Dateiveränderungen aufzeichnen und , Ordner prüfen etc.
- Ersteller Flex6
- Erstellt am
0815Chaot
FreeBSD/sparc64-Tüftler
Also deswegen ist tripwire doch nicht kompliziert. tripwire kann nämlich auch einzelne Verzeichnisse/Dateien auf Änderungen überwachen.
Etwas ganz anderes macht die Sache kompliziert. Du hast jetzt nämlich noch eine ganz neue Anforderung eingebracht, die in deinem Ausgangpost nicht stand und die ein IDS üblicherweise gar nicht umsetzen kann: Du willst u.a. wissen, welcher Benutzer eine Datei gelöscht hat. Dazu brauchst du auf jeden Fall zusätzliche Funktionalität im Kernel, denn ein Userland-Programm bekommt nicht raus, welcher Benutzer den Kernel auffordert, eine Datei zu löschen. Aber für das MAC-Framework gibt es AFAIK eine "Dateisystem-Firewall" (die ich mir bisher noch nicht näher angesehen habe), vielleicht gibt es dort eine entsprechende Möglichkeit, bestimmte Aktionen auf dem Dateisystem mitzuloggen.
Wenn du allerdings nur solche Verzeichnisse/Dateien überwachen willst, die nur von einem bestimmten Benutzer beschrieben werden können (Beispiel: /bin ist nur für root beschreibbar), dann reicht dir auch tripwire. Tritt eine Veränderung auf, dann kommt ja nur ein bestimmter Benutzer dafür infrage.
Etwas ganz anderes macht die Sache kompliziert. Du hast jetzt nämlich noch eine ganz neue Anforderung eingebracht, die in deinem Ausgangpost nicht stand und die ein IDS üblicherweise gar nicht umsetzen kann: Du willst u.a. wissen, welcher Benutzer eine Datei gelöscht hat. Dazu brauchst du auf jeden Fall zusätzliche Funktionalität im Kernel, denn ein Userland-Programm bekommt nicht raus, welcher Benutzer den Kernel auffordert, eine Datei zu löschen. Aber für das MAC-Framework gibt es AFAIK eine "Dateisystem-Firewall" (die ich mir bisher noch nicht näher angesehen habe), vielleicht gibt es dort eine entsprechende Möglichkeit, bestimmte Aktionen auf dem Dateisystem mitzuloggen.
Wenn du allerdings nur solche Verzeichnisse/Dateien überwachen willst, die nur von einem bestimmten Benutzer beschrieben werden können (Beispiel: /bin ist nur für root beschreibbar), dann reicht dir auch tripwire. Tritt eine Veränderung auf, dann kommt ja nur ein bestimmter Benutzer dafür infrage.