ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] tripwire ?



On Thu, Sep 17, 1998 at 10:37:58PM +0400, Igor Vinokurov wrote:
> On Thu, Sep 17, 1998 at 22:22 +0400, ark@eltex.ru wrote:
> > > На мой взгляд, любой подобный процесс запущенный локально на
> > > проверяемой машине суть самообман. Всегда существует вероятность,
> > > что процесс подменят, а информацию на "некоторый сервер" можно
> > > подкинуть и свою собственную. 
> > > 
> > > Более надежный вариант - это запускать тот же tripwire с флопа,
> > > но и тут возможны закладки.
> > 
> > Так, вообще-то, и рекомендуется делать..
> 
> Мало ли что рекомендуют непуганные американе. Вспомни
> анекдот про бензопилу и сибирских мужиков :)
> 
> Всегда можно подменить I/O процедуры. Особенно это
> интересно окопавшемуся хакеру, который вознамерился
> на твоем сервере жить :)

Ну, то, что на каждый хитрый девайс найдется не менее
хитрый антидевайс, это, как-бы, понятно :) 
То, что это правило работает в обе стороны - тоже :) 

Об абслоютно защищенной системе речь не идет - 
она и невозможна ( подобрать ключ к сейфу и подменить 
вашу бутявку с tripwire тоже можно, равно как можно сильно
осложнить жизнь любителям подмены i/o статической сборкой,
NO_LKM ), речь как всегда стоит об решении минимаксной задачи 
- максимально затруднить незамеченную админом модификацию 
системы при проломе при минимальных затратах.

> > > Грузиться нужно с флопа, с него же запускать tripwire.
> > 
> > Можно просто периодически проводить профилактику с использованием
> > этой процедуры.
> 
> Именно о том и речь. Кстати, это легко реализуемо, если перед
> серверами стоит local director.

Если перед серверами не стоит local director'а... 
Если начальству не объяснить необходимость ежедневного 
downtime всех серверов на предмет проверки...  

Ладно, это уже пошла лирика. thx за высказывания.

-- 
Alexandre Snarskii
the source code is included
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.