nuqneH,
Alex Tutubalin <lexa@lexa.ru> said :
> >> Не забывай, у меня еще бэкапы есть :). Кстати, делать backup отдельной
> >> машиной, подключенной к тому же SCSI почти реально.
> ier> Тоже об этом сейчас думаю.
> Я сказал - почти. Задница в том, что содержимое диска и содержимое файловой
> системы отличается на содержимое кэша. Следовательно, бэкапить с SCSI нельзя
> (dump'у диск доступен через кэш).
Это очевидно. Вопрос - насколько "нельзя"? В конце концов, если в некий
момент мы скажем "sync" на главной машине, то бэкапящая сможет снять
некий snap. Это не очень годится в качестве основного бэкапа - ну, мы
увидим нечто аналогичное тому, что увидели бы при сбое блока питания.
Но для того, чтобы проверять целостность данных через tripwire, этого
вполне достаточно.
> В случае реальной работы и реальной доступной нам техники (вероятно, можно
> спроектировать железку таким образом, чтобы где-то там внутрях проверялась
> нужная нам контрольная сумма), не существует способа сделать абсолютно
> защищенную от хакера среду исполнения, которая при этом еще и работала бы.
> Просто по той причине, что и хакеру и руту доступны в общем случае одинаковые
> наборы действий, а далее работает поговорка про задницу и винт.
>
> Единственная разница между рутом и хакером заключается в том, что хакер
> приходит через сеть.
Эхх, тоска все-таки ентот Unix ;)
> Отсюда вывод. Можно доверять только тому, что лежит на read-only media, защита
> от записи на которой не снимается программно. Таких медий мне известно
> несколько - SCSI-диск с включенным джампером read-only, CDROM, флопик в соотв.
> позиции и UW-ROM. Естественно, весь код, который занимается чтением с этих
> медий должен быть тоже немодифицируем. Т.е. жить в ROM. Тогда ты всегда
> прочтешь с этих девайсов ровно то, что туда было записано. Вот тебе защищенная
> система, правда она unusable.
Не факт, что так уж unusable ;)
> ier> В идеале, нужен анализ всей активности в местах, где ее должен быть
> Что предлагается делать, если атакер подменил мониторинг активности ?
Так о том речь, что средства мониторинга активности должны быть максимально
изолированы.
_ _ _ _ _ _ _
{::} {::} {::} CU in Hell _| o |_ | | _|| | / _||_| |_ |_ |_
(##) (##) (##) /Arkan#iD |_ o _||_| _||_| / _| | o |_||_||_|
[||] [||] [||] Do i believe in Bible? Hell,man,i've seen one!
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
