[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Pfuschen unter Linux ;-)



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ralf Gesel|ensetter schrieb:
> Am Mittwoch, 16. Februar 2005 14:51 schrieb Andreas Schuldei:
> > eine andere methode die sache anzugehen ist "versehentliches"
> > schummlen zu verhindern und logging aller aktionen zum
> > feststellen von absichtilichem schummeln zu benutzen. Dazu hatten
>
> Ich halte das auch für den realistischeren weg -

ja, diesen Weg wollen wir gehen. Aber wie logt man "alle aktionen" ?
momentan testen wir das tool "snare" von intersectalliance.com
bestehen aus einem kernel-patch , einem deamon und einem frontend,
dass die events zwar auf english aber relativ hübsch anzeigt.
In einer conf-datei kann man filtern welche events man sehen will,
das filtern funktioiniert bei mir aber noch nicht so richtig.
typische events sind zb:
user X öffnent Datei Y
user a öffnet Port B
user c startet programm d


> allerdings muss das
> Protokoll lehrerfreundlich aufbereitet werden

Der Snare "auditd" schreibt eine Logdatei mit den events,
die man parsen und hübsch aufbereiten könnte.

> Vielleicht mag Martin
> kurz sein Herangehen skizzieren?

abgesehen von dem snare tool
(kennt jemand andere Tools die sowas können ?)
können Lehrer mit Hilfe von ACLs bestimmte Anwedungen für bestimte
Klassen freigeben/sperren

zugriff auf squid & Internt sperren wir mit iptables selektiv nach UIDs

Dteiaustausch über das /tmp kann man eventuell verhindern, wenn jeder
sein eigenes ~/.tmp bekommt:
export TMP=$HOME/.tmp


Ausserdem wollen wir uns von den "private groups"(uid=gid) verabschieden,
so dass man anhand der primary group sofort & einfach erkennen kann zu welcher
Klasse/Gruppe ein Schüler gehört.
Bei Red Hat haben wir eine Begründung für "private groups" gelesen, das fanden
wir aber nicht überzeugend.


Danke für eure Hinweise,

Gruß,
Martin




-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQFCFAbhv/GXvvBYr44RAu53AJ0Vi+XQdOjJFoKQ/PvHAZBCVImlHwCfWQl/
hCR2d6F2jsK4XvrQ2t2tfpU=
=SV95
-----END PGP SIGNATURE-----


Reply to: