Tra i diversi strumenti per il controllo della sicurezza di un sistema Unix COPS e' sicuramente uno dei piu' completi ed utilizzati.
La documentazione distribuita con COPS e' ampiamente sufficiente (a chi conosce Unix ed il linguaggio C) per comprenderne le caratteristiche, utilizzare il software, ottenere ed analizzare i risultati ottenuti.
Tuttavia si e' ritenuto comunque utile scrivere queste note (in italiano) per i piu' pigri.
COPS e' un software di pubblico dominio. Tra i vari siti Internet che ne mantengono le versioni: ftp://ftp.cert.org/pub/tools/cops. Il software puo' essere quindi scaricato normalmente con ftp.
Generalmente il software e' raccolto su un tar in formato compresso (gzip). Ovviamente va scaricato su una directory protetta, decompresso ed estratto.
I passi da eseguire per la configurazione, compilazione ed esecuzione del programma sono:
$ ./reconfig
$ make
$ ./cops -v -s . -b cops.err
Con questi parametri il cops viene eseguito in modalita' verbose e pone gli eventuali errori nel file cops.err. Al termine viene creata una directory con il nome dell'host che
Attenzione l'esecuzione di COPS richiede parecchio tempo. Cio' e' dovuto in gran parte al controllo delle password. Se non e' necessario tale controllo (che e' comunque fortemente consigliato) e' possibile commentarlo. Inoltre la ricerca delle password non opera sul file /etc/shadow.
Il comportamento di default puo' essere personalizzato agendo su file di configurazione o sugli stessi script. Ad esempio:
Su macchine SUN Solaris 2.X e' possibile far generare un file di password con il vecchio formato utilizzando il comando shadow.stuff>passwd.old (come indicato in docs/readme.shadow; nota: il valore di num_fields deve essere impostato a 17).
E' opportuno arricchire l'elenco delle password "banali" con termini in italiano e relativi all'ambiente in cui si opera (eg. se il sistema e' installato presso la ACME Srl "acme" sara' una password banale).
Lanciare il controllo sulle password come segue:
pass.chk -w ./pass.words.ita -b -g -s -c -d -n -P ./passwd.old_format
COPS ha molte opzioni che consentono di effettuare controlli piu' o meno sofisticati. Nella modalita' piu' utilizzata viene scaricato un file con le indicazioni sui problemi riscontrati.
E' molto utile lanciare periodicamente COPS per controllare eventuali variazioni sui file SUID, GUID, /etc/hosts.equiv, ...
COPS deve essere lanciato come utente root se si vuole il controllo sulle password. Il file /etc/shadow e' infatti accessibile al solo utente root.
COPS controlla diversi elementi relativi alla sicurezza. Tra questi:
Deve essere ricordato che COPS, come qualsiasi strumento automatico, non e' infallibile, e' pertanto possibile che esistano comunque problemi di sicurezza sui sistemi esaminati anche se COPS non e' in grado di rilevarli. Deve quindi essere mantenuta una costante attenzione sui sistemi su cui si vuole avere un buon livello di sicurezza.
Note
La versione di software utilizzata nella stesura di questo documento e' la 1.0.4 su un SUN Solaris 2.5. Analoghe considerazioni valgono per differenti versioni di COPS o sistemi operativi differenti.
Testo: Utilizzo di
COPS
Data: 9 Aprile 1996
Versione: 1.0.1 - 26 Giugno 1997
Autori: mail@meo.bogliolo.name