On Tue, Jan 21, 2003 at 01:10:34PM +0100, Tomasz T. Ciaszczyk wrote:
> Michał Łodziński napisał w dniu wto, sty 21, 2003 at 12:32:31 CET co
> następuje:
> : > Co zamiast tripware na woodego? Jakie program polecacie?
> :
> : ja uzywam aide
> : w porownanu do tripware jest prostszy w konfiguracji
> aide+logcheck+diffmon bardzo dobrana para ;>
no ta 'para' w szczególności. tyle, że nieco osobliwa bo aż trzyelementowa ;p
> do tego jszcze mozna sie pobawic narzedziami Psionic'a (*Sentry).
> Dotego grsec z logowaniem set*id, jajko z patchami dodatkowymi i
> maszynka nawet bezpieczna sie zrobi ;>>
chciałbym zauważyć na kanwie powyższego 2 rzeczy:
1) nie sądze żeby takie podejście (tzn zainstalowanie dzisiątek narzędzi
robiących różne rzeczy) mogło zapewnić bezpieczeństwo. jest ono (podejście)
naiwne, żeby nie powiedzieć głupie. sekjuriti to przede wszystkim
samodzielne myślenie i dłubanie, a dopiero w następnej kolejności
korzystanie z gotowych narzędzi. podkreślam kolejność - instalujemy
soft i nakładamy łatki po to żeby rozwiązać jakiś problem, a nie
dlatego, że w jakimś jednym czy drugim ogólnikowym sekurity howto
ktoś mądry napisał, że np tripwire jest wskazany, bo cośtam.
sama instalacja narzędzi i częste upgrade'y nie zapewniają jeszcze
bezpieczeństwa, choć mogą być dobrym punktem wyjścia. podkreślam -
_mogą_.
a na marginesie, to co się tyczy narzędzi do sprawdzania integralności
plików (np. tripwire) - parę tylko razy mi się w życiu zdarzyło spotkać
systemy na których zastosowanie takowych narzędzi było wskazane, sensowne
i na miejscu. takie aplikacje mają uzasadnienie w systemach, które zwykło
się kiedyś określać mianem 'produkcyjnych', choć to określenie jest dzisiaj,
w czasach instalowania softu z CVSa, troszke inaczej rozumiane. sprawdzanie
zmian w plikach ma duzy sens w przypadku, kiedy mamy szczegolowy koncept
systemu, który jest równie szczegółowo i ostatecznie zrealizowany. wówczas
'zamrażamy' system, generujemy bazę np w tripwire i pozostaje nam czekac
na odchylki od stanu 'surowego', które powinny zdarzać się w takim wypadku
z rzadka i być poważnym ostrzeżeniem. natomiast większość systemów jest tak
rozgrzebana i, ze tak sie wyraze, 'still under development', ze zmiany
w systemie plikow są zbyt częste żeby się nimi nadmiernie przejmować i stąd
tripwire daje, za przeproszeniem, guano a nie bezpieczenstwo.
i drugie spostrzeżenie
2) coraz więcej zdarza się offtopikowych odpowiedzi na posty - gość zadał
precyzyjne pytanie o zamienniki tripwire i w odpowiedzi (przynajmniej
częściowo) otrzymał listę różnych rzeczy mniej lub bardziej z tematem
związanych. imho odpowiedz na to pytanie powinna wygladac tak:
bsign, integrit, samhain, aide, fcheck
plus ew. parę słów komentarza do każdego z programów. pisanie o grsec'u
który umie logować set*id i o portsentry np. jest nie na temat.
a zupelnie niezrozumiala jest juz wypowiedz z 'dzialem nuklearnym'
i 'muchą'. a skąd miły wiesz do czego to ma służyć, że tak piszesz??
pozdrawiam
k.
ps1. no to odreagowalem juz frustracje z pierwszej polowy tygodnia ;)
ps2. jesli ktos sie czuje urazony, dotkniety, albo uwaza, ze sie zwyczajnie
czepiam, to niech zignoruje rownie zwyczajnie.
>
>
> --
> Pozdrawiam,
> TTC
>
> .-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
> .:: Tomasz T. Ciaszczyk [ ciacho<at>ciacho.pl ] >> http://ciacho.pl <<
> .::
> .:: ...bo fizyka klasyczna jest arogancka i ograniczona.
> `-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
>
>
> --
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>
--
________________________________________________________
| /)/)
| Grzegorz Kusnierz | GG: 1756511 | ( xx\
| | | /'-._)
| [EMAIL PROTECTED] | http://www.bezkitu.com | /#/ U
| [EMAIL PROTECTED] | * radio * bez * kitu * | /#/
\__________________________________________________/#/
