sslug-teknik team mailing list archive

["Klavs Klavsen" <ktk@xxxxxxxxxxxxxxxxxxxx>]

Hej Daniel,

Til en anden gang (bagklog kan man altid være), burde du overveje at evt. bruge
et værktøj som Tripwire, Aide eller Sentinel.. så vil du kunne se om nogle filer
har ændret sig.... og dermed nemmere kunne se hvad der er sket ved din maskine..
(effekten af root-kits kan f.ex. nemt spottes).

Du kunne også installere et program som portsentry (opdager f.ex. nmap-scans som
ipchains ikke kan opdage og spærrer for ip'en).. logcheck (sender dig en mail -
så tit du ønsker om uventede beskeder i logfilerne..) og hostsentry.. (gemmer
dine brugers vaner - og melder ud på hvis f.ex. en bruger der altid logger på
imellem 9-17, pludselig logger på kl. 23..)  - jeg kan give dig links til dem.

Du kunne også se på LIDS.. et patch til kernen.. som sikrer ens maskine
betydeligt.. også selvom der sker en evt. root-compromise..

Ydermere, så bør man (som allerede nævnt af en anden) - køre med det du kalder
whitelisting.. (altså default DENY i ipchains og så tillade det man ønsker). Som
nævnt kræver det ikke så meget.. men det giver en hel masse..

Jeg har nævnt nogle ting man kan gøre... afhængig af hvor meget tid du gider at
bruge på maskinen (kontra hvor vigtig den er for dig), så kan du jo selv vælge
hvad du vil installere..

----
Mvh - Best Regards   | http://www.metropol.dk      http://www.berlingske.dk
Metropol Online      | http://www.boligzonen.dk    http://www.jobzonen.dk
                     | http://www.oresundsnyt.dk   http://www.avisdata.dk
Klavs Klavsen        | http://www.gulgratis.dk     http://www.cnn.dk
IT-Coordinator       | http://www.bt.dk            http://www.aok.dk
                     | http://www.bynet.dk         http://www.drommeholdet.dk
Email: ktk@xxxxxx    | http://www.studenterinfo.dk http://www.fyens.dk
Tlf. : 33752700      | http://www.stiften.dk       http://www.jv.dk
Fax. : 33752720      | http://www.nordjyske.dk