[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02285] Re: 第2回 ログファイルの改ざん
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02285] Re: 第2回 ログファイルの改ざん
- From: KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx>
- Date: Fri, 14 Feb 2003 11:11:57 +0900
題名: [port139ml:02282] Re: 第2回 ログファイルの改ざん
(<20030214084524.5B47.HIDEAKI@xxxxxxxxxxxxx>) において
Hideaki Ihara さんがおっしゃるには:
| 夢の中で syslogd が改ざんされたので、単なる独り言。。。
|
| ・syslogd が置き換えられるとログを監視してるツールは厳しいね
| ・samhain で 15分に一度監視しているからそれで検出できるぢゃん?
| ・でもリアルタイムではないから LKM rootkit で細工は可能なのでは?
| ・そんな時のための LKM 検出機能のはずだが動くかテストしてないし。。。
| ・samhain がだめなら chkrootkit はだめって前提だよな
| ・Snare のログで確認ってのはどうよ?けっこうわかるかも!
| ・でも Snare のログは syslogd にだしてるぢゃん
| ・だめだめぢゃん。。。
|
| やっぱだめだめか。。。
やっぱり、システムコマンドは hardware level で read only 化が可
能なメディアに置きたいですねえ。ハードディスクに write protect
switch がほしいです。
- kjm