Kyek, Andreas, VF-DE, Montag, 21. Januar 2008 11:42:
a) ein check auf dem System selber kann nur beweisen, das sich etwas geändert hat;
Selbst das ist nicht ganz sicher: der böse Bub könnte einfach nur md5sum manipulieren. Dann denke ich, daß mein System kompromittiert wurde, und setze es neue auf: ein DoS-Angriff. In der Tat hat der böse Bub was geändert, aber was genau es war, das ist nicht sofort erkennbar, nur weil md5sum irgendwas auswirft.
b) Aber einen check local laufen zu lassen ist immer noch besser als gar nix! Und für die meisten Hacks evtl. ausreichend, da der Hacker ggf. genau deinen Check-Mechanismus kennen muss um ihn auszubeln.
OK.
c) es hängt von deiner eingenen Paranoia ab, wie weit du diese checks treiben willst. Man _könnte_ via nfs von einem entfernten System prüfen.
Dann müßte ich von meinem Bastion Host aus per nfs exportieren, mit all den Portmappern usw., die man ja gar nicht gern haben möchte.
Sollte der eingefangene "böse Bube" aber auch den Kernel kompromittiert haben, könnte auch das abgefangen sein (mir ist so etwas allerdings nicht bekannt). Man könnte auch offline prüfen, ...
Ganz sicher wohl nur der "offline" check mit gebooteter Knoppix verbunden mit einer Auszeit.
OK, so hab ich das wenigstens verstanden. Das ist ja schon mal ein Schritt ;) Danke+Gruß. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org