Názory k článku Tripwire - ohlídejte si váš systém

Tripwire je hodne proflaklej, ale co treba AIDE - me prijde jednodussi a plni stejou sluzbu pri vice mene stejny urovni zabezpeceni? Ostatne veskera sluzba tedle kontroloru integrity konci tim, kdyz ziskate roota; pak uz jen vlastni patchovanej zdrojak Tripwire/AIDE, kompilace a nahrazeni binarky. Slus, pac root se o zmene vybranejch souboru a samotnyho programu nic nedozvi. Neni to na furt, ale dost casu vam to da.

Pokud jak databaze, TAK samotnej Tripwire nejsou na readonly mediu, jako by v systemu nebyly vubec... :-/

Myslim, ze dulezity je, aby kdyz nekdo na mym stroji exploitne pres vsechny klacky (treba PaXu) pod nohama nejakej daemon, aby nemel nic moc moznosti co s nim delat (RSBAC). Jinak je uz pak preinstalovani binarek a kontrola /etc byte-po-bytu jedina slusna cesta.

Nikdy jsem se nikam nenabourával, ale můžete mi někdo říct, proč by nešlo třeba tohle :
- mám systém s TripWire
- databáze je RO médiu (např. CDROM)

Někdo se mi tam nabourá, uvidí TripWire, změní cestu k databázi v /etc/tripwire/tw.cfg + vygeneruje novou. V ní tedy budou zaznamenány napadené binárky, kontrola je tedy neodhalí a nepodá mi o tom zprávu i kdybych ji cron-em honil každou hodinu.

Takže proč mám dávat databázi na RO médium, když mi ji někdo může pod rukama vyměnit za jinou (neb /etc obvykle nebývá RO) ?

Hm, to nie mozno, pac konfigurak je chranen passphrasi a admin by asi poznal, ze mu ji nekdo zmenil na jinou :)

Jak psal dave. Vymenim tripwire a slus. Vis velky kulovy. Zadna passfraze te od te chvile nazajima.

BTW, je triwpire kompilovany staticky? Pokud ne, tak se da dobre osalit pomoci zmenenych knihoven.

A jinak v popsanem pripade staci zakomentovat prislusny radek v crontabu a tripwire je obelsten - dokud administrator neco neupgraduje, pravdepodobne nic nezjisti.

Ale abych ukazal i opacny pohled - v praxi se podobne veci resi vlastnimi jednoduchymi kontrolami, ktere kontroluji treba twipwire + databaze + nastaveni a pokud se zmeni, tak nadavaji.

Jasnacka - ale on asi myslel jen samotnou manipulaci s konfigurakem - a ta mozna neni, pac se musi "sealnout" passphrasi a jak ji smaznu a vytvorim znova, budu muset dat jinou passphrasi nez byla puvodni (neznam ji) no a az admin prijde, aby vokouk configurak, nedostane se "do nej". To ciste jen hypoteticky, hejbat s databazi je zkratka zbytecny a neucinny. Proc hledat klice, kdyz mam zadni dvere dokoran :)

Jak jiz zaznelo v linux@linux.cz tak cela tato kontrola je na nic pokud neudelate boot z duveryhodneho kernelu a root FS. Neco jako mail z reportem o pravidelne kontrole systemu bych vubec necetl...
Jo uprava beziciho kernelu je svina :-)

Rikate ze jste pouzil NFS pro spolehlivost a jednoduchost inst. ? Pokud me zkusenost z praxe neklame tak NFS z woodyho je jedno velke nekompatidebilni ..... nic co by fungovalo s necim jinym nez zase s woodym.

Bohate mi staci ze se "jeho" NFS domluvi se Solarisem.

A neni to "Solaris Woody" :-))

protoze to neumis, ja pouzivam nfs v prostredi, kde se na nej prihlasuji pocitace s RH, Mindrak, IRIX a dokonce i pres pcnfs z os2...

Určitě je vhodné kombinovat několik ochranných/kontrolních systémů. Podívejte se na následující http://www.grsecurity.net .

nevedel by niekto spravit prehlad porovnavajuci tripwire, aide, integrit, ...? nietko, kto ma prakticke skusenosti so vsetkymi...

este otazka na autora: kde ze ste to zohnali tie balicky tripwireu? hovorite, za pouzivate woody, no tripwire vo woody (ani v sarge) NIE JE. momentalne je len v side. kedysi bol v potate, ale do woodyho sa z nejakeho dovodu nedostal. vasa formulacia by este mohla znamenat, ze tie balicky mate z tripwire.org, no tam som to tiez nenasiel. co robim zle? ;)

mate pravdu, ve woodym neni, ale jen v debian-unstable: http://packages.debian.org/unstable/non-us/tripwire.html, takze zalezi na kazdem jestli chce riskovat castesny upgrade na sida

Jo, tripwire je skvely!
Uplny zuuuzo.
Dneska jsme zjistili, ze mame nabourany stroj
az po te, kdyz hacker smazal omylem
jeho databazi ;)))

Boot from CD a konfiguraky (a skriptiky) na RO diskete a o pulnoci reboot. ;o)

Nie som admin a som zaciatocnik, no chcem sa spytat, ze ak by niekto ziskal heslo roota a islo by mu o hack sluzieb (napr web.), naco by mal upravovat a klamat reportami admina ked staci ze zablokuje pristup userom a prestavi si pristupove prava tak, ze sa tam povodny admin nedostane ?

zadny server system se nedela nedobytny, pokud k nemu mate fyzicky pristup. Tudiz pro admina neni problem neco sse systemem, pokud k nemu ma fyzycky pristup. Navic se okamzite prunik odhali - > neni duvod, aby to utocnik delal.