[port139ml:02285] Re: 第2回 ログファイルの改ざん

[KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx>]

題名: [port139ml:02282] Re: 第2回 ログファイルの改ざん
(<20030214084524.5B47.HIDEAKI@xxxxxxxxxxxxx>) において
Hideaki Ihara さんがおっしゃるには:
| 夢の中で syslogd が改ざんされたので、単なる独り言。。。
| 
|  ・syslogd が置き換えられるとログを監視してるツールは厳しいね
|  ・samhain で 15分に一度監視しているからそれで検出できるぢゃん？
|  ・でもリアルタイムではないから LKM rootkit で細工は可能なのでは？
|  ・そんな時のための LKM 検出機能のはずだが動くかテストしてないし。。。
|  ・samhain がだめなら chkrootkit はだめって前提だよな
|  ・Snare のログで確認ってのはどうよ？けっこうわかるかも！
|  ・でも Snare のログは syslogd にだしてるぢゃん
|  ・だめだめぢゃん。。。
| 
| やっぱだめだめか。。。

  やっぱり、システムコマンドは hardware level で read only 化が可
  能なメディアに置きたいですねえ。ハードディスクに write protect
  switch がほしいです。

- kjm