COPS

Especificaciones

COPS es una colección de cerca de una docena (realmente unos más, pero la cantidad mencionada es un buen número de sondeo) de programas donde cada uno intenta abordar un problema distinto de seguridad de UNIX.
Los que actualmente verifican:

archivos, directorios, y permisos o modos de dispositivos.
passwords muy vulnerables.
contenido, formato y seguridad de los archivos que agrupan passwords..
los programas y archivos corriendo en /etc/rc* y archivos cron(tab).
existencia de archivos root-SUID, su posibilidad de escritura y si son o no shell scripts.
chequeo de CRC verificando reportes de cambios en archivos claves.
capacidad de escritura de directorios users home y archivos de inicio (.profile, .cshrc, etc.)
Configuración de anonymous ftp.
Sin restricciones tftp, decodificación de alias en sendmail, problemas de SUID uudecode, hidden shells sobre inetd.conf, rexd corriendo en inetd.conf.
Chequeos diversos de roots: directorio corriente en el path de búsqueda, un "+" en /etc/host.equiv, NFS mounts sin restricciones, asegurando que root esta en /etc/ftpusers, etc.
fechas de informes CERT vs. archivos claves. Estas verificaciones de fechas en que los bugs y fallas de seguridad eran informados por CERT y la fecha real de los archivos en cuestión. Un resultado positivo no significa siempre que fué encontrada una vulnerabilidad real, pero es un buen indicador que Ud. deberá mirar los informes y los archivos para mejorar las pistas. Un resultado negativo, obviamente, no significa que su software no tiene fallas de seguridad, quizas alguien simplemente lo edito y lo compilo sin agregar nada ("touch") o realmente está modificado en alguna manera.
Kuang Expert System. Este toma un set de reglas y trata de determinar si su sistema puede ser comprometido (por una mas completa lista de todos los chequeos, mire el archivo "release.notes" o "cops.report"; por mas información de Kuang, busque en "kuang.man".)

Todos los programas meramente advierten al usuario de un problema potencial
COPS NO INTENTA CORREGIR O EXPLOTAR NINGUNO DE LOS POSIBLES PROBLEMAS ENCONTRADOS ! ! !
Hay una opción para generar un archivo conteniendo shell commands que intentan reparar algunos de los problemas encontrados, pero deberían ser examinados cuidadosamente, posiblemente editados y corridos manualmente por root, dado que se trata de archivos de sistema. COPS enviará un mail o creará un archivo (a elección del usuario) conteniendo los problemas que encontró corriendo sobre su sistema.COPS no corrige los peligros potenciales que encuentra, no necesita ser corrido por una cuenta privilegiada (root).Si debe ser corrido por root si se desea lograr los resultados máximos en el chequeo de SUID.
Es de hacer notar que COPS no puede ser usado para probar un host remoto, todos los test y chequeos deben hacerse sobre el host dudoso.
Los programas que constituyen COPS fueron originalmente escritos en Bourne Shell (usando awk, sed, grep, etc.), para hacerlos muy portables. Con unos pocos escritos en C por una cuestión de velocidad (la mayoría son parte del Kuang Expert System y su implementación para búsqueda rápida de users home), pero el sistema entero debería correr sobre BSD o SYSTEM V con mínimas modificaciones. Además se incluye una versión Perl que no es tan portable como las anteriores pero tiene algunas ventajas.

Regresar a tutorial

Walter Méndez
wmendez@netverk.com.ar