Heute haben wir bei einer ersten virtuellen Maschine Tripwire so eingerichtet, dass es nicht innerhalb der virtuellen Maschine läuft, sondern auf dem Hostrechner.

Wozu das ganze? Tripwire kann doch auch im Gast laufen und die Integrität aller Dateien prüfen?

Stimmt, aber dann ist es von einem Angreifer innerhalb der virtuelle Maschine leicht manipulierbar!
Da unsere Tripwire Binarys und Configs nicht in der virtuelle Maschine liegen, sind sie für einen Angreifer nicht greifbar. Er weiß nicht mal, dass eine Tripwire Installation existiert (es sei denn, er liest diesen Blogpost)!

Wie funktioniert das ganze?
Ein Script fertigt von dem Gastsystem per LVM einen Snapshot an, welcher dann mit kpartx als einzelne Partitionen gemountet wird. Auf dem gemounteten Read-Only Volume wird dann der Integritätscheck ausgeführt.

So (!) macht ein HIDS sinn.
Wir werden das Script weiter entwickeln und erproben und es später zum Download bereit stellen.

Der Beitrag wurde am Thursday, den 21. January 2010 um 23:49 Uhr veröffentlicht und wurde unter Linux, Linux, Monitoring, Security abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.