Prunik hackerem?

Radek Vybiral Radek.Vybiral na vsb.cz
Čtvrtek Únor 17 10:56:24 CET 2000


On Thu, 17 Feb 2000, Michal Dobes wrote:

> Tripwire (nebo jakykoliv ekvivalent). Ted je na nej uz trochu pozde,
> ale priste hned po nainstalovani systemu si s nim udelat soucty
> vseho nemenneho, seznamy prav linku apd a poustet ho pravidelne 
> z nejakeho FYZICKY read only systemu. Umi zacit hulakat, pokud najde
> nejakou zmenu. Cron a spol jde samozrejme obabrat, takze poustet 
> obcas i rucne. 

Vyuzivam take k tomu celkem jednoduse databazi RPM baliku. Vsechny
baliky maji md5 soucet ulozen v databazi. Takze i kdyz by hacker zmenil
login, tak se mi to hned projevi. Samozrejme by mohl nainstalovat novy RPM
balik, ale to by se tam zase promitlo datum instalace a nove instalovane
baliky mam oznaceny.

Takze male HOWTO:

seznam RPM baliku se vytvori:

rpm -qa | sort > rpm.baliky

a pak jednoduchy shell skript kontrola_rpm.sh

#!/bin/sh
for i in `cat rpm.baliky`; do
    rpm -V $i;
done


Jeste by me vyhovovalo, kdyby se tam dalo specifikovat --excludedocs aby
se nevypisovali zmenene konfiguracni soubory, ale to nejde s volbou -V.

R.V.


+-------------------------------------------------------------------------+
| Radek Vybiral				           Radek.Vybiral @ vsb.cz |
| Technical University of Ostrava               http://www.vsb.cz/~l92494 |
| Czech Republic                                    GSM: +420 602 473 670 |
| Projects: Admin on darksys.vsb.cz		    http://darksys.vsb.cz |
| NEW! Czech: Sluzby automobilistum	          http://www.automobil.cz |
|									  |
|     J.W Goethe: "Prestoze svet stale pokracuje, mladi lide musi	  |
|	           vzdy zacinat od zacatku."				  |
+-------------------------------------------------------------------------+



Další informace o konferenci Linux