Hallo Leute,

ich habe mal eine Frage, zu einer ANgriffsmöglichkeit. Mit Tripwire lassen sich ja Veränderungen in Dateien feststellen und via Mail verschicken. Die Mails verschickt er über Sendmail. Aber was ist, wenn der "Hacker" Sendmail angreift und dann Tripwire nicht mehr über Sendmail was senden kann ? Gibt es da einen Lösungsansatz, wie man diesen Angriff schützen kann ?

freue mich über Diskusionen und Lösungen

mfg Marcel

Hallo DaQuark,

1. Hacker greifen niemanden an - Du meinst Cracker!

2. Man könnte z.B. Tripwire jeden Tag eine Mail senden lassen - kommt keine weiß man das etwas nicht stimmt...

mfg
cane

hm stimmt. Aber nach einem Tag kann der ganze Server schon hinüber sein. Natürtlich hat man für solche Fälle ein Backup, aber die persönlichen Daten sind dann in anderen Händen. Gibt es keine Möglichkeit Sendmail zu schützen ? Eine Möglichkeit wäre noch, Sendmail-Dateien nur lesbar zu machen ...

1. Hacker greifen niemanden an - Du meinst Cracker!


nicht schon wieder. vielleicht bezieht man auch mal den kontext mit ein. jeder weiss wer gemeint ist. "cracker" bezeichnet übrigens auch kekse, also was solls?


-j

ich habe mal eine Frage, zu einer ANgriffsmöglichkeit. Mit Tripwire lassen sich ja Veränderungen in Dateien feststellen und via Mail verschicken. Die Mails verschickt er über Sendmail. Aber was ist, wenn der "Hacker" Sendmail angreift und dann Tripwire nicht mehr über Sendmail was senden kann ? Gibt es da einen Lösungsansatz, wie man diesen Angriff schützen kann ?


mit tripwire kann man sich davor nicht schützen. wie auch? wenn ich chef auf der kiste kann ich bspw. tripwire durch meine eigene version ersetzen.

sieh dir mal samhain an. damit kannst du den scanner als daemon laufen lassen, ihn verstecken, auf kernel module scannen und es bringt seine eigene mail engine gleich mit. ausserdem kann man auch gesichert auf einen logserver loggen.


-j

@ Jasper

#Zur Sache

mit tripwire kann man sich davor nicht schützen. wie auch? wenn ich chef auf der kiste kann ich bspw. tripwire durch meine eigene version ersetzen.

Man merkts aber indem man einfach einen kleinen Fehler in den Regelsatz von Tripwire einbaut, der nach der Änderung nicht mehr auftaucht. Außerdem kann man die .conf zuHause speichern und sich bei Bedarf per SSH auf den Server connecten um einen Tripwire Scan über ein statisch kompiliertes Tripwire auszuführen.

Samhain muß ich mir mal ansehen...

#Off Topic

nicht schon wieder. vielleicht bezieht man auch mal den kontext mit ein. jeder weiss wer gemeint ist. "cracker" bezeichnet übrigens auch kekse, also was solls?
-j

Ist aber Fakt - simpel, oder?

Wenn ich alle Äußerungen in zwei Postings verpacken würde, von denen eins in den Off-Topic Bereich gehört hätte ich schon fast 1400 :p

mfg
cane