Re: Frage zu Logfiles mit append-only-flag und CAP_LINUX_IMMUTABLE
Uwe Walter, 04/07/08 19:41:
> Peter Jordan schrieb:
>> Simon Jolle, 04/01/08 12:55:
>>
>> Was ist falsch daran, das Verändern der Logfiles zu verhindern?
>
> Dabei schießt Du mit einer Bazooka auf Spatzen.
>
> Dass jemand Deine Logdateien verändert setzt ja voraus, dass der Angriff
> erfolgreich war. Und selbstverständlich wird der RootExploit angesetzt,
> noch bevor man das das Verwischen der Spuren geht.
>
> Fazit:
> Der Angreifer ist Root, kann eh machen was er will und Du wiegst Dich in
> falscher Sicherheit. ;)
Ja er kann machen was er will, nur die Logdateien kann er nicht
verändern, lediglich Text anhängen kann er.
PJ
Reply to: