevan (tällä hetkellä?  ) vapaa tuo ohjelma, vaikka ilmainen ei-kaupallisessa käytössä onkin. Ei nyt sillä mielellä, että heti pitäisi haukkumaan ruveta, mutta varmasti monella muullakin kiinnostaa tuo lisenssi.

[tniemela]

I kuitenkaan näytä olevan (tällä hetkellä?  ) vapaa tuo ohjelma, vaikka ilmainen ei-kaupallisessa käytössä onkin. Ei nyt sillä mielellä, että heti pitäisi haukkumaan ruveta, mutta varmasti monella muullakin kiinnostaa tuo lisenssi.

Tarkennatkos hieman, multa meni nyt pahasti ohi.

[Fa1r]

[OT]

I kuitenkaan näytä olevan (tällä hetkellä?  ) vapaa tuo ohjelma, vaikka ilmainen ei-kaupallisessa käytössä onkin. Ei nyt sillä mielellä, että heti pitäisi haukkumaan ruveta, mutta varmasti monella muullakin kiinnostaa tuo lisenssi.

Katsoinpa tosiaan itsekin tuon lisenssihomman, "Free for non-commercial" (yyh, en voi rueta myymään sitä    ). Mutta tietääpähän tekijä ainakin mitä oikeuksia lupaa käyttäjille (vrt. GPL), vaikkei lisenssi ehkä olisikaan täysin lainvoimainen (vrt. GPL[??])
[/OT]

I kuitenkaan näytä olevan (tällä hetkellä?  ) vapaa tuo ohjelma, vaikka ilmainen ei-kaupallisessa käytössä onkin. Ei nyt sillä mielellä, että heti pitäisi
haukkumaan ruveta, mutta varmasti monella muullakin kiinnostaa tuo lisenssi.

Tarkennatkos hieman, multa meni nyt pahasti ohi.

"You are not allowed modify source code and distribute this program without permission from author" == "ei-vapaa" IMHO.

[muep]

Eli erityisesti täällä foorumilla huomattava osa käyttäjistä haluaa käyttää vapaita ohjelmia rajoitettujen ja suljettujen ohjelmien sijaan. Itse henkilökohtaisesti olisin noin kymmenen kertaa kiinnostuneempi ohjelmastasi, jos se julkaistaisiin jollain vapaalla lisenssillä, kuten GNU General Public Licence tai joku BSD -lisenssi.

[tniemela]

Täytyy sanoa, että mulla oli kyllä vaikeuksia ton lisenssin valinnan suhteen ennen kuin sen julkasin. Voinhan mä muuttaa kyllä sitä lisenssiä jos näyttää siltä, että on tarvetta.

Se vaan, että en halua tosta jakeluun kymmentä eri versiota. Sanoit, että olisit enemmän kiinnostunut jos se olis GPL lisenssillä. Meinaat, että olisit kiinnostunut auttamaan projektissa vai mitä?

[moonstone]

Täytyy sanoa, että mulla oli kyllä vaikeuksia ton lisenssin valinnan suhteen ennen kuin sen julkasin. Voinhan mä muuttaa kyllä sitä lisenssiä jos näyttää siltä, että on tarvetta.

Lisensoiminenhan on jokaisen kehittäjän oma asia.

GPL lisenssi tuo mm. nämä edut..
1. Sen käytössä ei ole epäselvyyksiä, kuka saa ja kuka ei (koska kaikki saa käyttää sitä mihin tarkoitukseen tahansa)
2. Sen sisällyttäminen linux jakeluihin on vaivattomampaa ja näin ollen sen levittäminen on helpompaa.
3. Kehittämiseen voi osallistua kuka vaan

Omalla kohdallani en voi tuota käyttää esim. töissä, koska se olisi jo kaupallista hyödyntämistä joka lisenssissä kielletään.

Joten käytän niitä muita skannereita

[muep]

Esimerkiksi Openoffice.orgiin suomenkielisen oikoluvun tarjoava Soikko -ohjelmisto on ilmainen, mutta ei vapaa. Ulkopuoliset eivät päässeet kehittämään sitä ja varsinkin Openoffice 2:n ilmestyttyä ongelmia alkoi olla aika paljon. Lisäksi kehittäjällä taisi lopahtaa kiinnostus kehittää soikkoa edelleen, joten nykyään Soikolla ei enää hirveän paljoa tee. Onneksi Voikko -projektin tulos on nykyään käytettävissä täysin vapaana, joten Soikon ongelmista ei tarvitse enää kärsiä.

Ohjelman vapaus varmistaa käyttäjän mahdollisuudet käyttää ohjelmaa juuri niin kuin hänelle sopii, niin kauan kuin hän haluaa. Lisäksi käyttäjä voi joko itse korjata havaitsemansa puutteet ja yhteensopivuusongelmat tai sitten palkata/suostutella jonkun muun niin tekemään. Ilmainen ei-vapaa ohjelma saattaa muuttua kaupalliseksi syystä tai toisesta tai lakata olemasta kokonaan.

[tniemela]

Esimerkiksi Openoffice.orgiin suomenkielisen oikoluvun tarjoava Soikko -ohjelmisto on ilmainen, mutta ei vapaa. Ulkopuoliset eivät päässeet kehittämään sitä ja varsinkin Openoffice 2:n ilmestyttyä ongelmia alkoi olla aika paljon. Lisäksi kehittäjällä taisi lopahtaa kiinnostus kehittää soikkoa edelleen, joten nykyään Soikolla ei enää hirveän paljoa tee. Onneksi Voikko -projektin tulos on nykyään käytettävissä täysin vapaana, joten Soikon ongelmista ei tarvitse enää kärsiä.

Ohjelman vapaus varmistaa käyttäjän mahdollisuudet käyttää ohjelmaa juuri niin kuin hänelle sopii, niin kauan kuin hän haluaa. Lisäksi käyttäjä voi joko itse korjata havaitsemansa puutteet ja yhteensopivuusongelmat tai sitten palkata/suostutella jonkun muun niin tekemään. Ilmainen ei-vapaa ohjelma saattaa muuttua kaupalliseksi syystä tai toisesta tai lakata olemasta kokonaan.

Suoraan kun sanon niin mä olen aika pihalla näissä lisenssiasioissa. Alunperin halusin tohon sellaisen lisenssin, että sillä ei saa tehdä rahaa koska en itsekkään näin tee. Kuvitellaan, että sulla on vaikka shelli A missä tarjoat firmasi puolesta hosting palveluja, niin mun käsitteekseni voit skannata sitä tai muita omia shellejäsi tolla niin paljon kuin huvittaa nykyisen lisenssin puitteissa.

Eikös justiinsa toi free for non-commercial use tarkoita sitä, että sillä voi scannata shellejään niin paljon kuin huvittaa mutta ei saa tehdä rahaa sillä, vai olenko mä väärässä?

Se mun idea tossa oli ettei saa muokata koodia / levittää sitä edelleen ilman lupaa koska eihän mulle oo muuten mitään takeita siitä, että kyseinen kaveri ilmottaa viat/puutteet mulle kans jolloin voin ne korjata ja laittaa korjatun version jakeluun...

Oli miten oli niin nykyisen lisenssin puitteissa niin enhän mä pysty tai edes jaksa mitenkään valvoa sitä. Ainahan joku abusee noita, aivan sama mitä agreementissä lukee...

[moonstone]

Eikös justiinsa toi free for non-commercial use tarkoita sitä, että sillä voi scannata shellejään niin paljon kuin huvittaa mutta ei saa tehdä rahaa sillä, vai olenko mä väärässä?

Ei. Vaan se tarkoittaa sitä, että et saa käyttää ohjelmistoa yrityskäytössä missään (muutenhan "teet" rahaa sen avulla), mutta kotona saat omia shellejäsi skannailla, mikäli siitä ei makseta.

Onhan näitä suuria GPL lisensoituja sovelluksia vaikka missä käytössä eikä niillä tehdä bisnestä perinteisellä softamyynnillä, joten ei se olisi ongelma tässäkään tapauksessa.

[tniemela]

Eikös justiinsa toi free for non-commercial use tarkoita sitä, että sillä voi scannata shellejään niin paljon kuin huvittaa mutta ei saa tehdä rahaa sillä, vai olenko mä väärässä?

Ei. Vaan se tarkoittaa sitä, että et saa käyttää ohjelmistoa yrityskäytössä missään (muutenhan "teet" rahaa sen avulla), mutta kotona saat omia shellejäsi skannailla, mikäli siitä ei makseta.

Onhan näitä suuria GPL lisensoituja sovelluksia vaikka missä käytössä eikä niillä tehdä bisnestä perinteisellä softamyynnillä, joten ei se olisi ongelma tässäkään tapauksessa.

Kiitoksia, tää selvensi asiaa aika tavalla. Mä tulen vaihtamaan ton lisenssi agreementin GPL:n seuraavan version myötä sitten. Se mua tässä huvitta kyllä ettei kukaan ole vielä antanut minkäänlaista palautetta (noin 200 latausta jo).

[Vapaan koodin kananmuna]

Se mun idea tossa oli ettei saa muokata koodia / levittää sitä edelleen ilman lupaa koska eihän mulle oo muuten mitään takeita siitä, että kyseinen kaveri ilmottaa viat/puutteet mulle kans jolloin voin ne korjata ja laittaa korjatun version jakeluun...

Oli miten oli niin nykyisen lisenssin puitteissa niin enhän mä pysty tai edes jaksa mitenkään valvoa sitä. Ainahan joku abusee noita, aivan sama mitä agreementissä lukee...

Noista syistä juuri GPL yleensä valitaan, muutokset tulevat sinullekin asti ja jokainen ohjelmaa korjaava / muokkaava henkilö saa sen saman vakuutuksen. Harvemmin projekteja edes forkataan, ellei projektin kommunikointi ole syvältä. Jos laitat tuon ohjelman GPL:n alle saatat pahimmillaan saada muutaman sähköpostin silloin tällöin, joissa on joku parannusehdotus.

[moonstone]

Kiitoksia, tää selvensi asiaa aika tavalla. Mä tulen vaihtamaan ton lisenssi agreementin GPL:n seuraavan version myötä sitten. Se mua tässä huvitta kyllä ettei kukaan ole vielä antanut minkäänlaista palautetta (noin 200 latausta jo).

Kannattaa tietysti lukea se GPL lisenssi ajatuksella läpi vaikka se ei hirveästi kiinnostaisikaan sillä eipähän sitten jää mitään epäselväksi.

GPL lisensoitu ohjelma on vapaa ohjelmisto. johon pätee seuraavat neljä tärkeää vapautta.

1. vapaus käyttää ohjelmaa, mihin tahansa tarkoitukseen.
2. vapaus muokata ohjelmaa tarpeisiisi. (Tämän vapauden toteuttaminen käytännössä vaatii että sinulla on pääsy lähdekoodiin, koska muutosten tekeminen ohjelmaan ilman lähdekoodia on erittäin vaikeaa.)
3. vapaus levittää ohjelman kopioita, joko ilmaiseksi tai maksua vastaan.
4. vapaus levittää muokattuja versioita ohjelmasta siten, että yhteisö voi hyötyä tekemistäsi muutoksista.

http://fi.wikipedia.org/wiki/Vapaa_ohjelmisto
http://fi.wikipedia.org/wiki/GNU_GPL

[tuke81]

Uuh kuinkas kauan tuo oikein scannailee(riippuu tietenkin tavaran määrästä). Ok projektisihan vielä aluillaan, mutta kannattaisi nyt jonkinlainen readme pakettiin tehdä(vinku näämmä zsh:ta noh asenneteenpa semmoinen), pelkkä todo mitä ehkä tehdään tuleviin ei paljoa lohduta, jos paketista ei löydy mitä pitää tehdä ohjelmalla. Mutta joo näyttää toimivan ja kaksi epäilyttävää tiedostoa jopa löysikin.

Koodia: [Valitse]

...
Warning.  You have SUID binary: [ -rwsr-xr-- 1 root dhcp 2956 2007-04-02 12:46 /lib/dhcp3-client/call-dhclient-script ] in suspicious dir.

Warning.  You have SUID binary: [ -rwSr--r-- 1 root root 31444 2006-06-20 05:21 /lib/uncompress.so ] in suspicious dir.
Warning. Suid binary: /lib/uncompress.so has suspicious strings, inspect it manually.

Tjaah olihan tuo zsh:stakin maininta tuolla faq:ssa, lissääs vaikka se tekstitiedostona pakettiin mukaan.

[tniemela]

Uuh kuinkas kauan tuo oikein scannailee(riippuu tietenkin tavaran määrästä). Ok projektisihan vielä aluillaan, mutta kannattaisi nyt jonkinlainen readme pakettiin tehdä(vinku näämmä zsh:ta noh asenneteenpa semmoinen), pelkkä todo mitä ehkä tehdään tuleviin ei paljoa lohduta, jos paketista ei löydy mitä pitää tehdä ohjelmalla. Mutta joo näyttää toimivan ja kaksi epäilyttävää tiedostoa jopa löysikin.

Koodia: [Valitse]

...
Warning.  You have SUID binary: [ -rwsr-xr-- 1 root dhcp 2956 2007-04-02 12:46 /lib/dhcp3-client/call-dhclient-script ] in suspicious dir.

Warning.  You have SUID binary: [ -rwSr--r-- 1 root root 31444 2006-06-20 05:21 /lib/uncompress.so ] in suspicious dir.
Warning. Suid binary: /lib/uncompress.so has suspicious strings, inspect it manually.

Tjaah olihan tuo zsh:stakin maininta tuolla faq:ssa, lissääs vaikka se tekstitiedostona pakettiin mukaan.

Toi stringscan on vielä beta, tälläkin hetkellä korjailen sitä (tulee monta fixiä 0.3 versioon). Nyt se scannaa koko serverisi (mukaanlukien kaikki verkon yli mountatut tavarat mm: NFS), eli riippuu ihan tavaran määrästä kuinka kauan menee. Eli yks fixi tulee olemaan se, ettei scannata NFS, coda tms. verkko tiedostojärjestelmiä..

Äkkiseltään kun tutkin niin voisin sanoa, ettei noista kahdesta suid "libistä" kannata huolestua. Mutta tosiaan on mahdollista tehdä root doori myöskin siten, että tehdää injectoitu kirjasto tiedosto... Sen takia tämä projekti on tosi vaikea tehdä vaikka tiedän mitä teen koska siellä on huomattava määrä vaihtoehtoja mihin piilottaa tavarat Kokemuksesta voisin sanoa, että jos noita suideja alkaa löytymään esim. /dev hakemiston alta mikä on tarkoitettu vain "laitteille" tai niitä tulee lisää "omia aikojaan" ni silloin on syytä huolestua.

Tällästä palautetta toivoisin et porukat alkais kirjottamaan ihan englanniksi tonne omalle foorumille kanssa. Vai pitäisikö sinne tehdä Suomi osasto erikseen?

[rkl82]

Tällästä palautetta toivoisin et porukat alkais kirjottamaan ihan englanniksi tonne omalle foorumille kanssa. Vai pitäisikö sinne tehdä Suomi osasto erikseen?

Suomi osasto Suomalaisille 

[kotka]

Moi,

aloitteleva linuxhörhö kun olen, niin voisiko joku kertoa tarvitseeko tehdä jotain? Mulla ton SecScanin ajaminen tuotti seuraavat kaksi varoitusta:

 Warning.  You have SUID binary: [ ---Sr-s--T 1 root root 0 2007-04-30 03:31 /media/.hal-mtab-lock ] in suspicious dir.

 Warning.  You have SUID binary: [ -rwsr-xr-- 1 root dhcp 2956 2007-04-02 12:46 /lib/dhcp3-client/call-dhclient-script ] in suspicious dir.

Lienevät molemmat vaarattomia?

[tniemela]

Moi,

aloitteleva linuxhörhö kun olen, niin voisiko joku kertoa tarvitseeko tehdä jotain? Mulla ton SecScanin ajaminen tuotti seuraavat kaksi varoitusta:

 Warning.  You have SUID binary: [ ---Sr-s--T 1 root root 0 2007-04-30 03:31 /media/.hal-mtab-lock ] in suspicious dir.

 Warning.  You have SUID binary: [ -rwsr-xr-- 1 root dhcp 2956 2007-04-02 12:46 /lib/dhcp3-client/call-dhclient-script ] in suspicious dir.

Lienevät molemmat vaarattomia?

Juu toi dhcp clientin scripta on vaaraton sekä /media/.hal-mtab-lock . Tollasta en vielä nähnyt ennen kyllä. Huomaa tosta, että toi .hal-mtab-lock on ns. vain lockfile ..eli joku palvelu tekee ton kun se on päällä ..tosta kun katot tuota tarkemmin niin sen koko on 0 tavua sekä sillä on vain setuid / sticky bitit päällä ..eli se ei ole edes ajokelpoinenkaan koska +x puuttuu ...

Tulee tänään/huomenna v0.3...