Tripwire nutzen

26/04/2016 - 12:29 von Jan Novak | Report spam
Hallo,

habe gerade in heise über die Nutzung von tripwire gelesen und mcih
gefragt, ob ich das auf meinem Web Server einsetzen soll.

Wenn tripwire jedoch zum Beispiel das WEB Dir beobachtet, würde ich
tàglich DB Updates machen müssen, weil sich dort halt viel àndert (CMS
und WebShop).

Ich habe diverse Funktionen im Einsatz, wie Antivirus scan der
Verzeichnisse, Rkhunter und fail2ban.

Ist der Einsatz dennoch zu empfehlen?

Jan
 

Lesen sie die antworten

#1 Marc Haber
26/04/2016 - 13:52 | Warnen spam
Jan Novak wrote:
habe gerade in heise über die Nutzung von tripwire gelesen und mcih
gefragt, ob ich das auf meinem Web Server einsetzen soll.

Wenn tripwire jedoch zum Beispiel das WEB Dir beobachtet, würde ich
tàglich DB Updates machen müssen, weil sich dort halt viel àndert (CMS
und WebShop).



Die Kunst ist halt, seinen Regelsatz so zu bauen, dass die Dateien,
die sich im Regelbetrieb àndern, nicht gemeldet werden, in der
Hoffnung, dass ein Angreifer schon irgendwelche anderen Spuren
hinterlàsst.

Der nàchste Schritt ist, die Regeln so zu formulieren, dass auch
versteckte Dateien aufgefunden werden.

Der nàchste Schritt der Kunst ist, beim Lesen der Reports zwischen
gewollten und ungewollten Änderungen unterscheiden zu können.

Und dann ist noch eine Menge Hoffnung dabei, dass der Angreifer nicht
schnell genug root geworden ist, dass er sich die Datenbank nach
eigenen Wünschen angepasst hat, oder Kernel oder Libraries so
trojanisiert hat, dass dem laufenden tripwire nicht das pràsentiert
wird, was es sehen will, obwohl in der eigentlichen Datei làngst was
anderes steht.

Nachdem das gesagt ist, ich verwende auf meinen Systemen zwar nicht
tripwire, sondern aide, weil aide schon lànger unter einer Freien
Lizenz steht. Aber ich bin mir bewusst, dass auch das nur ein
Bestandteil einer Strategie sein kann, weil das Tool wie viele andere
prinzipbedingte Lücken hat.

Eigentlich muss man das System regelmàßig offline nehmen und die
Dateisysteme mit einem sicher untrojanisierten System gegen eine nicht
auf dem System gespeicherte Referenz-DB prüfen. Aber das macht halt
keiner.

Grüße
Marc

Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Ähnliche fragen