Re: Tripwire

To: debian-user-german@lists.debian.org
Subject: Re: Tripwire
From: Sven Hoexter <sven@timegate.de>
Date: Mon, 31 Jan 2005 22:10:20 +0100
Message-id: <[🔎] 20050131211020.GM4143@sven.home.hoaxter.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 200501312129.51836.wolfgang@jeltsch.net>
References: <[🔎] 200501311412.30202.wolfgang@jeltsch.net> <[🔎] 20050131182308.GH4143@sven.home.hoaxter.de> <[🔎] 200501312129.51836.wolfgang@jeltsch.net>

On Mon, Jan 31, 2005 at 09:29:51PM +0100, Wolfgang Jeltsch wrote:
> Am Montag, 31. Januar 2005 19:23 schrieb Sven Hoexter:
> > [...]
> 
> > Wundert mich ueberhaupt das noch jemand tripwire verwendet. Programme wie
> > aide oder afick sind doch mitlerweile angeblich weiter entwickelt und
> > performanter.
> 
> Bei aide schreckt mich der folgende Kommentar aus der Paketbeschreibung des 
> sarge-Paketes ab:
> 
>     You will almost certainly want to tweak the configuration file in
>     /etc/aide/aide.conf.
Das ist doch ueblich. Solche Systeme sind wie in der anderen Mail schon
geschrieben einfach nicht fuer alle Setups passend. Dafuer ist ein
Admin da - Software konfigurieren, unter kontrolle halten und pflegen.
 
> Klingt nicht gerade so, als würde aide mit einem sinnvollen Satz an 
> Standardregeln daher kommen. :-(
Doch kommt es.

> Und afick scheint es in Debian (sarge) nicht zu geben.
Hm moeglich. Hab es bisher auch nur auf Mandrake Systemen eingesetzt
da der Upstream Autor dafuer Pakete zur Verfuegung stellt und Mandrake
kein aide mit bringt.

> Wie wichtig ist es eurer Meinung nach, auf einem virtuellen Server, der 
> hauptsächlich als Web- und Mailserver läuft, neben logcheck noch weitere 
> Software zur Einbruchserkennung laufen zu lassen? Welche Lösungen würdet ihr 
> empfehlen? So etwas à la Tripwire oder eher Snort oder beides oder was 
> anderes?
Also Tripwire und SNORT sind jetzt nun 2 voellig verschiedene Paar Schuhe.
Waehrend ich tripwire und aehnliche fuer Sinnvoll halte wenn auch in der
Einsatzmoeglichkeit etwas begrenzt bei Maschinen wo kein physikalischer
Zugang moeglich sehe ich snort etwas kritischer. Snort hatte in der
Vergangenheit auch schon Sicherheitsluecken und mehr als dir erzaehlen als
"hey da versucht jemand boese sachen ueber's netzwerk" kann das Ding halt
auch nicht. Automatisiertes kill routen oder blocken halte ich fuer sehr
fraglich falls man keinen effektiven schutz vor IP spoofing vorsieht. Sonst
wird sowas schnell ein DoS und schlaegt fies zurueck.

Sven
-- 
If God passed a mic to me to speak
I'd say stay in bed, world
Sleep in peace
   [The Cardigans - No sleep]

Reply to:

Follow-Ups:
- Re: Tripwire
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>

References:
- Tripwire
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>
- Re: Tripwire
  - From: Sven Hoexter <sven@timegate.de>
- Re: Tripwire
  - From: Wolfgang Jeltsch <wolfgang@jeltsch.net>

Prev by Date: Re: Tripwire
Next by Date: Re: uname -m
Previous by thread: Re: Tripwire
Next by thread: Re: Tripwire
Index(es):
- Date
- Thread