home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Internet Tools 1993 July / Internet Tools.iso / RockRidge / security / cops / cops_104 / README.2.pl < prev    next >
Encoding:
Text File  |  1992-03-10  |  11.7 KB  |  249 lines
  1.  
  2.   This file covers the configuration and execution of the perl version
  3. of COPS (or p-COPS).  It requires a version of perl > 3.18 to work.  For
  4. a rough time estimate, it took about 1.25 minutes on my host (a
  5. SPARCstation 2) to generate a report (not including the SUID checker,
  6. which does a find on "/").  p-COPS is roughly functionally equivalent to
  7. the shell/C version (sans the CRC checker), but has some important
  8. differences:
  9.  
  10. Advantages:
  11.  
  12. o  Perl is a real language (not that C isn't -- I'm comparing it mostly 
  13.    to shell programming.)  It has almost no arbitrary limitations,
  14.    unlike shell (amount of data a variable can hold, etc.)  All the
  15.    information that COPS finds (especially from the password file, which
  16.    is a major source of the security problems in a UN*X system) can be
  17.    easily passed between modules.  As a result, the programs are more
  18.    modular, easier to debug, and a lot more fun to write.
  19.  
  20. o  Perl is faster (even though the "hard" things are done mostly in C in
  21.    the shell/C version, a lot of time is wasted due to the fact that
  22.    almost no data sharing is done) and doesn't require any compilation
  23.    (aside from the perl interpreter itself.)  This last point is  
  24.    particularily nice for sites with multiple architectures.
  25.  
  26. o  p-COPS has a pair of very nice features -- the configuration file and 
  27.    the recursive searching for writable files.  The config file is a big
  28.    win: no more digging through code, trying to change some variable
  29.    value and it gives control over which modules are run and many other
  30.    important options. 
  31.  
  32. Disadvantages:
  33. o  Perl.  It's a relatively new language that is changing frequently.
  34.    The code, greatly boosted in complexity and efficiency by tom 
  35.    christiansen's hard work, can cause core dumps and other problems
  36.    on some platforms.  On others, it works fine.  Also, since perl is
  37.    changing, future versions of perl might break previously working
  38.    code.  It all rests in larry wall's capable hands.  Caveat Usor. 
  39.  
  40. o  p-COPS has not been tested thoroughly.  It seems to work, on some
  41.    machines, but is sure to contain more bugs than the simpler shell/C
  42.    version. 
  43.  
  44.   Ok -- now you're warned.  I highly suggest giving it a try -- here's
  45. how to use p-COPS:
  46.  
  47. 1) How to Configure p-COPS
  48. ---------------------------
  49.  
  50.   Although most of the programs in p-COPS are written entirely in perl,
  51. some shell programs are used for simplicity (diff, ypcat, etc.)  This
  52. shouldn't be a problem, but System V users, other Non-BSD systems, or
  53. sites with commands in strange places should run a program called
  54. "reconfig.pl" to change the pathnames of the executable programs called
  55. when using COPS.  If your system does not use the paths listed in the
  56. perl programs, try running it; COPS should run fine then, if it can find
  57. all of the commands (reconfig should tell you if it cannot). If trouble
  58. persists, you will have to edit the configuration file "cops.cf" to
  59. change the paths to your executable files by hand.  A drag, I know.  If
  60. in doubt, run reconfig.pl.  It can't hurt.  Or at least shouldn't.  If
  61. it does hurt, you're probably in touble anyway.
  62.  
  63. 2) Running p-COPS for the 1st Time
  64. ---------------------------------
  65.  
  66.    Since most of p-COPS was written and tested mostly on just a few
  67. machines (at least compared to the total number out there!), you may
  68. have significant differences that were not anticipated -- unfortunately
  69. (or fortunately) perl and UNIX are not quite standardized yet.
  70.  
  71.    p-COPS is run by going into the "perl" subdirectory and typing
  72. "cops".  "cops" is a perl program that looks inside the configuration
  73. file ("cops.cf"), runs each of the programs listed there, accumulates
  74. the output, and then either mails any results or stores them in a file.
  75. "suid.chk" is the only package that is usually meant to be run
  76. separately (although it can be run via the config file), simply because
  77. it can take a long time to run, and because it needs a privileged
  78. account to run it; look at "suid.man" for more information.  By all
  79. means, however, do not ignore the SUID checker!  Run it at least once a
  80. week, if possible more (daily?); intruders into a system often leave
  81. SUID files to gain privileges later.  The program "crc.chk" (part of the
  82. shell/C version of COPS) should also be run; read the file "CRC.README",
  83. and the man page for more information.
  84.  
  85.    -- Read the technical report to understand what COPS is doing and
  86.       what is going on -- "cops.report".  This gives a look at the 
  87.       philosophies, design, and general outlay of the COPS system and
  88.       UNIX security.  This can be forsaken by those who just want to get
  89.       to the results/see some action (people like me), but it might
  90.       prove interesting to some.
  91.  
  92.    -- On line 12 in the configuration file, "cops.cf":
  93.  
  94.         $SECURE_USERS="foo@bar.edu";
  95.  
  96.       $SECURE_USERS should be your own login id, or that of whomever
  97.       you designate as the recipient of the output.
  98.  
  99.    -- Set "$MMAIL=0" in the "cops.cf" file (line 10; this is the default).
  100.       This will prevent a large mail file from choking the mailer.  All of
  101.       the output will be put into a file called "year_month_day" (obviously,
  102.       that's like: "1992_Dec_31", not actually the words,
  103.       "year_month_day" :-)), which is automatically placed by COPS
  104.       in a directory that has the same name as the host it was run on
  105.       (e.g., your own hostname).  Hence, the final report will be in
  106.       "./hostname/year_month_day".  Setting this variable to 1 will
  107.       cause the report to be mailed to $SECURE_USERS.
  108.  
  109.    -- Look at the directory and file configuration file, "is_able.lst" 
  110.       This contains critical files that COPS checks for group and world 
  111.       writability and readability.  Add or delete whatever files/
  112.       directories you wish; if a file doesn't exist, COPS will
  113.       effectively ignore it.  (If you don't know or are uncertain what
  114.       files/directories are important, what is given there is a good set
  115.       to start with on most systems.)
  116.  
  117.    -- If you allow anonymous ftp access to your system, add a "-a" flag 
  118.       to "ftp.chk" on line 83 of "cops.cf".  Right now, it is set up so 
  119.       that key files and directories are expected to be owned by root; 
  120.       however, it has provisions for two owners, $primary and $secondary
  121.       -- you may wish to change the second to "ftp", or some other user. 
  122.       Read the man page for ftp.chk, or look at "ftp.chk" for further
  123.       notes. 
  124.  
  125.    -- You may wish to comment out the password checker (line 72 in the 
  126.       "cops.cf" file), if you wish for immediate gratification.
  127.       However, it is an abysmal idea to do this in general (unless you
  128.       use another password cracker, like "crack" (see the "extensions"
  129.       directory for more info.)  If you are using yellow pages/NIS, read
  130.       "readme.yp" for tips on how to check passwords with it; if you are
  131.       using shadow passwords, read "readme.shadow".
  132.  
  133.    -- Run the crc checker, "crc.chk" if you desire; unfortunately, this
  134.       hasn't been ported to perl yet, so you'll have to either use the
  135.       shell version or wait for the port (or write it and send it to me...)
  136.  
  137.   You should be ready to roll.  COPS is run by simply typing "cops" (you
  138. may wish to put it in the background).  If you followed my advice and
  139. set "$MMAIL=0" in the "cops.cf" configuration file, after COPS is
  140. finished there will be a report file created ("year_month_day") that
  141. lists the time and machine it was created on.  Otherwise, COPS mails the
  142. report to the user(s) listed on the line '$SECURE_USERS="foo@bar.edu"'.
  143. There is a file "warnings" (in the "../docs" directory), which contains
  144. the warning messages COPS uses, as well as a brief explanation of how
  145. the message might pertain to your system and finally a suggestion as
  146. how to "fix" any problem.
  147.  
  148.    WARNING NOTE: Change the configuration file "cops.cf" to reflect who
  149. you want the output sent to and where the location of the program is
  150. BEFORE running the program.
  151.  
  152.  
  153. 2) Further notes and use of p-COPS, plus things for "perl literates"
  154. ---------------------------------------------------------------------
  155.  
  156.    The only important thing you have to set in the "cops" main file (or
  157. via the "-s" flag) is the secure directory, which by default is ".".
  158. This is where COPS will look for the config file and all the programs.
  159. Also, if something is flagged as world-writable, and the file itself is
  160. not writable but the parent directory is, then there will be an asterix
  161. after the warning (e.g. /usr/foo/bar is World Writable! (*).)
  162.  
  163. As said in the config file -- "cops.cf" (a "#" sign denotes comments):
  164.  
  165. # anything beginning with /^\s*[$@%&]/ will be eval'd
  166.  
  167.   In general, you can put variables and programs that will be run inside
  168. the config file.  Variables look startlingly like they do in normal perl
  169. (look at the "PROGRAMS" section below for more on running programs);
  170. e.g.:
  171.  
  172. $MMAIL         = 0;         # send mail instead of generating reports
  173. $ONLY_DIFF     = 0;          # only send diff from last time
  174. $SECURE_USERS   = "root";     # user to receive mailed report
  175.  
  176.    Setting something to "0" (without quotes is fine) generally means
  177. that the option is not used.  "1" (or non-zero values, if you feel
  178. gutsy) is used for a positive/true/whatever value.  The variables in
  179. general should be very similar to their normal COPS counterparts; in
  180. this case, setting $MMAIL to 1 would mean to mail info to the user listed
  181. in SECURE_USERS.  If $ONLY_DIFF is 1, it will only mail reports if change
  182. has occurred.
  183.  
  184.   In general, variables in the main package are for COPS itself, whereas
  185. those with package qualifiers are for a particular routine or for
  186. auxiliary routines.  For instance, the following lines:
  187.  
  188. # this one says to ignore warnings about paths matching these regexps
  189. @chk_strings'ignores = ( '^/tmp/?', '^/(var|usr)/tmp/?' );
  190.  
  191.   "chk_strings" is a routine that checks for writable programs within
  192. other programs, usually executed by root, such as /etc/rc and crontab.
  193. This line says to ignore any files that start with a "/tmp", "/var/tmp",
  194. or "/usr/tmp".  If you have a file or set of files that always are
  195. returning writable that are inside your rc and cron files, then you can
  196. put exceptions here.  One possibility is that you don't care about files
  197. created by other programs, so that anything after a ">" should be
  198. ignored.  You might add something like '>.*' to ignore files like
  199. "/usr/bar/snowcone", in a line like "/foo/bar/command >
  200. /usr/bar/snowcone".
  201.  
  202.    Next, there is a nifty option that does recursive searching inside
  203. the files chk_strings looks at.  This is neat... get it working by
  204. setting this to 1:
  205.  
  206. $chk_strings'recurse = 1;
  207.  
  208.   So, if you have a line like this in /etc/rc:
  209.  
  210. /usr/bin/foo > /dev/console
  211.  
  212.   It will examine "/usr/bin/foo" for programs inside of it -- and it
  213. will keep going until it has exhausted all possibilities.  So you can
  214. get warning messages like:
  215.  
  216. Warning!  File /foo/bar (inside /usr/local/X11R4/bin/X inside
  217. /usr/local/X11R4/bin/xdm inside /etc/rc.local) is _World_ writable!
  218.  
  219.   Fun stuff.  No one can hide, now...
  220.  
  221. PROGRAMS
  222. =========
  223.  
  224.   Running a program within p-COPS is easy; you just have the program
  225. with any options by itself on a line.  Semi-colons are not welcome here.
  226. E.g.:
  227.  
  228. # first test the security of the root account
  229. root.chk
  230.  
  231.   Some variables specific to the various programs are here as well, e.g.:
  232.  
  233. # now of the various devices.  -g means to check group writability, too
  234. $MTAB    = '/etc/fstab';
  235. $EXPORTS = '/etc/exports';
  236. $TAB_STYLE = 'new';
  237. dev.chk -g 
  238.  
  239.   This is specifying the export files, etc., and saying that you should
  240. use the "new" format style in the exports file.  Ultrix, etc. uses the
  241. old style.  Suid.chk eats up time -- consider the "-n" flag for systems
  242. that have big NFS mounted disks.  And that's it -- the rest should be
  243. similar to the shell version of cops, and theoretically should give you
  244. similar or the same results.
  245.  
  246.   Good luck!  Send bugs, flames, etc. to zen@death.corp.sun.com
  247.  
  248.  -- dan
  249.