Hallo Michael, Am Mittwoch, 27. August 2003 20:28 schrieb Michael Schulz
Harald Huthmann schrieb am 27.08.2003 um 19:59:29 +0200:
Am Mittwoch, 27. August 2003 19:40 schrieb Michael Schulz
Matthias Jänichen schrieb am 27.08.2003 um 19:23:30 +0200:
Das größte Problem ist die fehlende Unterstützung im Kernel. Dieses Manko behebt das MalwareScan Interface von RSBAC, das alle Syscalls überwacht und somit als echter Wächter arbeiten kann.
es ging im dem Test vor allen Dingen um Linux-Virenscanner im Server- einsatz mit heterogenen Clients. Da bringen dir die ueberwachten Syscalls des Linuxkernels nichts, denn Windows-Viren werden keine Linux-Kernel-Syscalls aufrufen ;-)
hätte ich auch fast geschrieben, aber: http://www.rsbac.org/nordse98.htm Das Ding scheint mehr zu können
So wie ich das verstanden habe, geht es aber immer um oeffnen oder ausfuehren einer Datei auf dem _Linux_-Rechner. Nicht auf den Windows- Clients. Files die ueber ein Filesystem exportiert und auf dem Client importiert werden zaehle ich zu ersterem, also zum Linuxrechner.
Sehe ich auch so...
Was hilft mir ein Waechter, der wunderbar alles ueberwacht und scannt, was auf dem Linuxrechner passiert, wenn infizierte Dateien auf dem Windowsrechner ausgefuehrt werden?
...nix...
Man muesste alles was $USER betrifft fuer die Windowskisten uebers Netz mounten, dann liegt alles auf dem Linux-Rechner und dort koennen diese Mechanismen greifen. Es darf aber nie ein File lokal auf den Windowsrechner gelangen, denn da kann dieser Mechanismus nicht greifen, denn er bekommt davon nichts mit. Also keine Floppy, keine CD-ROM/DVD. $USER darf nichts installieren.
Klar. Aber das ist bei jedem Virenscanner der auf der Linux-Kiste läuft nicht anders. Allerdings könnte man die Win-Clients an einer recht kurzen Leine halten, wenn man ihnen den Zugrff auf ihr locales Dateisystem abgewöhnt...
Oder sehe ich das falsch?
Du siehst da sicher schon mehr als ich. Ich habe das nur "überflogen" und es mir für lange Winterabende aufgehoben.:-) Mich interessiert auch mehr die Überwachung von Linux bei dieser Sache. Gruß Harald