Überlegungen zu chkrootkit und Automatisierung
Toens Bueker
toens.bueker at lists0903.nurfuerspam.neuroserve.de
Fri Feb 6 22:42:36 CET 2004
Stefan Ulrich Hegner <stefan at hegner-online.de> meinte:
> > 1.) lokale iptables-Regeln mit incoming- und vor allem auch
> > outgoing-Regeln.
[...]
> ... bei mir ist alles bis auf einen ssh-Port dicht
Auch outgoing? Auch lokal (127.0.0.1 nach 127.0.0.1)?
Selbst wenn die Kiste gerootet worden sein sollte, ist es
durchaus hilfreich, wenn sie es dem Angreifer nicht
mitteilen kann (und das kann sie nicht, wenn sie z. B.
keine Verbindungen zu einem IRC-Server aufbauen kann).
> > 2.) Tripwire bzw. AIDE für wichtige Dateien, damit man
> > mitbekommt, wenn zusätzliche Accounts angelegt werden.
>
> Tripwire war für mich unter SuSE OK. Aber seit ich
> Gentoo nutze ändern sich so oft irgendwelche binaries
> etc., dass das in meinen Augen nicht wirklich effizient
> ist.
Für Binaries mit Sicherheit nicht. /etc/passwd,
/etc/shadow und Konsorten sollten sich allerdings nicht zu
oft ändern.
> > 3.) Möglichst keinen modularen Kernel verwenden.
>
> ... nicht so ganz mein Geschmack. Gut, es verhindert,
> dass ein Angreifer Module einschleust ... Aber ist das
> nicht ein hoher Preis? Meine Kiste ist immer noch eine
> private 24/7 Maschine ... und sind Module eigentlich
> schon nett.
Ich weiss :-)
Tschö
Töns
--
There is no safe distance.
More information about the Linux
mailing list