Mailinglist Archive: opensuse-de (4938 mails)

< Previous Next >
Re: schreibzugriffe protokollieren
  • From: eilert@xxxxxxxxxxxxxxxxxxxxxxxx (Eilert Brinkmann)
  • Date: Wed May 10 15:20:49 2000
  • Message-id: <xttg0rql9da.fsf@xxxxxxxxxxxxxxxxxxxxxxxxxxxxx>



Steffen Dettmer <steffen@xxxxxxx> wrote:
Man könnte sich ja mal bei einem Rootkit oder so abschauen, wie
man open, stat & Co. abfängt, und diese Aufrufe versuchen zu
loggen.

Ja, wahrscheinlich ist das Abfangen aller entsprechenden Systemaufrufe
die "einfachste" Möglichkeit. Vielleicht nicht gerade stat, der
verändert ja nichts. Prinzipiell könnte das so eine Art strace sein,
nur eben nicht für einen Prozeß, sondern für's ganze System. Keine
Ahnung, ob die vorhandenen Schnittstellen sich irgendwie für dieses
Vorhaben mißbrauchen lassen.

Will mans ganz genau wissen, kann man auch write & Co.

Die Liste wäre wohl nicht ganz kurz, wenn man auf diesem Weg alle
Veränderungen an den Dateisystemen mitbekommen will. Mir fallen auf
Anhieb z.B. Dinge wie open, write, truncate, chown, chmod, link,
symlink, unlink, mkdir, rmdir und mknod ein. Die Liste erhebt keinen
Anspruch auf Vollständigkeit ;-)

verbiegen; sollte dann aber wohl komplizierter werden, weil man
die FDs prüfen muß...

Schlimmer: Da man das ganze System beobachtet, müßte man mindestens
die Kombination aus PID und FD beobachten. Und spätestens bei einem
fork() wird's dann richtig übel, denn der neue Prozeß kann auf einen
FD schreiben, dessen zugehöriges open() im Eltern-Prozeß
stattfand. Vielleicht wäre es besser, sich nicht selbst noch was zu
merken, denn das tut der Kernel ja schon: Im Kernel muß man ja bei
jedem write() wissen, auf welche Datei (und damit welches Gerät) der
Zugriff geht. Wer Lust hat, den Kernel zu verunstalten, möge sich
daran versuchen ;-)

Ist ja ganz lustig, sich darüber Gedanken zu machen, aber eine
kurzfristige Lösung für das ursprüngliche Problem sehe ich damit
leider nicht kommen. Würde mich schon interessieren, wenn jemand eine
einfache, schon existierende Lösung kennt.

Eilert

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik
eilert@xxxxxxxxxxxxxxxxxxxxxxxx - eilert@xxxxxxx - eilert@xxxxxxxxxxxxxx
http://www.informatik.uni-bremen.de/~eilert/

---------------------------------------------------------------------
To unsubscribe, e-mail: suse-linux-unsubscribe@xxxxxxxx
For additional commands, e-mail: suse-linux-help@xxxxxxxx


< Previous Next >