Login
Login-Name Passwort


 
Newsletter
Werbung

So, 11. Mai 2003, 00:00

Sicherheitssysteme - LIDS

Es gibt inzwischen sehr gute Programme, um sein System auf sehr einfache Art und Weise abzuriegeln. Das Programm, das hier vorgestellt wird, heißt LIDS. LIDS steht für Linux Intrusion Detection System, also ein Eindring-Erkennungs-System.

Vorwort

Für wen ist eine Sicherheits-Software eigentlich interessant? Ganz einfach gesagt: Für jeden! Sicherheit sollte in der heutigen Zeit auf keinen Fall ignoriert werden. Besonders nicht, wenn Ihr System vielleicht noch mit anderen Netzen, also auch dem Internet verbunden ist. Trotzdem wird noch nicht so viel Wert auf Sicherheit gelegt. Dabei gibt es inzwischen sehr gute Programme, um sein System auf sehr einfache Art und Weise abzuriegeln. Das Programm, auf das ich hier eingehen möchte, heißt LIDS. LIDS steht für Linux Intrusion Detection System, also ein Eindring-Erkennungs-System. Mittlerweile gibt es viele IDS (Intrusion Detection System)-Systeme für Linux. Ich denke aber, daß LIDS jetzt schon zu den erfolgreichsten Systemen gehört.

Voraussetzungen

Zum Installieren des Systems setze ich voraus, daß Sie schon Erfahrungen im Umgang mit Linux haben. Ihr System sollte auf jeden Fall optimal installiert sein und es sollte sich nach Möglichkeit im laufenden Betrieb bewährt haben. Des weiteren setze ich voraus, daß Sie in der Lage sind, einen Kernel zu kompilieren und den Umgang mit Modulen beherrschen. Allgemein gesagt, sollten Sie in der Lage sein, ein Linuxsystem zu administrieren.

Mein System sah von der Hardware folgendermaßen aus: Intel Celeron 466 MHz Prozessor, 128 MB RAM, 20,3 GB IBM Festplatte, PCI UDMA66-Controller. Von der Software war folgendes installiert: SuSE 6.2 mit dem Kernel 2.2.16 und LIDS 0.9.7. Ich empfehle auf jeden Fall, diese Kernelversion und die aktuellste LIDS-Version zu verwenden, da diese Dokumentation auf diese Versionen aufbaut! Was noch ganz nützlich sein könnte, ist eine funktionierende Bootdiskette, mit der Sie Ihr System im Notfall wieder hochfahren können.

Grundsätzliches zu LIDS

Was genau macht denn ein Intrusion Detection System? Zu einem guten IDS gehört nicht nur das Erkennen, ob sich jemand an dem System zu schaffen macht, es gehört ebenso ein Sicherheitssystem dazu, welches es ermöglicht, ein laufendes System abzuriegeln. LIDS hält sich genau an dieses Prinzip. Es ermöglicht, das komplette Dateisystem abzuriegeln. Das heißt, Sie können einige ganz wichtige Bereiche Ihres Dateisystems mit einem Schreibschutz versehen oder verstecken. Sollte es jetzt jemand schaffen, in das System einzudringen, so wird die Konsole der Person gesperrt und der Administrator erhält eine Nachricht. Diese kann auf mehren Wegen erfolgen. Entweder sie wird per Mail, oder direkt durchs Netz an eine andere Konsole geschickt. Ein großer Vorteil ist, daß LIDS direkt im Kernel implementiert wird, was die Sicherheit beträchtlich erhöht. Dazu gehört allerdings, daß Sie Ihren Kernel patchen müssen. Was ich allerdings vorweg geben möchte, ist folgendes: Ihr Rechner sollte auf jeden Fall lauffähig sein. Das heißt, Sie sollten in nächster Zeit keine neue Hardware einbauen bzw. austauschen. Ich habe während meiner Testphase mit LIDS einen neuen PCI UDMA-Controller bekommen und festgestellt, daß es sich nicht als sinnvoll erweist, den IDE-Patch nach dem LIDS-Patch zu installieren. Danach ließ sich der Kernel überhaupt nicht mehr kompilieren. Sollten Sie also ein ähnliches Problem haben, dann empfehle ich Ihnen, den LIDS-Patch auf jeden Fall zum Schluß, also wenn Ihr System optimal läuft, zu installieren.

Installation von LIDS

Nachdem wir die Datei mit tar xfvz name-des-lids-file.tar.gz entpackt haben, müssen wir LIDS als erstes kompilieren, was mit dem Befehl make funktionieren sollte. Statt mit make können Sie LIDS auch mit make VIEW=1 kompilieren, um den Debug-Modus zu aktivieren. Danach folgt make install, um LIDS zu installieren.

Die wichtigsten Dateien sind die Konfigurationsdatei /etc/lids.conf und das Administratorprogramm lidsadm. Die Datei /etc/lids.conf darf nicht per Hand editiert werden, sondern nur mit dem Administratorprogramm.

Nun brauchen Sie noch ein verschlüsseltes Paßwort, um LIDS später zu aktivieren bzw. deaktivieren. Das geschieht mit dem Befehl lidsadm -P.

MAKE PASSWD
enter password:
Verifying enter password:
RipeMD-160 encrypted password:
46a1492cc2d43652409abfdbb047e4ae099a62f3

Das RipeMD-160 Paßwort müssen Sie sich notieren. Es wird später bei der Kernelkonfiguration benötigt und entsprechend eingetragen. Dieses verschlüsselte Paßwort wird selbstverständlich nicht direkt zum Aktivieren bzw. Deaktivieren von LIDS benutzt. Für diese Fälle wird nur das unverschlüsselte Paßwort verwendet.

Nun muß nur noch der Kernel gepatcht werden:

cd /usr/src/linux
patch -p1 < lids-version-linuxversion.patch

Das war's für erste. Jetzt geht muß als nächster Schritt der Kernel neu kompiliert werden.

Konfiguration des Kernels

Nachdem der Kernel gepatcht wurde, sollten mit make menuconfig auf jeden Fall folgende Einträge vorgenommen werden:

Menüpunkt Option
Code maturity level options Prompt for development and/or incomplete code/drivers
General Setup Sysctl support

Danach erscheint im Hauptmenü der Menüpunkt Linux Intrusion Detection System mit folgenden Unterpunkten (Erklärungen sind mit einem # gekennzeichnet):

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung