Von Lcihtgestalt am Mo, 21. August 2000 um 11:20 #
Führt LIDS auch eine Dateisystemüberprüfung ála tripwire durch um zu sehen, ob Dateien manipuliert wurden oder wie stellt lids ein mögliches Eindringen fest? Durch den Versuch, ob geschützte Programme aufgerufen werden sollten ? Hab so auf die schnelle nichts gefunden darüber auf der Heimatseite.
LIDS erweitert das UNIX-Sicherheitskonzept, indem es die Capabilities einsetzt. Damit kann man auch root die Fähigkeit nehmen Dateien zu verändern, Programme aufzurufen usw. Die Capabilities sind bereits im Kernel, aber noch nicht konkret verwendet (ausser durch LIDS).
Dadurch sollte auch die Frage beantwortet sein: Wenn das System es unmöglich macht, Dateien zu verändern (selbst root!), dann braucht man auch keine Prüfung, ob was verändert wurde. Schliesslich ist dann ja auch schon zu spät...
Das ist ja das Schöne an LIDS (resp. den Capabilities, auf denen es aufbaut): Auch root kann hinterher nicht mehr alles! Wenn allerdings jemand das Root-Passwort von 'ner Haftnotiz am Monitor des Rechners abliest, hat er meist auch physikalischen Zugriff auf den Rechner. Dann ist auch bei LIDS Hopfen und Malz verloren... Ansonsten schon interessanter Ansatz. Selbst als root Reingehackte kommen nicht wesentlich weiter, da der Kernel selbst Änderungen an Config-Dateien oder das Öffnen weiterer Ports verhindert.
Von Rainer Budde am Mo, 21. August 2000 um 20:46 #
Leider konnte ich nicht in Erfahrung bringen, ob LIDS eine direkte Dateisystemprüfung durchführt! Ich denke allerings nicht da es sehr flexibel gestaltet ist und auch mit anderen Dateisystemen wie z.B. reiserFS klar kommt. Zu diesem Thema ist mir nur bekannt das (Datei)Systemanfragen auf Lids umgeleitet werden und Lids so jedesmal prüfen, wie die Datei(das Verzeichnis) behandelt werden darf.
Hab so auf die schnelle nichts gefunden darüber auf der Heimatseite.
Ansonsten: danke für den Artikel
Dadurch sollte auch die Frage beantwortet sein: Wenn das System es unmöglich macht, Dateien zu verändern (selbst root!), dann braucht man auch keine Prüfung, ob was verändert wurde. Schliesslich ist dann ja auch schon zu spät...
Man kann die capabilities aber mit pam_cap schon recht effektiv benutzen.
Christoph
Mfg. Rainer Budde