Re: Frage zu AIDE
On Wed, 13 Aug 2008 06:42:45 +0200, Peter Jordan
<usernetwork@gmx.info> wrote:
>Die Datenbank von AIDE wird ja in /var/lib/aide abgelegt und ist
>lediglich für root les- bzw. schreibbar. Das Problem ist jetzt
>folgendes, was hindert einen Angreifer, der es irgendwie geschafft hat
>root-rechte zu erlangen (dass prinzipiell in diesem Zeitpunkt alles zu
>spät ist, lasse ich mal außer Acht) diese Datei zu ersetzen und somit
>eine Registrierung der Veränderungen an wichtigen Systemdateien zu
>verhindern?
Ja. Das ist so. AIDE schützt nur gegen ahnungslose skriptkids und
abhängig von deren Werkzeugen nichtmal vor diesen.
>Meine Idee war ursprünglich die Datenbank auf eine CD bzw. einen
>schreibgeschützten USB-Stick auszulagern, jedoch ist das recht
>unpraktikabel bei ferngesteuerten Servern.
AIDE kann seine Referenzdatenbank IIRC auch per HTTP von irgendwo
anders ziehen, das schützt Dich aber nicht gegen ein lügendes
AIDE-Binary.
Einzige Abhilfe: Kiste regelmäßig von einem bekannt sauberen
read-only-Medium booten und gegen eine bekannt saubere
Referenzdatenbank checken.
Das ist mit Downtime verbunden und in der Praxis verdammt aufwendig.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: