2.2 vs 2.4 -- propozycja
Michał Kuratczyk
kura w cs.net.pl
Pon, 23 Lip 2001, 12:43:18 CEST
On Mon, Jul 23, 2001 at 12:13:05PM +0200, Tomasz Kłoczko wrote:
>W sytuacji kiedy miałeś dziurkę to już po ptokach (właśnie poprzez taki
>log .. który nie wiedzieć czemu nie został usuniety dowiedziałeś się że
>coś że dzieurę .. miałeś). W sytuacji kiedy miałeś system w jednym kawałku
>takie zdarzenie można zignorować żeby zajać się czymś produktywnym.
>... czysta logika.
kloczek nie przesadzaj. Istnienie w systemie użytkownika, który coś
kombinuje nie oznacza, że albo się już włamał, albo mu się nie uda. Mógł
próbować wykorzystać dziury, których akurat u nas nie ma, co nie zmienia
faktu, że warto go bliżej obserwować. W zależności od kontekstu można
też po prostu usunąć mu konto, wysłać ostrzeżenie czy co tam będzie
adekwatne.
Dodatkowo LIDS ma tę ważną cechę, że logi wysyła pocztą bezpośrednio
z jądra. Usunięcie takich logów jest więc bardzo trudne (wymaga dodatkowo
włamania się na serwer poczty czy stację roboczą), a i podmiana
/usr/lib/sendmail i innych takich nic szkodnikowi nie pomoże.
Kolejna sprawa (związana z powyższym) to fakt, że przy odrobinie
szczęścia dostaniemy list z informacjami o kolejnych czynnościach, które
próbował ów szkodnik wykonać. Ma to niewątpliwe walory edukacyjne. :-)
--
Michał Kuratczyk <kura w cs.net.pl>
Więcej informacji o liście dyskusyjnej pld-devel-pl