Re: root-kits aufspueren
Hallo Tobias,
Tobias Nissen schrieb am Freitag, den 06.01.2012 um 16:48:
> Peter Funk wrote:
> > Tobias Nissen schrieb am Freitag, den 06.01.2012 um 11:29:
> > ... IDS ...
> >> Trivial ist die Einrichtung allerdings nicht. Da ich
> >> mittlerweile ausschließlich aus Debians "sicheren" (jaja,
> >> Definitions- sache) Repositories lebe, habe ich nie die
> >> Notwendigkeit für solche Dinge gesehen.
> >
> > Die Hauptaufgabe eines IDS besteht darin, ungewollte Modifikationen
> > eines Systems aufzudecken. Weil so etwas nachträglich passieren
> > kann, selbst wenn alle installierten Programme "sicher" wären, rate
> > ich davon ab, auf ein IDS zu verzichten.
>
> Das ist eine Meinung. Eine andere ist, dass man die Zeit, die man in die
> Konfiguration und Wartung eines IDS stecken muss, lieber in Maßnahmen
> stecken sollte, die verhindern, dass ein Rootkit überhaupt erst auf ein
> System gelangt. Du hast das Wort schon genannt, ein IDS erkennt auch
> nur nachträglich, ob ein Schädling da ist. Das ist für mich zwar nicht
> ganz die gleiche Liga, wie das Schlangenöl von den Antivirenherstellern
> für Desktop-PCs, aber vom Anwendungszweck nicht weit entfernt.
Ich habe selbstverständlich auch Maßnahmen ergriffen, die hoffentlich
verhindern, dass unerwünschte Programme auf einem der von mir
verwalteten Computer ausgeführt werden können und dort womöglich
sogar einen Rootkit installieren können.
Altersbedingt habe ich auf einer virtuellen Skala zwischen
jugendlicher Selbstüberschätzung und paralysierender Paranoia meine
"geistige Mitte" inzwischen leider etwas weiter in Richtung Paranoia
gefunden. ;-)
Ich bin mir also nicht sicher, ob meine Maßnahmen ausreichen.
Damit bin ich nicht allein. Siehe auch den ersten Absatz hier:
http://www.debian.org/doc/manuals/securing-debian-howto/ch4.de.html#s-log-alerts
Ich halte den Zeitaufwand für die Konfiguration und Wartung von
Samhain für relativ gering.
Ich weiß nicht mehr genau, wie lange ich für meine erste Einarbeitung
in Samhain benötigt habe, weil das inzwischen schon wieder so lange
her ist. Es war jedenfalls eher was im Bereich von ein paar Stunden
statt Tage. Der Wartungsaufwand war in den letzten Jahren minimal.
Viele Grüße und schönes Wochenende,
Peter Funk
--
Peter Funk, home: ✉Oldenburger Str.86, D-27777 Ganderkesee
mobile:+49-179-640-8878 phone:+49-421-20419-0 <http://www.artcom-gmbh.de/>
office: ArtCom GmbH, ✉Haferwende 2, D-28357 Bremen, Germany
DRUPA 3.5.-16.5.2012: Besuchen Sie uns in Halle 4 auf Stand B02
Reply to: