Re: Frage zu Logfiles mit append-only-flag und CAP_LINUX_IMMUTABLE
Peter Jordan schrieb:
> Simon Jolle, 04/01/08 12:55:
>
>> Am 31.03.08 schrieb Peter Jordan <usernetwork@gmx.info>:
>>> mit Entfernung der CAP_LINUX_IMMUTABLE - Berechtigung ist es nicht mehr
>>> möglich, das append-only-attribute zu ändern, da nutzt auch
>>> pre-/postrotate nichts mehr
>> Warum willst du das überhaupt tun? Ist doch non-sense?!
>> Wenn du ein wirklich sicheres System haben willst, so ziehe doch
>> einfach das Ethernetkabel aus :-)
>>
>
> Was ist falsch daran, das Verändern der Logfiles zu verhindern?
Dabei schießt Du mit einer Bazooka auf Spatzen.
Dass jemand Deine Logdateien verändert setzt ja voraus, dass der Angriff
erfolgreich war. Und selbstverständlich wird der RootExploit angesetzt,
noch bevor man das das Verwischen der Spuren geht.
Fazit:
Der Angreifer ist Root, kann eh machen was er will und Du wiegst Dich in
falscher Sicherheit. ;)
Die einzige Lösung, die Dir bleibt ist ein entfernter Logserver damit
Dein System Duplikate der Logdateien im laufenden Betrieb an einem
anderen System pflegt.
Da muss der Angreifer dann erst einmal einbrechen, um seine Spuren
verwischen zu können.
--
Freundliche Grüße
Uwe Walter
Reply to: