On Sat, Jan 11, 2003 at 03:31:51AM +0100, Tobias Crefeld wrote:
Hintergrund: Einsatz auf einem Webserver. Die verlässlichste Methode: das System über Rettungssystem neu zu starten, die jeweiligen Partitionen Read-Only zu mounten und dann über das Rettungssystem die AIDE/Tripwire Datenbank "drauf los" zu lassen ist dort (da Webserver meist im Rechenzentrum steht und nicht für jedermann zugänglich ist) häufig nicht vernünftig realisierbar.
Why not? Eine CDROM o.ä. doch überall vorhanden sein. Vielleicht bist Du nicht vor Ort, weil der Webserver garnicht in der Firma steht sondern bei XY?
Wie seht ihr das? Ist Einsatz von AIDE / Tripwire auf einem Webserver verlässlich realisierbar (auch wenn man nicht vor Ort ist) und zu welcher Methodik würdet Ihr greifen?
Tripwire auf einem kompromitierten System _kann_ bedeuten, daß Tripwire vom System gefakte Angaben zu den Dateien geliefert werden. Wenn Tripwire neu installiert wird ebenfalls? Ist Tripwire also nicht statisch gelinkt? Oder spielst Du auf "einen Kernel Hack" an?
Du kannst ja prinzipiell von CDROM booten, als erstes einen Tripwirecheck fahren (z.B. gegen eine per ftp runtergeladene db), Ergebnisse auf ein externes System schreiben und danach den Webserver regulär von HD booten. Denkbare Lösung für den Notfall. Jedoch wirst Du bei 1&1, Server 4 Free und Co. kaum jemand finden der Dir eine entsprechende CDROM ins Laufwerk schiebt ...
Noch besser wäre es wohl, den CDROM-Boot bis zu einer sshd-Initialisierung zu fahren, dieses an ein externes System signalisieren, daß sich dann per ssh einloggt, die tripwire-db scp't und anschließend tripwire-checkt. Danach dann regulärer Webserver-Boot. Nicht wirklich. Wie häufig denkst Du denn, dass ein Webserver neu statet? Nein, interessant ist dies nur für den Notfall. Und dann über eine RettungsCD, die auf Wunsch gebootet oder chrooted wird (wobei "Kernel Hacks" dann als Risikoquelle noch verbleiben würden).
greetinXs, Michael Hilscher -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds