I would run an integrity checker like tripwire, one alternative is aide <a href="http://sourceforge.net/projects/aide">http://sourceforge.net/projects/aide</a>. If you have another machine at the same location then you could create an NFS share with read-only permissions that you could mount and umount only when you are going to perform the checks, just make sure that the directory on the remote machine has the right permission set and is in an obscure directory. As far as the root-kit detection tools, I don't see why you shouldn't run those too.
<br><br><div><span class="gmail_quote">On 6/12/06, <b class="gmail_sendername">Marco Fioretti</b> <<a href="mailto:mfioretti@mclink.it">mfioretti@mclink.it</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hello,<br><br>when one has physical access to a computer, he<br>can run something like tripwire, with keys and<br>checksum on a separate, write-only media, to<br>verify the integrity of the system.<br><br>What if the system is a remote one (in my case
<br>Centos 4.3 on a User Mode Linux VPS some hundred<br>of KMs from here)?<br><br>Does it still make sense to run tripwire remotely?<br>If yes, how, since you cannot plug a floppy or USB<br>drive in the machine?<br><br>What if tripwire was never ran? Does it make sense, on
<br>a Centos system without physical access, to download there<br>and run remotely one of those rootkit detection tools?<br>Would its findings be surely accurate?<br><br>Generally speaking, how does one handle these issues on
<br>remote systems?<br>Thanks in advance for any comment,<br><br>Marco<br><br><br><br><br>_______________________________________________<br>CentOS mailing list<br><a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos">http://lists.centos.org/mailman/listinfo/centos</a><br></blockquote></div><br><br clear="all"><br>-- <br>Thx<br>Joshua Gimer