Re: Tripwire meldet /sys komplett ausgetauscht
Guten Morgen Sven, Sven Hartge wrote: Claus Malter wrote: Ich habe mal meine Aktionen gestern Revue passieren lassen und mir ist eigentlich nur eingefallen, dass ich versucht habe das /proc Dateisystem in eine chroot Umgebung zu mounten (was nicht so genial war). Warum war das nicht so genial? Das hat in dem Fall nicht mein Problem gelöst. Das Programm, dass ich ins chroot stellen wollte hatte nur /dev/null vermisst. Aber wie kommt es, dass dieser Server ohne Neustart, ohne Kernel-Wechsel, sein komplettes /sys ändert? Deswegen hatte ich die Aktion mit dem /proc erwähnt. Ich hoffe immer noch auf eine Antwort, da paranoidich/paranoid Angst habe, dass ich einen ungebetenen Gast auf meinem System habe. S° Claus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Tripwire meldet /sys komplett ausgetauscht
Claus Malter [EMAIL PROTECTED] wrote: Aber wie kommt es, dass dieser Server ohne Neustart, ohne Kernel-Wechsel, sein komplettes /sys ändert? Deswegen hatte ich die Aktion mit dem /proc erwähnt. Ich glaube, das sowohl /proc als auch /sys keinen Sinn machen, via tripwire o.ä. überwacht zu werden, da sie als komplett virtuelle Dateisysteme nicht mit normalen Systemen verglichen werden können und ja nach Betriebssituation ihren Inhalt ändern können, ohne das eine äußere Einflußnahme vorliegt. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Tripwire meldet /sys komplett ausgetauscht
Guten Abend, ich habe heute morgen mit Erschrecken die Mail vom Contrab und den Meldungen von Tripwire gelesen: Devices Kernel information (/sys) 100 10 373 2019 Wobei 2019 die Anzahl der veränderten Dateien in /sys ist. Jetzt ist die Frage, ob das bedenkenswert ist? Ich habe mal meine Aktionen gestern Revue passieren lassen und mir ist eigentlich nur eingefallen, dass ich versucht habe das /proc Dateisystem in eine chroot Umgebung zu mounten (was nicht so genial war). Jemand eine Idee? Mit freundlichen Größen, Claus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Tripwire meldet /sys komplett ausgetauscht
Claus Malter [EMAIL PROTECTED] wrote: Ich habe mal meine Aktionen gestern Revue passieren lassen und mir ist eigentlich nur eingefallen, dass ich versucht habe das /proc Dateisystem in eine chroot Umgebung zu mounten (was nicht so genial war). Warum war das nicht so genial? S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)