Überlegungen zu chkrootkit und Automatisierung
Johannes Goecke
goecke at upb.de
Fri Feb 6 12:48:39 CET 2004
On Fri, Feb 06, 2004 at 12:30:27PM +0100, Toens Bueker wrote:
> Stefan Ulrich Hegner <stefan at hegner-online.de> meinte:
>
> > ... schreibt mir doch mal, wie Ihr sowas anpackt!
>
> Ich würde erstmal die klassischen Sicherheitsmassnahmen
> ergreifen:
...
>
> 2.) Tripwire bzw. AIDE für wichtige Dateien, damit man
> mitbekommt, wenn zusätzliche Accounts angelegt werden.
Tripwire ist imho recht gut, aber auch aufwendig.
man _muss_ jedesmal wenn man update gemacht hat die Tripwire
Datenbank händisch updaten (wg. passwort). Also ist dort
ein automatisches "apt-get update && apt-get -u dist-upgrade"
via cron gefährlich weil man möglicherweise dann beim nächsten
update der Tripwire-DB gleich die backdoor mit "legalisiert"
>
> 3.) Möglichst keinen modularen Kernel verwenden.
kann helfen, es gibt wohl auch möglichkeiten den Kernel
ohne Module zu manipulieren.
...
>
> Tschö
> Töns
mein persönliches Fazit:
obwohl tripwire, kernel-patches, etc. helfen können
hilft im Endeffekt nur der Rat von JBG:
schneller sein!
Gruß
Johannes
More information about the Linux
mailing list