Hallo zusammen, ich versuche mich gerade verstärkt in das Thema Server-Sicherheit einzuarbeiten. In der Literatur, die ich mir dazu besorgt habe, steht u.a. es sei eine gute Idee, etwa - von Zeit zu Zeit ein rpm --verify laufen zu lassen, um zu sehen, ob Pakete verändert wurden - md5sum über alle Dateien in /etc, /usr, /bin usw. laufen zu lassen und von Zeit zu Zeit mit md5sum -c nachzusehen, ob die Summen plötzlich abweichen. So könne man entdecken, wenn ein böser Bub ls, ps, top usw. derart verändern würde, daß seine Dateien und Prozesse nicht angezeigt würden. Meine Frage ist nun: wieso ändert der böse Bub nicht auch gleich noch rpm und md5sum, sodaß mir seine Manipulation mit den beschriebenen Mitteln gar nicht auffällt? Ist es nicht vielmehr so, daß sich die Integrität eines Systems nie vom System selbst aus überprüfen läßt? (*) Ist ein md5sum-c daher nur dann sinnvoll, wenn man das von außen (etwa von einer Knoppix aus) über den Server laufen läßt? Dann hätte man allerdings eine beträchtliche Downtime. Und ein rpm --verify... kann man so einfach von außen ja auch nicht laufen lassen. Wie ist hier das richtige Vorgehen? (*) Aus genau diesem Grund erscheinen mir Virenscanner unter Windows immer recht zweifelhaft: wenn mein System durch einen Virenbefall kompromittiert ist, wie kann ich dann noch einer Software vertrauen, die auf dem befallenen und erwiesenermaßen schwachen System selbst läuft? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org