[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02135] Re: 第5回 仕掛けられたバックドアの検出と対処
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02135] Re: 第5回 仕掛けられたバックドアの検出と対処
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Tue, 28 Jan 2003 09:12:00 +0900
Port139 伊原です。
本記事を書かれた方も(文字数の制限とか, 想定しているケースなど)言い
たいことはあるでしょうから微妙なんですけど...
On Mon, 27 Jan 2003 18:12:06 +0900
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> wrote:
> 「OS標準のスクリプト」と「Tripwireなどのファイルの整合性をチェッ
> クしてくれるツール」がやっている事は、性質が違うので、「両方必要」
> が正解だと個人的には思います。
Tripwire が面倒なら、最近なら samhain という手もありますしね。
手元では 15分に一度 /sbin, /usr/local/bin, /etc とかを samhain
でチェックさせています。で深夜に Tripwire で全体をチェック。
Tripwire のルールで 15分に一度実行すればいいぢゃん!という噂も
あるのですが、一度違反が発生するとチェック毎に違反となって少し
煩いのです。samhain では変化した時だけ報告なので :-)
samhain はデータベースの暗号化とかも可能ですが、ちょっと面倒な
ので暗号化せずに使ってしまい、データベースとかのチェックは
Tripwire でやらせてます。
本当に有効か謎ですが、samhain には LKM rootkit の監視機能もある
ようなので一応有効にはしてます。
#この程度では LKM rootkit に弱いので悩めるなぁと思っている
#ところへあの記述だったので、おとなげなく反応してみたり :p
samhain のメモも書いてる途中で挫折中。。。
#もとのぶ先生を見習って心を入れ替えねば。。。
--
Port139 セミナー 大阪会場(3月14日)参加者募集中!
http://www.port139.co.jp/seminar/seminar_030314.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/