[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03390] Re: tripwireでファイルの改竄を発見
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:03390] Re: tripwireでファイルの改竄を発見
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Wed, 11 Jun 2003 04:40:24 +0900
Port139 伊原です。
On Tue, 10 Jun 2003 13:44:47 +0900
hamamoto <r00t@xxxxxxxxxxx> wrote:
>伊原さんが喜びそうなネタ提供。
ネタに釣られてます:-D
>@IT会議室 > Linux Square 会議室 > tripwireでファイルの改竄を発見
>http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=4785&forum=10&8
とりあえず dd でイメージ取ったのかしらこのひと?という素朴な
疑問はさておき、このレポートレベルでは変更点がわかりませんな...
レポートレベルを上げて、もう少し詳細に何が変更されたかを確認
しないとコメントできませんが、ちょっと気にしているのは
・そもそも --init はインストール時にか通常はしない
・それ以後は --update すべき
それでレポート見る限り
Report created on: Tue Jun 3 04:03:59 2003
となってますから、すくなくとも 6/3 04:03:59 にチェックしたよ
うですが、データベースが何時のものか?によります。
twprintによるTripwireデータベースの表示
http://www.jp.redhat.com/manual/Doc71/RHDOCS/rhl-rg-ja-7.1/s1-tripwire-printing-reports.html
/usr/sbin/twprint -m d --print-dbfile
を参照して、--check で参照された db が期待されたものかを確認
しないと駄目ですね。(何時作成された db が参照されたのか)
ps
kawa 氏がコメントされてますけど、Windows Update もそうなんで
すけど自動更新ってこういう時に確認が大変で困るんですよね...
# 正規のアップデートなのかどうなのか...
--
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/