Hallo Helga, On Wed, Nov 05, 2003 at 06:53:55AM +0100, Helga Fischer wrote:
LKM kenne ich nicht.
LKM == Loadable Kernel Modul. Es waren hier aber solche LKM's gemeint die ähnlich wie die wrapper Programme "traditioneller" Rootkits Informationen vor dem Admin verbergen. Das gemeine bei LKM's ist, dass sie (wenn gut gemacht) im laufenden System überhaupt nicht auffallen. Tripwire und Co lassen sich mit solchen Methoden aushebeln. Auch ist es damit möglich TCP/IP Verbindungen an lokalen Firewalls und diversen lokalen Überwachungsprogrammen vorbei aufzubauen. ==> monolitischer Kernel und/oder schau dir mal auf http://www.linuxsecurity.com/tips/tip-14.html an was dir gefällt ;) SELinux, grsecurity haben die glaube ich vergessen...
Rootkit - will ich nicht hören.
... solltest Dich aber vielleicht trotzdem mal damit beschäftigen. Vor allem wenn Firma + Linux + 24/7 + unerfahrener Admin ;) Ist zum einen sehr interessant und zum anderen macht es klar wozu updates und Wrapper / Proxies / Stateful Packetfilter etc gut sind. Achso Tripwire ist auch wenn es umgangen werden kann alles andere als überflüssig :) Und der aberglaube Linux == sicher geht dann auch ganz schnell in Rauch auf. Was bleibt ist das Wissen wie du dein Linux sicher(er) machst ;) Greetings Daniel -- Träume nicht Dein Leben, lebe Deinen Traum!