[LUGOS-SEC] Aide vs Tripwire vs ??

[Bostjan Mercun]

Zivjo

Moje izkusnje so ze precej stare, mogoce danes ni vec tako... AIDE je po
mojem mnenju precej lazje za instalirat in uporabljat, je pa za samo
varnost nekoliko slabse poskrbljeno. Recimo Tripwire ima neke svoje
formate baze, tako da jih je verjetno precej tezko popravit. Za to ima
napisane svoje programcke. AIDE na drugi strani ima pa kolikor se
spomnim baze v datotekah v plain tekstu. Tiste hash-e bi se dalo
popravit brez tezav za eno ali vec datotek. Kot sem rekel, za tole na
dam roke v ogenj, ker sem preizkusil tudi fcheck in sem mogoce kaj
pomesal z njim. Fcheck-ova slabost je prav tako format zapisa baze
(plain tekst), je pa zelo enostaven in posledicno precej hiter.
Instalacije v bistvu ni, ker je perl skripta, zna pa samo narest bazo in
jo potem se preverit. Zaradi tega je tudi hiter. Tako je bilo vsaj malo
vec kot leto nazaj. Mogoce bi ga bilo smiselno uporabiti za preverjanje
res najbolj kriticnih datotek na racunalniku na recimo nekaj minut. V
tem primeru ima tisti, ki bi se ze spravil popravljat datoteke zelo malo
casa na razpolago. Sam tega nikoli nisem naredil. Pri tripwire je pa
mene motila komplicirana uporaba. Brez svojih skript, ki ti poganjajo
tripwire skoraj nimas kaj pocet. Je pa res, da tri skripte spisat spet
ni problem. Pozna pa precej algoritmov in zna opazovat vse vrste
atributov in sprememb datotek.

Delal pa nisem nikakrsnih testov. Vse to so samo moja subjektivna
mnenja.

Ce se ze gres neko varnost, potem se po mojem mnenju nima smisla iti
nekaj na pol. Ne vem sicer, kako je z licencami, ampak jaz bi vseeno
vzel tripwire. Ce ze bos nekaj instaliral, potem se bos verjetno hotel
na tisti program tudi zanest. Baza v obliki plain tekst datoteke, notri
pa ime datoteke, tabulator in hash te datoteke, ne dajejo cloveku nekega
obcutka varnosti. Mogoce, ce uporabis fchech, ali kaj podobnega za
preverjanje baze AIDE.:)

lp

        Bostjan