Re: Frage zu anacron/cron

To: debian-user-german@lists.debian.org
Subject: Re: Frage zu anacron/cron
From: Sven Hoexter <sven@timegate.de>
Date: Wed, 3 Oct 2007 21:26:09 +0200
Message-id: <[🔎] 20071003192609.GD2686@marvin.home.hoaxter.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] fe0m4d$vdc$1@sea.gmane.org>
References: <fc1k4k$u7h$1@sea.gmane.org> <4593B7AA-9ACE-463A-AA6A-194E9E229708@schuckeduster.org> <fc6l7m$omu$1@sea.gmane.org> <E1IWDTC-0000jC-Lf@scyw00225.scy001.de> <[🔎] fe00t7$ep9$1@sea.gmane.org> <[🔎] E1Id6Hr-00044C-Ce@scyw00225.scy001.de> <[🔎] fe0m4d$vdc$1@sea.gmane.org>

On Wed, Oct 03, 2007 at 08:13:32PM +0200, Peter Jordan wrote:
> Marc Haber, 10/03/07 17:37:
> 
> > On Wed, 03 Oct 2007 14:11:15 +0200, Peter Jordan
> > <usernetwork@gmx.info> wrote:
> >> Marc Haber, 09/14/07 17:52:
> >>> On Tue, 11 Sep 2007 20:02:29 +0200, Peter Jordan
> >>> <usernetwork@gmx.info> wrote:
> >>>> Hat so seine Richtigkeit: AIDE und rsync backup auf externen Server sind
> >>>> die Übeltäter.
> >>> Dass Dein aide so lange braucht, zeigt mir, dass Du sehr
> >>> wahrscheinlich die Doku zu aide nicht gelesen hast.
> >> Soll heißen?
> > 
> > Dass Du im Normalfall zum Beispiel /home aus der aide-Prüfung
> > ausschließen solltest.
> > 
> 
> Was nützt es mir, wenn ich /home ausschließe und gerade dort
> komprimitierte Dateien abgelegt werden?

Was nuetzt es dir wenn du in dem wust von permanenten Aenderungen in
$HOME, die auf Systemen mit mehr als drei Usern nicht unueblich sind,
irgendwas uebersiehst?

Was auch immer da liegen sollte kann da meist liegen bleiben solang es
nicht in der Lage ist Systembestandteile zu veraendern.
Interssant ist doch mehr ob jemand das login oder sshd binary mit einer
durch einen keylogger bereicherten Version ergaenzt hat. Ob dann das
Tool fuer den local root exploit irgendwo in einem $HOME eingelagert wurde
ist fuer die Kontrolle der Systemintegritaet IMHO zweitrangig.

Selbst wenn da auf einem, in welcher Art auch immer, kompromitierten System
jemand einen IRC Server o.ae. ablegt muss auch der gestartet werden. Das
macht im Zweifel sogar ein crond fuer einen. Nur stellt sich dann die Frage
ob du jede aenderung in einem User spezifischen crontab file auf seine
Richtigkeit pruefen willst?

Ist aber alles eine Frage der Einstellung zur Sache, der Wichtigkeit der
Systeme und der Zeit die man fuer das einzelne System aufwenden kann/darf/muss.

Cheers,
Sven
-- 
I want to believe in a freedom that's bold
But all I remember is the freedom of old
 [ Flogging Molly - Black Friday Rule ]

Reply to:

References:
- Re: Frage zu anacron/cron
  - From: Peter Jordan <usernetwork@gmx.info>
- Re: Frage zu anacron/cron
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: Frage zu anacron/cron
  - From: Peter Jordan <usernetwork@gmx.info>

Prev by Date: Re: Lebt cdrkit?
Next by Date: Re: Mangelnde Umgangsformen auf dieser Liste
Previous by thread: Re: Frage zu anacron/cron
Next by thread: [OT] Hilfe zu aide-Regeln
Index(es):
- Date
- Thread