Re: Domanda su implementazione variante tripware

> Salve avrei una domanda, ho implementato tripware sul server con dei
> dubbi......
> Se un hacher riuscisse ad entrare presumo che la prima cosa che farebbe
> sarebbe quella di eliminare i log di sistema in modo da eliminare le
> tracce, verificando subito se tripware e in esecuzione, per ovviare a
> questo ho pensanto di fare uno script che in caso che il demone di
> tripware venisse disattivato il sistema metta in down le NIC per 30
> minuti e poi le riattivi automaticamente trascorsi i sudetti . La mia
> domanda e:
> 1 Si puo fare?
> 2 In che maniera potrei creare questo script?

3. esegui tripwire (o altro, tipo aide, integrit...) da remoto. Ho fatto
dei semplici bash-script che ti permettono di fare il setup di N nodi da
una  macchina client e, nell'ordine:

* via scp vengono spostati gli eseguibili sui nodi (_non_ lavora come root!)
* via ssh+sudo viene girato il filesystem-checker ed altre menate (un
altro script in perl ti permette di monitorare i SUID, ed un altro
monitorizza /etc/passwd per verificare qualsiasi modifica a UID e/o GID
e/o SHELL)
* con scp vengono spostati i log ed i database sul client "master"
* vengono rimossi tutti i file dal nodo remoto
* viene inviata una mail ad uno o più indirizzi scelti in fase di setup

Se modifichi un nodo remoto, lo script ti permette di aggiornare il
database di riferimento. Al momento supporto AIDE, AFICK ed INTEGRIT.
Tripwire l'ho trovato scomodissimo! :-P
Se ti interessa, trovi tutto su http://rfc.sourceforge.net

  Ciao, Claudio



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List