scaramanga
12.12.04, 19:06
Um Hackerangriffe zu erkennen, möchte ich Tripwire auf einem USB-Stick installieren. Dieser sollte schreibgeschützt sein, wird also nur read-only gemounted und auch am USB-Stick selbst auf read-only gestellt, damit die Tripwire binaries nicht verändert werden können. Ein Hacker könnte nun jedoch den Stick neu mounten und zwar read-write, damit kann er trotzdem temporär auf dem Stick Daten manipulieren, weil das Betriebsystem die Schreibvorgänge puffert. Wenn der Puffer beim mounten auf 0 gesetzt würde, bzw. beim mounten -o sync angegeben wird, sollte ein Hacker auch nicht mehr temporär auf den Stick schreiben können. Dennoch könnte er den Stick ja wieder so remounten, dass er den Puffer ausnutzt um die Daten auf dem USB Stick zu verändern.
Wie oft wird dann der Puffer des USB-Sticks aktualisiert werden? Regelmäßige Zeitabstände? Zufällig? Kann man das abstellen? Ich will auf jedenfall verhindern, dass ein Hacker auf den Stick schreiben kann, bzw. sich die Möglichkeit verschafft dies zu tun.
Hat dazu jemand eine Idee oder generell einen besseren Vorschlag um Tripwire sicher zu machen und vor Veränderungen zu schützen?
Wie oft wird dann der Puffer des USB-Sticks aktualisiert werden? Regelmäßige Zeitabstände? Zufällig? Kann man das abstellen? Ich will auf jedenfall verhindern, dass ein Hacker auf den Stick schreiben kann, bzw. sich die Möglichkeit verschafft dies zu tun.
Hat dazu jemand eine Idee oder generell einen besseren Vorschlag um Tripwire sicher zu machen und vor Veränderungen zu schützen?