linux user group brescia

Mah... tutto il caso Mitnik e' abbastanza singolare: non che io
 giustifichi quello che e' stato fatto, ma sicuramente  le richieste
 di danni esorbitanti e il modo in cui i processi si sono svolti
 sembrano quantomeno sospetti... chiamatemi paranoico...

Venendo al fatto in oggetto: si' i files di log tendono solamente
 ad ingrandirsi, sino a quando non occupano tutta una partizione e
 il sistemista accidentalmente li cancella tutti. In realta' esistono
 dei programmi -parte dei vari rootkit- che consentono di `editare'
 delle entries al fine di cancellare le traccie dell'intrusione --
 l'effetto immediato e' che un file che dovrebbe solamente
 `crescere' si trova ad essere tagliato: situazione sospetta.

 In realta' la soluzione migliore (come suggerito da mp) e'
 avere i files in modalita' `append only' (questo si applica pure per root):
  la cosa e' fattibile localmente e toglie buona parte dei problemi...
  se poi il file in oggetto e' scritto direttamente su CD-Rom, cancellare
  una entry puo' essere ancora piu' difficile 
 [nota bene: scrivere in modo incrementale su di un CD richiede una
  qualche modalita' di tipo `packet writing' e non e' cosi' semplice come
  potrebbe sembrare a prima vista]

Una nota, pero': il sistema perfetto non esiste... un modo per cancellare
 le traccie puo' essere quello di mettere completamente fuori uso un
 calcolatore: non troppo `elegante', ma sicuramente possibile; 
 similmente avere i files su di una macchina FISICAMENTE diversa da
 quella visibile dall'esterno (con in piu' 
 1. un costante controllo dell'attivita'
 2. una `blindatura' consistente essenzialmente nel ridurre al minimo
   i servizi visibili)
 aiuta, ma non offre nessuna garanzia assoluta.

Ciao,
 lg