Nikdy jsem se nikam nenabourával, ale můžete mi někdo říct, proč by nešlo třeba tohle :
- mám systém s TripWire
- databáze je RO médiu (např. CDROM)
Někdo se mi tam nabourá, uvidí TripWire, změní cestu k databázi v /etc/tripwire/tw.cfg + vygeneruje novou. V ní tedy budou zaznamenány napadené binárky, kontrola je tedy neodhalí a nepodá mi o tom zprávu i kdybych ji cron-em honil každou hodinu.
Takže proč mám dávat databázi na RO médium, když mi ji někdo může pod rukama vyměnit za jinou (neb /etc obvykle nebývá RO) ?
BTW, je triwpire kompilovany staticky? Pokud ne, tak se da dobre osalit pomoci zmenenych knihoven.
A jinak v popsanem pripade staci zakomentovat prislusny radek v crontabu a tripwire je obelsten - dokud administrator neco neupgraduje, pravdepodobne nic nezjisti.
Ale abych ukazal i opacny pohled - v praxi se podobne veci resi vlastnimi jednoduchymi kontrolami, ktere kontroluji treba twipwire + databaze + nastaveni a pokud se zmeni, tak nadavaji.
Jasnacka - ale on asi myslel jen samotnou manipulaci s konfigurakem - a ta mozna neni, pac se musi "sealnout" passphrasi a jak ji smaznu a vytvorim znova, budu muset dat jinou passphrasi nez byla puvodni (neznam ji) no a az admin prijde, aby vokouk configurak, nedostane se "do nej". To ciste jen hypoteticky, hejbat s databazi je zkratka zbytecny a neucinny. Proc hledat klice, kdyz mam zadni dvere dokoran :)
