Tobias Nissen: > > Es gibt bereits für beides (IDS, Logwatcher) Programme. Das ist nichts, > was man "mal eben so" selbst implementiert. Und wenn man meint das geht, > dann hat man die Problemstellung vermutlich nicht verstanden. Entschul- > dige die Polemik, aber ich halte den Tipp für schädlich. Generell ACK, auch wenn man bei einem Logwatcher jetzt nicht so irre viel falsch machen kann. Ein IMHO weiterer entscheidender Punkt, der hier entweder noch fehlt, oder von mir übersehen wurde: ein kompromittiertes System zu fragen, ob es kompromittiert ist, ist im Allgemeinen unsinnig. Wenn sich ein Rootkit eingenistet hat, kann und wird es Logfiles und alle möglichen Kernelinformationen (laufende Prozesse, existierende Dateien, Netzwerkverbindungen etc.) beliebig fälschen. Das ist ja gerade die Definition des Begriffs "Rootkit". Ein auf dem in Frage kommenden System laufendes IDS kann natürlich helfen, Inkonsistenzen zu entdecken, die auf einen Einbruch hinweisen. Für mich persönlich (mit einem virtuellen Mietserver und dauerhaft belegten DSL-Anschluss) sehe ich da aber keinen entscheidenden Sicherheitsgewinn. J. -- I wish I could achieve a 'just stepped out of the salon' look more often. Or at least once. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature