Prüfsummenüberwachung für Dateisystem

Tag allerseits!

Ich möchte auf einem Rechner den unveränderlichen Teil der Systemdateien
gegen Veränderung schützen bzw. wenigstens gewarnt werden.

Nachdem neulich gdb zweimal sehr hart gegen die Wand gefahren ist und
die Dateisysteme diverse Schäden hatten, sollen als Sicherheitsgurt
Prüfsumme von /, /usr und /usr/local jeweils ohne ./etc und home
erstellt werden. Das bedeutet, daß beim Einschalten des Rechners
und/oder immer nach Änderungen (ports installieren z.B.) die Prüfsummen
ermittelt und überprüft werden müssen. Außerdem muß man natürlich nach
Ereignissen wie spontanem reboot nochmal gezielt prüfen können.

In den Ports finde ich dazu eine Reihe von Programmen zum such-key
"checksum".

security/bsdsfv
security/cksfv
security/fswatch
security/gsfv

Kennt jemand die im einzelnen und kann mir sagen, welches am besten
geeignet ist, vielleicht am schnellsten läuft, falls das eine Rolle
spielt?

Oder gibt es etwas ergänzendes oder besseres? Ein IDS vielleicht, das ja
ähnliches tut?

Alternativ könnten die betreffenden Dateisysteme r/o montiert werden,
das funktioniert mit erhöhtem ja auch und ist sicherer, da der Schaden
theoretisch garnicht erst auftreten kann. Da weiß'ich aber nicht, ob
spontanes rebooten oder ein wildgewordener Zeiger im Programm nicht doch
Schaden anrichten kann.

Sollte ich bei r/o-Dateisystemenzusätzlich eine Prüfsumme vergleichen?

Neugierige Grüße,
Marc

-- 
Marc Santhoff <M.Santhoff(at)web.de>
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message