Hi, 0n 03/01/11@12:39 Michael Hilscher told me:
On Sat, Jan 11, 2003 at 03:31:51AM +0100, Tobias Crefeld wrote:
Tripwire auf einem kompromitierten System _kann_ bedeuten, daß Tripwire vom System gefakte Angaben zu den Dateien geliefert werden.
Wenn Tripwire neu installiert wird ebenfalls? Ist Tripwire also nicht statisch gelinkt? Oder spielst Du auf "einen Kernel Hack" an?
Tripwire an sich ist wohl statisch, aber ich weiss nicht genau ob es zum Beispiel Systemtools wie md5sum benutzt, die dann Ihrerseits versaut sein koennten. Vielleicht bringt tripwire auch seine eigenen md5sums mit. Falls nicht wuerde ich die md5sum von md5sum ;) sicher wegpacken.
Nicht wirklich. Wie häufig denkst Du denn, dass ein Webserver neu statet? Nein, interessant ist dies nur für den Notfall. Und dann über eine RettungsCD, die auf Wunsch gebootet oder chrooted wird (wobei "Kernel Hacks" dann als Risikoquelle noch verbleiben würden).
Wie meinst Du das mit den kernel-hacks? Auf der RettungsCD? Wenn der ISP mit kompromitierten RettungsCDs arbeitet, ist sicher die IDS Verlaesslichkeit das kleiner Problem ;). -- bye maik