On Mon, Jan 31, 2005 at 09:29:51PM +0100, Wolfgang Jeltsch wrote: > Am Montag, 31. Januar 2005 19:23 schrieb Sven Hoexter: > > [...] > > > Wundert mich ueberhaupt das noch jemand tripwire verwendet. Programme wie > > aide oder afick sind doch mitlerweile angeblich weiter entwickelt und > > performanter. > > Bei aide schreckt mich der folgende Kommentar aus der Paketbeschreibung des > sarge-Paketes ab: > > You will almost certainly want to tweak the configuration file in > /etc/aide/aide.conf. Das ist doch ueblich. Solche Systeme sind wie in der anderen Mail schon geschrieben einfach nicht fuer alle Setups passend. Dafuer ist ein Admin da - Software konfigurieren, unter kontrolle halten und pflegen. > Klingt nicht gerade so, als w�rde aide mit einem sinnvollen Satz an > Standardregeln daher kommen. :-( Doch kommt es.
> Und afick scheint es in Debian (sarge) nicht zu geben. Hm moeglich. Hab es bisher auch nur auf Mandrake Systemen eingesetzt da der Upstream Autor dafuer Pakete zur Verfuegung stellt und Mandrake kein aide mit bringt. > Wie wichtig ist es eurer Meinung nach, auf einem virtuellen Server, der > haupts�chlich als Web- und Mailserver l�uft, neben logcheck noch weitere > Software zur Einbruchserkennung laufen zu lassen? Welche L�sungen w�rdet ihr > empfehlen? So etwas � la Tripwire oder eher Snort oder beides oder was > anderes? Also Tripwire und SNORT sind jetzt nun 2 voellig verschiedene Paar Schuhe. Waehrend ich tripwire und aehnliche fuer Sinnvoll halte wenn auch in der Einsatzmoeglichkeit etwas begrenzt bei Maschinen wo kein physikalischer Zugang moeglich sehe ich snort etwas kritischer. Snort hatte in der Vergangenheit auch schon Sicherheitsluecken und mehr als dir erzaehlen als "hey da versucht jemand boese sachen ueber's netzwerk" kann das Ding halt auch nicht. Automatisiertes kill routen oder blocken halte ich fuer sehr fraglich falls man keinen effektiven schutz vor IP spoofing vorsieht. Sonst wird sowas schnell ein DoS und schlaegt fies zurueck. Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - No sleep] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
