Re: Black-/Whitlist für den ssh deamon
Hallo Reinhard,
At 04.10.2002, Reinhard Foerster wrote:
> On Thu, 03 Oct 2002 20:51:31 +0200, Guido Hennecke wrote:
> > Tripwire sieht das.
> Tripwire ist sicher eine feine Sache zum Erkennen von Einbrüchen. Dies
> kann nur eine Ergänzung sein. Als Ausgleich für ein ansonsten krank
> konfiguriertes System taugt tripwire nicht.
> Wenn dein tripwire bereits anschlägt, wenn $USER seine .bashrc editiert
> hat, bist du wahrscheinlich den ganzen Tag mit der Analyse des
> tripwire-outputs beschäftigt.
Das kommt immer noch auf die Umgebung an, ob das Sinn macht oder nicht.
Ich editire jedenfalls nicht taeglich an meiner ~/.bashrc um und es darf
auch nicht jeder root werden. Es ist also machbar un in dem Falle auch
sinnvoll, diese .bashrc mit tripwire zu ueberwachen.
> Hättest du den Login-Umweg über $USER nicht gemacht, wäre das von
> Ruediger genannte Problem schlicht nicht vorhanden und du müßtest
> es nicht mit tripwire erkennen.
Haette ich root Login gleich erlaubt, waere der Eingreifer sofort root
und ich habe bereits verloren. Das wollen wir mal nicht vergessen.
> Du schießt dir also erstmal absichtlich selbst in den Fuß und freust dich
> dann wie ein Schneekönig darüber, die Folgen der Verletzung durch eine
> aufwendige Therapie etwas zu mildern.
Irgendwie ueberseht ihr, dass bei erlaubtem root login der Anfreifer
beim exakt selben Anghriff bereits root ist und sich nicht mehr einen
abbrechen muss, um das auch zu werden.
Und Tripwire ist dann auch nur noch sicher einsetzbar, wenn man ein
sauberes System bootet und damit die Filesysteme ueberpruefen laesst.
> Auf die Idee, daß es beser sein könnte, dir gar nicht erst in den Fuß zu
> schiessen, kommst du nicht.
Auf die Idee, dass bei eurer Methode der Angreifer beim exakt selben
Angriff _sofort_ root ist, kommst Du nicht.
Reply to: