maxcom, когда новость появляется через _сутки_ после того, как она была на lrn.ru, наверное это уже не интересно, как минимум, а?

при чем тут lrn?

новость была запощена сюда по мотивам librenix.com

ИМХО статья для полных даунов!

Линукс идет в массы!

Так ты уже прочитал, орел? Ух быстрый ты..

Ой, а можно я тоже напишу такую хавту:

=== Cut ===

# apt-get install chkrootkit logcheck logcheck-database portsentry

=== Cut ===

Чем не хавта? ИМХО, лучше бы автор рассказал, как правильнее писать эти самые logcheck-database, чтобы приходили действительно необычные куски логов... Просто вспоминаю мучения, когда это чудо ставил.

> Чем не хавта? ИМХО, лучше бы автор рассказал, как правильнее писать эти самые logcheck-database, чтобы приходили действительно необычные куски логов... Просто вспоминаю мучения, когда это чудо ставил.

Так напишите ему!

chkrootkit sucks!

Прямые руки + SELinux|RSBAC. И никаких гвоздей!

> Прямые руки + SELinux|RSBAC. И никаких гвоздей!

Может вы и правы, но разве file integrity cheker чему-то помешает? При условии что он правильно настроен, естественно.

Потом, есть проблема начинающих линуксоидов (которые создают статистику взломов linux), и для этой публики чем проще и нагляднее средства защиты, тем лучше.

> но разве file integrity cheker чему-то помешает?

Дык мало чему поможет. Если уж кто-то вставил в ядро какую-то дрянь, то фиг чего с этим сделаешь.

> При условии что он правильно настроен, естественно.

Отож. А его правильно настроить -- это посложнее будет, чем написать policy для SELinux.

> Потом, есть проблема начинающих линуксоидов (которые создают статистику взломов linux),

Им надо усвоить, что проблемы с безопасностью в _ЛЮБОЙ_ ОС возникают прежде всего от кривых рук, и накакого средства, кроме RTFM, на самом деле нет.

> и для этой публики чем проще и нагляднее средства защиты, тем лучше.

Пусть это будет просто, но не проще, чем на самом деле. (C) А. Эйнштейн.

> Если уж кто-то вставил в ядро какую-то дрянь, то фиг чего с этим сделаешь.

При условии, что эта дрянь ничего не делает. Как только начнет процессы делать/порты слушать - себя выдаст (как ни скрывай порт/процесс в ps и tcpdump, он все равно есть, и его можно найти). А если спрятать так, что виден не будет - работать не будет тоже. Аминь.

> Как только начнет процессы делать

А зачем ему этим заморачиваться? Можно все и внутри ядра делать...

> он все равно есть, и его можно найти

Да? Вообще-то даже штатными средствами можно его запрятать так, что с ним смогут взаимодействовать лишь ограниченное число процессов. Например, заводим домен secret, entry point делаем только одну программу и только для одного домена | роли, запрещаем IPC с другими доменами. После этого найти этот процесс можно будет лишь по трещанию hard'-а :)

А как тогда насчет таких вещей, как ettercap?