Tripwire meldet /sys komplett ausgetauscht

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Tripwire meldet /sys komplett ausgetauscht

Claus Malter
Guten Abend,

ich habe heute morgen mit Erschrecken die Mail vom Contrab und den
Meldungen von Tripwire gelesen:

Devices & Kernel information (/sys) 100 10 373 2019

Wobei 2019 die Anzahl der veränderten Dateien in /sys ist.

Jetzt ist die Frage, ob das bedenkenswert ist?

Ich habe mal meine Aktionen gestern Revue passieren lassen und mir ist
eigentlich nur eingefallen, dass ich versucht habe das /proc Dateisystem
in eine chroot Umgebung zu mounten (was nicht so genial war).

Jemand eine Idee?

Mit freundlichen Größen,

Claus


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Tripwire meldet /sys komplett ausgetauscht

Sven Hartge-5
Claus Malter <[hidden email]> wrote:

> Ich habe mal meine Aktionen gestern Revue passieren lassen und mir ist
> eigentlich nur eingefallen, dass ich versucht habe das /proc
> Dateisystem in eine chroot Umgebung zu mounten (was nicht so genial
> war).

Warum war das nicht so genial?



--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Tripwire meldet /sys komplett ausgetauscht

Claus Malter
Guten Morgen Sven,

Sven Hartge wrote:
> Claus Malter wrote:
>
>> Ich habe mal meine Aktionen gestern Revue passieren lassen und mir ist
>> eigentlich nur eingefallen, dass ich versucht habe das /proc
>> Dateisystem in eine chroot Umgebung zu mounten (was nicht so genial
>> war).
>
> Warum war das nicht so genial?

Das hat in dem Fall nicht mein Problem gelöst. Das Programm, dass ich
ins chroot stellen wollte hatte nur /dev/null vermisst.

Aber wie kommt es, dass dieser Server ohne Neustart, ohne
Kernel-Wechsel, sein komplettes /sys ändert? Deswegen hatte ich die
Aktion mit dem /proc erwähnt.

Ich hoffe immer noch auf eine Antwort, da <paranoid>ich</paranoid> Angst
habe, dass ich einen ungebetenen Gast auf meinem System habe.

>
> S°
>

Claus


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)

Reply | Threaded
Open this post in threaded view
|

Re: Tripwire meldet /sys komplett ausgetauscht

Sven Hartge-5
Claus Malter <[hidden email]> wrote:

> Aber wie kommt es, dass dieser Server ohne Neustart, ohne
> Kernel-Wechsel, sein komplettes /sys ändert? Deswegen hatte ich die
> Aktion mit dem /proc erwähnt.

Ich glaube, das sowohl /proc als auch /sys keinen Sinn machen, via
tripwire o.ä. überwacht zu werden, da sie als komplett virtuelle
Dateisysteme nicht mit normalen Systemen verglichen werden können und ja
nach Betriebssituation ihren Inhalt ändern können, ohne das eine äußere
Einflußnahme vorliegt.



--
Sven Hartge -- professioneller Unix-Geek
Meine Gedanken im Netz: http://www.svenhartge.de/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [hidden email]
mit dem Subject "unsubscribe". Probleme? Mail an [hidden email] (engl)