[port139ml:02220] Re: Samhain に関するメモ

[Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx>]

てらしまです。

On Thu, 06 Feb 2003 09:27:33 +0900
hamamoto <r00t@xxxxxxxxxxx> wrote:

> > これだけではあれなので・・・ネタフリでも。
> > Tripwireにしてもsamhainにしてもそれが導入されているということで
> > 抑止効果とかあると思うんですが、Honeypot とかではむしろわからな
> > いようになっている方が良いですよねえ。なんか見つかりにくくする
> > ようなテクニックとかないでしょうか。
> 
> rootkitの配下に入れる。。。
> # あぁ、それは自分のネタ。。。

rootkitといってもLKMのほうで、見えなくしちゃうということですよね。

簡単に見つかりにくくするなら、ディレクトリ名、バイナリ名、設定ファイル名
をわかりにくい名前にするのがよいと思います。

/usr/local/tripwire なんてディレクトリや /etc/samhainrc なんてファイルが
あるといかにも入っているなと言う感じしますから。

ちなみに、某Tripwireの講習会で「Tripwireを隠蔽する方法を教えてください」
と質問したら、「Tripwire Agentのポート番号を変更してください。」という
お答えでした。

商用版TripwireでTripwire関連のファイル名を変えたりすると、付属のポリシー
とずれちゃうから売る方としてはイヤなのかなと思いましたけど。

-- 
Hiroaki TERASHIMA