Re: X11 модули
Am 10.02.2004 21:15 schrieb Alex Riesen:
Женя, Mon, Feb 09, 2004 23:55:18 +0100:
получить 100% чистую систему, которая должна быть основой дальнейших
чистую, но дырявую. Сколько она продержится чистой?
Эта и все последующие переустановки - это быстрее чем один раз
разобраться и исправить?
А Вы заметили что предложение идёт ещё дальше и там стоит: "100% чистую
систему, которая должна быть *основой дальнейших мер*"? Это значит
сначала добываем чистую систему, а потом дырки на этой системе
залатываем. Залатывать дырки на скомпрометированной системе, это всё
равно что лечить от сифилиса презервативом. Извиняюсь за выражение.
мер. Если на компе побывала какая-то гадость и вы не знаете *точно* что
она наделала, то есть на мой взгляд три возможных варианта:
1. 100% найти все изменения проведённые ей, в случае с backdoor'ами это
почти не возможно
возможно, конечно! Даже и довольно просто.
Да? У меня на "/" лежит 2,5ГБ и это даже очень мало, можно узнать как Вы
без чексум и backup'а докажете что на ней не было ничего переменено,
после того как система была скомпрометированна?
Вынимаешь веник и разбираешься.
Ага ультра-веник с сапогами скороходами и скатертью самобранкой
2. Проверить некомпроментированными чексуммами _все_ файлы, которые
могли быть переписанны
а как быть с пользовательскими файлами, к примеру?
А они в чистом backup'е лежат. А если нет backup'а, тот как сказал
кто-то "то значит эти данные не были важны"
Где это на них контрольные суммы лежат? (которым можно верить)
Вот и я про тоже
3. Или переустановить систему, что по-моему чаще всего самое простое
решение и IIRC было сделано на murphy и других
это просто самое тупое решение. Потому и применяется.
А вот про тупость это Вы объясните тем, кто этим занимается, и заодно
научите как правильно поступать надо. Меня кстати Ваша версия
поступеньчатого восстановления тоже интересовать будет.
>Это мера восстановительная,
Ну да, а о ней речь и идёт. Что делать когда комп скомпроментирован (и
полный анализ взлома не имеет значения).
а надо бы.
Кому надо полный анализ, если известна брешь через которую $бандит
получил root-shell? Кого интересует какие он rootkit'ы, backdoor'ы и
всякую другую хренятину наустанавливал, если важен работающий чистый
комп? Кого интересуют почищенные логи, исправленные config'и и другие
доки, если всё-равно ничему доверять нельзя? Все данные к которым он
имел допуск и у которых нету чистых чексум можно выкинуть! Да я
согласен, что если хочется законом преследовать преступника, то надо
будет forensic Анализ делать, но это имеет смысл только в << 1% случаев.
Кроме того после такого анализа всё-равно трудно доказать, без чексум,
100% чистоту системы.
>а требуется превентивная. Кто будет дыру закрывать, через которую
>вирус залез?
Это уже вопрос другой, не имеющий к делу отношения. Дыру закрывать надо,
речи нет, но тем что будет комп перезапущен дыра не закроется.
о перезагрузке я и не говорил.
А вот именно про неё я и спрашивал
Именно о переустановке, которая _принципиально_ неэффективна в этом
случае.
Очень заинтересован в Ваших методах. Поделитесь пожалуйста.
Женя.
P.S. прошу простить за OT, дальнейшую дискуссию можно продолжить и по мылу.
--
Messages which will be detected from spamtest.ru as SPAM will be deleted
immediately. Use [!NO SPAM!] in subject to mark your messages as not
being SPAM. Messages marked this way are excluded from SPAM-detection.
Reply to: