[port139ml:02223] Re: Samhain に関するメモ

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

おはようございます、Port139 伊原です。

むぅ頭がくらくらする、やはり寝ているべきか。。。

On Thu, 06 Feb 2003 12:00:31 +0900
Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx> wrote:

>伊原さんからファイル改ざん検知ツールを隠そうとすると大変ですね〜。

私は仕掛ける側で隠そうとする側ではございませ〜ん ;-)

>そうなると、サーバにはファイル改ざん検知ツール入れずに別なサーバに
>ファイル転送してそこでチェックするとか、kernel moduleにファイル改ざんを
>検知するような仕組みをいれるとかしないとダメですね。

リモートでのチェックは興味あるところなのですが、ハッシュ値を計算
するのにファイルを全部読みとることを考えるとトラフィックはどう？
とか考えてしまいます。ローカルでハッシュ値まで計算してそれだけ比
較とかになるんでしょうかね。 samhain とかどうやってるんだろ？

>かなりあります。後者だと検査対象のファイルが書き換えられたときにリアル
>タイムに検知できたり、いちいち検査対象ファイル全体をチェックしなくて
>いいので、隠蔽したいときはいいんじゃないですかね。

リアルタイムでの改ざん検知、日本人が好きそうな響きですよね（笑）

でもこれって本来は ACL がやってるはずで、アクセス権の設定を破って
変更してくるケースを想定すると kernel module ツール同士の争いにな
る気がするのですがどうなんしょ？

結局、いくらすばらしい保護機能を入れもそれが有効に動いているかの
確認には電源切って診断するのが確実、というのが私の最近のお決まり
の台詞になってますが。。。
そいう意味ではオンラインで完全な複製が取れるツールに萌えてるとい
う噂があります。

いかん、くらくらして倒れそうだ、Mail 書いてる場合ぢゃない。。。。

-- 
Port139 セミナー 大阪会場(3月14日)参加者募集中！
http://www.port139.co.jp/seminar/seminar_030314.htm
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/