On Wed, 25 Dec 2002 18:30:52 +0100 Michael Hilscher
Hintergrund: Einsatz auf einem Webserver. Die verlässlichste Methode: das System über Rettungssystem neu zu starten, die jeweiligen Partitionen Read-Only zu mounten und dann über das Rettungssystem die AIDE/Tripwire Datenbank "drauf los" zu lassen ist dort (da Webserver meist im Rechenzentrum steht und nicht für jedermann zugänglich ist) häufig nicht vernünftig realisierbar.
Why not? Eine CDROM o.ä. doch überall vorhanden sein.
Wie seht ihr das? Ist Einsatz von AIDE / Tripwire auf einem Webserver verlässlich realisierbar (auch wenn man nicht vor Ort ist) und zu welcher Methodik würdet Ihr greifen?
Tripwire auf einem kompromitierten System _kann_ bedeuten, daß Tripwire vom System gefakte Angaben zu den Dateien geliefert werden. Du kannst ja prinzipiell von CDROM booten, als erstes einen Tripwirecheck fahren (z.B. gegen eine per ftp runtergeladene db), Ergebnisse auf ein externes System schreiben und danach den Webserver regulär von HD booten. Noch besser wäre es wohl, den CDROM-Boot bis zu einer sshd-Initialisierung zu fahren, dieses an ein externes System signalisieren, daß sich dann per ssh einloggt, die tripwire-db scp't und anschließend tripwire-checkt. Danach dann regulärer Webserver-Boot. Gruß, Tobias.