[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00518] Re: バックドアの隠し場所



Port139 伊原です。

On Fri, 22 Jun 2001 12:51:32 +0900
Shikap <shikap@xxxxxxxxxxxx> wrote:

>#だからそう言ったコマンド類はクリーンインストールしたときに
>#他のメディアにコピーしておく必要もあるんでしょうね。
>#・・・Tripwireの実行バイナリ自身ってのはどうだ(笑)

えーと、# なコメントにあれかもしれませんが...

商用版は別として、Tripwire 2.3(旧 ASR1.3 もありますけど)はオープン
ソースとして www.tripwire.org で公開されていますし、最近の RedHat で
はデフォルトでこれが CD に入ってます。

Tripwire の監視対象に tripwire、twprint、twadmin、siggen や tw.cfg
などの関連ファイルを含めるというのはサンプルポリシーでも行われます。
ただ、tripwire 本体をソースからがりがり変更して任意のファイルは無視
するようなのを作るのはソース公開されてますから可能ですよね。

ぢゃーそいうのはどうするんだっていうのについては、鶏が先か卵が先か
になりますが、FD や CD-ROM に置いた siggen でバイナリのハッシュ値を
確認するとか、NFS でマウントして別システムからチェックするとか、
tripwireなどは CD-ROMに退避してそこからチェックとかいろいろあります。
#まったく別の名前で置いておくという小技もありますが...

ただ、いずれも運用面での負荷が高まるという課題があるかと思います。
AIDE だと、基準とするデータベースや設定ファイルが今のところ暗号化と
か署名されていないので、推奨に従い CD-ROM に置いてなどの運用をせざ
るえない点があるかと思います。(Tripwire 2.3 もその方が安全ですが、
関連ファイルは暗号化署名されてるので消されることはあっても改竄は無
理でしょう)

この方法も、CD-ROM の tripwire ぢゃなくて。/tmp におかれた偽者を使う
ようにカーネルを書き換えられたらどうするんだ〜っていういたちごっこに
なりそうな気がしますから、やはり結論は別システムでマウントして〜にな
るような。

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
  インフォシーク株価に新機能登場!!【銘柄条件検索】ってなにもの?? 
  http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122