Re: [sisyphus] tripwire или аналог

Andrei Bulava =?iso-8859-1?q?abulava_=CE=C1_altlinux=2Eru?=
Вт Апр 20 19:43:40 MSD 2004


On Fri, 16 Apr 2004, Michael Shigorin wrote:

> On Fri, Apr 16, 2004 at 02:35:49PM +0300, Andrey Rogovsky
> wrote:
> > >Он умеет подписывать базу openssl-ключем?
> > Отвечаю сам себе. Не умеет. И потому ценность его
> сомнительна...
>
> Ну соберите tripwire, если есть желание -- можно и в Sisyphus
> поддерживать.  Опять же на aide какой может иметь смысл тогда
> посмотреть.

Беглое изучение http://www.cs.tut.fi/~rammer/aide/manual.html
показывает, что "подписывать базу openssl-ключем" aide не
приучена, иначе к чему предупреждение:

<cite>

The newly created database should now be moved to a secure
location such as read-only media. You should also place the
configuration file and the Aide binary and preferably the manual
pages and this manual on that media also. Please remember to edit
the configuration file so that the input database is read from
that read-only media. The config file should not be kept on the
target machine. The attacker could read the config file and alter
it or even if he does alter it he could place his rootkit to
place that Aide does not check. So the read-only media should be
accessible only during the check.

</cite>

Если б умела, то ограничились бы замечанием, что в надёжном месте
достаточно хранить приватную часть ключа, а не дёргаться каждый
день с записью/чтением конфига и базы с read only носителем.

Если я правильно помню, то попытка поддерживать tripwire для ALT
Linux уже была (Master 2.0 / Junior 2.0 ?). Я пробовал её
использовать и на собственном опыте убедился, что "Security is a
trade-off with usability". По последнему критерию она подходит
для систем с редко изменяемым окружением / приложениями. А osec и
не напрягает на домашней машинке, и ощущения полного хаоса и
бардака не возникает.

// AB1002-UANIC



Подробная информация о списке рассылки Sisyphus