Tobias Nissen:
Es gibt bereits für beides (IDS, Logwatcher) Programme. Das ist nichts,
was man "mal eben so" selbst implementiert. Und wenn man meint das geht,
dann hat man die Problemstellung vermutlich nicht verstanden. Entschul-
dige die Polemik, aber ich halte den Tipp für schädlich.
Generell ACK, auch wenn man bei einem Logwatcher jetzt nicht so irre
viel falsch machen kann.
Ein IMHO weiterer entscheidender Punkt, der hier entweder noch fehlt,
oder von mir übersehen wurde: ein kompromittiertes System zu fragen, ob
es kompromittiert ist, ist im Allgemeinen unsinnig. Wenn sich ein
Rootkit eingenistet hat, kann und wird es Logfiles und alle möglichen
Kernelinformationen (laufende Prozesse, existierende Dateien,
Netzwerkverbindungen etc.) beliebig fälschen. Das ist ja gerade die
Definition des Begriffs "Rootkit".
Ein auf dem in Frage kommenden System laufendes IDS kann natürlich
helfen, Inkonsistenzen zu entdecken, die auf einen Einbruch hinweisen.
Für mich persönlich (mit einem virtuellen Mietserver und dauerhaft
belegten DSL-Anschluss) sehe ich da aber keinen entscheidenden
Sicherheitsgewinn.
J.