On Sat, 11 Jan 2003 12:39:56 +0100 Michael Hilscher
On Sat, Jan 11, 2003 at 03:31:51AM +0100, Tobias Crefeld wrote:
Wie seht ihr das? Ist Einsatz von AIDE / Tripwire auf einem Webserver verlässlich realisierbar (auch wenn man nicht vor Ort ist) und zu welcher Methodik würdet Ihr greifen?
Tripwire auf einem kompromitierten System _kann_ bedeuten, daß Tripwire vom System gefakte Angaben zu den Dateien geliefert werden. Wenn Tripwire neu installiert wird ebenfalls?
Ja!
Ist Tripwire also nicht statisch gelinkt?
Ist egal.
Oder spielst Du auf "einen Kernel Hack" an?
Ja, natürlich auch! Du weißt nie, ob und wenn ja, welcher Art der Hack ist. Selbst wenn die tripwire-binaries unverändert auf das System gelangen, kann ein Programm installiert sein, daß tripwire die Originaldateien liefert, aber veränderte ausführt.
Du kannst ja prinzipiell von CDROM booten, als erstes einen Tripwirecheck fahren (z.B. gegen eine per ftp runtergeladene db), Ergebnisse auf ein externes System schreiben und danach den Webserver regulär von HD booten. Denkbare Lösung für den Notfall. Jedoch wirst Du bei 1&1, Server 4 Free und Co. kaum jemand finden der Dir eine entsprechende CDROM ins Laufwerk schiebt ...
Erstens ist das selbstverständlich möglich. You get what you pay for. Zweitens kann die CDROM ständig drin sein.
Noch besser wäre es wohl, den CDROM-Boot bis zu einer sshd-Initialisierung zu fahren, dieses an ein externes System signalisieren, daß sich dann per ssh einloggt, die tripwire-db scp't und anschließend tripwire-checkt. Danach dann regulärer Webserver-Boot. Nicht wirklich. Wie häufig denkst Du denn, dass ein Webserver neu statet?
Kommt auf den Betreiber und auf die Häufigkeit der Bugfixes an. Uptime
2 Monate ist üblich.
Nein, interessant ist dies nur für den Notfall. Und dann über
Ja und wann ist der Notfall? Wenn nix mehr geht? Wenn Dein System von anderen ISP wegen Teilnahme an DDOS abgeklemmt wurde? Dann ist es schon lange zu spät.
eine RettungsCD, die auf Wunsch gebootet oder chrooted wird (wobei "Kernel Hacks" dann als Risikoquelle noch verbleiben würden).
Vielleicht solltest Du managed-Webservice buchen. Gruß, Tobias.