Re: X11 модули

[Женя <yevgen_net@mail.ru>]

Am 10.02.2004 21:15 schrieb Alex Riesen:
> Женя, Mon, Feb 09, 2004 23:55:18 +0100:

> > получить 100% чистую систему, которая должна быть основой дальнейших 
>
> чистую, но дырявую. Сколько она продержится чистой?
> Эта и все последующие переустановки - это быстрее чем один раз
> разобраться и исправить?

А Вы заметили что предложение идёт ещё дальше и там стоит: "100% чистую 
систему, которая должна быть *основой дальнейших мер*"? Это значит 
сначала добываем чистую систему, а потом дырки на этой системе 
залатываем. Залатывать дырки на скомпрометированной системе, это всё 
равно что лечить от сифилиса презервативом. Извиняюсь за выражение.

> > мер. Если на компе побывала какая-то гадость и вы не знаете *точно* что 
> > она наделала, то есть на мой взгляд три возможных варианта:
> > 1. 100% найти все изменения проведённые ей, в случае с backdoor'ами это 
> > почти не возможно
>
> возможно, конечно! Даже и довольно просто. 

Да? У меня на "/" лежит 2,5ГБ и это даже очень мало, можно узнать как Вы 
без чексум и backup'а докажете что на ней не было ничего переменено, 
после того как система была скомпрометированна?

> Вынимаешь веник и разбираешься.

Ага ультра-веник с сапогами скороходами и скатертью самобранкой

> > 2. Проверить некомпроментированными чексуммами _все_ файлы, которые 
> > могли быть переписанны
>
> а как быть с пользовательскими файлами, к примеру? 

А они в чистом backup'е лежат. А если нет backup'а, тот как сказал 
кто-то "то значит эти данные не были важны"

> Где это на них контрольные суммы лежат? (которым можно верить)

Вот и я про тоже

> > 3. Или переустановить систему, что по-моему чаще всего самое простое 
> > решение и IIRC было сделано на murphy и других
>
> это просто самое тупое решение. Потому и применяется.

А вот про тупость это Вы объясните тем, кто этим занимается, и заодно 
научите как правильно поступать надо. Меня кстати Ваша версия 
поступеньчатого восстановления тоже интересовать будет.

> > >Это мера восстановительная,
> > Ну да, а о ней речь и идёт. Что делать когда комп скомпроментирован (и 
> > полный анализ взлома не имеет значения).
>
> а надо бы.

Кому надо полный анализ, если известна брешь через которую $бандит 
получил root-shell? Кого интересует какие он rootkit'ы, backdoor'ы и 
всякую другую хренятину наустанавливал, если важен работающий чистый 
комп? Кого интересуют почищенные логи, исправленные config'и и другие 
доки, если всё-равно ничему доверять нельзя? Все данные к которым он 
имел допуск и у которых нету чистых чексум можно выкинуть! Да я 
согласен, что если хочется законом преследовать преступника, то надо 
будет forensic Анализ делать, но это имеет смысл только в << 1% случаев. 
Кроме того после такого анализа всё-равно трудно доказать, без чексум, 
100% чистоту системы.

> > >а требуется превентивная. Кто будет дыру закрывать, через которую
> > >вирус  залез?
> > Это уже вопрос другой, не имеющий к делу отношения. Дыру закрывать надо, 
> > речи нет, но тем что будет комп перезапущен дыра не закроется.
>
> о перезагрузке я и не говорил. 

А вот именно про неё я и спрашивал

> Именно о переустановке, которая _принципиально_ неэффективна в этом
> случае.

Очень заинтересован в Ваших методах. Поделитесь пожалуйста.

Женя.

P.S. прошу простить за OT, дальнейшую дискуссию можно продолжить и по мылу.

--
Messages which will be detected from spamtest.ru as SPAM will be deleted 
immediately. Use [!NO SPAM!] in subject to mark your messages as not 
being SPAM. Messages marked this way are excluded from SPAM-detection.