Hallo,

Habe eine sehr allgemeine Frage:

Habe das Problem, dass mein System täglich mit Tripwire überprüft wird. Bei einigen Dateien wird auch die Zugriffszeit überprüft. Allerdings musste ich feststellen, dass sich diese, rein durch einen Zugriff auf eine Datei (also z.B. öffnen und ansehen) nicht ändert!?
Hingegen, wenn ich "dar" (Das ist ein Backuptool) verwendet hab hat sich die Zugriffszeit bei sehr vielen Files auf das aktuelle Datum, und Zeit geändert, komischerweise nicht bei allen Files.

Hat jemand eine Idee woran das liegen kann?
Was genau sagt die Zugriffszeit aus?

MfG

Christian

Zugriff :ugly:

Ist doch klar, die Backup Software muss ja irgendwie mit den Dateien
zu tun haben, und warum sollen auch nicht mal ein paar Dateien nicht
von der Backupsoftware, sondern von anderer Software und/oder Usern
nicht angefasst werden?

Eventuell haette ich sonst noch gesagt du benutzt die Mount Optionen
noatime usw.

Informier dich mal gruendlich ueber Access Time/Modication Time und
Creation Time!

man find, man touch, man mount

edit: machst du updates deiner tripwire db?

Hallo,

Das Problem ist ja, dass ich versuche genau herauszufinden, was ein Zugriff ist.
Muss das Backuptool nicht wenn dann auf alle Dateien die es sichert zugreifen?


Natürlich mach ich Updates von der Tripwire DB. Sonst bringt sie ja nichts, wenn ich etwas am System geändert habe und einige Tausen Files betroffen sind....

Das Problem ist nur, dass ich natürlich entscheiden muss ob gewisse Änderungen OK sind oder nicht. Weiters ist das Problem, dass ich bisher kein brauchbares Tripwirehowto gefunden hab. Ja das Programm selbst ist immer ausführlichst erklärt, aber wie erstell ich ein Sinnvolles Policyfile.

Bei mit waren z.B. bestimmte Dimge schon vorgegeben wie z.B.:

SEC_CRIT = $(IgnoreNone)-SHa ; # Critical files that cannot change

und weiter unten z.B.:

(
rulename = "Critical system boot files",
severity = $(SIG_HI)
)
{
/boot -> $(SEC_CRIT) ;
/lib/modules -> $(SEC_CRIT) ;
}


Jetzt heisst SEC_CRIT aber offensichtlich, dass auch die Änderung des Zugriffsdatums eine Verletzung darstellt.
Das Ergebniss:
Die Regel bringt mir garnichts, denn nach einmal Backup machen, kann ich dann Händisch für jedes File im Report nachscheun ob sich nur das Zugriffsdatum geändert hat oder auch die Prüfsumme.
Wenn sich die Prüfsumme geändert hätte wäre es schlimm, aber das Zugriffsdateum....??

WIe gesagt, es kann ja anscheinend niemand sagen was das Zugriffsdatum überhaupt ist bzw. was genau einen "Zugriff" darstellt.

Würde mich also freuen, wenn mir jemand veraten könnte was exakt Zugriff in diesem Zusammenhang bedeutet.
Weiters suche ich ein gutes Tripwire HowTo.

MfG

Christian

PS: jetzt hab ich wieder ein File geöffnet, angeschaut und geschlossen, da wurde die Zugriffszeit aktualsisiert. Schau mir das nochmal an.... OK war gestern wie ich das angeschaut hab wohl zu müde. Dann bleibt nur noch die Frage zu Tripwire.

Es gibt 3 verschiedene Zugriffszeiten. Alle 3 kannst du dir mit dem Befehl "stat <Dateiname>" anzeigen lassen. Damit kriegst du z.B. folgendes:

File: „/etc/passwd“
Size: 882 Blocks: 8 IO Block: 4096 reguläre Datei
Device: 307h/775d Inode: 431966 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2005-08-13 14:47:01.666993360 +0200
Modify: 2005-08-03 14:14:09.000000000 +0200
Change: 2005-08-03 14:14:09.000000000 +0200

"Access" gibt an wann die Datei zuletzt gelesen wurde.
"Modify" gibt an wann die Datei zuletzt geändert wurde.
"Change" gibt den Zeitpunkt der letzten Statusänderung an (z.B. Ändern der Zugriffsrechte)

Wenn jemand z.B. eine kritsche Datei gelesen hat, braucht sich
die MD5/SHA1 Summe nicht aendern.

Wenn jemand z.B. eine kritsche Datei gelesen hat, braucht sich
die MD5/SHA1 Summe nicht aendern.
Ja.... und....? Wie kommst Du darauf, dass sich die MD5 Summe ändern könnte?
Darum gehts ja garnicht.
Es geht darum, das Tripwire zusätzlich die Zugriffszeit überprüft, was irgendwie schwachsinn ist. Denn wenn ich dateien hab, die sowieso nicht gelesen werden dürfen, dann kann isch sie ja gleich löschen.
Eben z.B. das Backup Program liest die Dateien und Tripwire meldet bereits eine Regelverletzung. Dann ist eben das Problem, dass Tripwire bei z.B.3000 Dateien eine Regelverletzung meldet, da aber schon gemeldet wird wenn sich das Zugriffsdatum ändert, bin ich nun gezwungen zu überprüfen ob sich die MD5 Summe auch bei irendeiner Datei geändert hat. Denn es könnte ja sein, dass wären das Packupprogramm die Dateien gelesen hat,zusätzlich eine nicht autorisierte Person Dateien verändert hat.

Also z.B. Tripwire meldet 3000 geänderte Dateien. Bei 2999 hat sich nur die Zugriffszeit geändert, was mich aber viel mehr interessieren würde: Dass sich bei einer Datei auch die MD5 Summe geändert hat. Da ich dies auf den ersten Blick nicht im Tripwire Report sehe, muss ich den ganzen durchlesen und bei 300 Files sicherstellen, dass die MD5 Summe gleich ist, also die Files wirklich nur gelesen wurden.

Die Sache ist lediglich die, dass ich gerne wissen würde, warum Tripwire Kritische /root Dateien auf diese Art und Weise behandelt.

MfG

Christian