6.4 Intrusion Detection Systems6 - 6.4.2 Logcheck - Pro-Linux">
Login
Newsletter
Werbung

Mo, 22. Januar 2001, 00:00

Firewall - Teil 4

LOGIN root REFUSED
rlogind.*: Connection from .* on illegal port
rshd.*: Connection from .* on illegal port
sendmail.*: user .* attempted to run daemon
uucico.*: refused connect from .*
tftpd.*: refused connect from .*
login.*: .*LOGIN FAILURE.* FROM .*root
login.*: .*LOGIN FAILURE.* FROM .*guest
login.*: .*LOGIN FAILURE.* FROM .*bin
login.*: .*LOGIN FAILURE.* FROM .*uucp
login.*: .*LOGIN FAILURE.* FROM .*adm
login.*: .*LOGIN FAILURE.* FROM .*bbs
login.*: .*LOGIN FAILURE.* FROM .*games
login.*: .*LOGIN FAILURE.* FROM .*sync
login.*: .*LOGIN FAILURE.* FROM .*oracle
login.*: .*LOGIN FAILURE.* FROM .*sybase
kernel: Oversized packet received from attackalert
  • Logcheck.violation

In dieser Datei stehen Schlüsselbegriffe, die auf ungewöhnliche, nicht gern gesehene Vorgänge hinweisen, z.B. eine mißlungene Anmeldung eines Benutzers am System.

Ein Auszug aus logcheck.violations:

LOGIN FAILURE
LOGIN REFUSED
PERMITTED
REFUSED
RETR group
RETR passwd
RETR pwd.db
ROOT LOGIN
SITE EXEC
VRFY
"WIZ"
admin
alias database
debug
denied
deny
deny host
expn
failed

Logeinträge, die mit Schlüsselbegriffen dieser Datei übereinstimmen, werden mit dem Header "Security Violation" an den Administrator gesandt.

  • Logcheck.violations.ignored

Die hier enthaltenen Wörter heben eine Alarmmeldung durch die Begriffe in logcheck.violations wieder auf.

Es ist beispielsweise möglich, daß in einem Logeintrag der Suchbegriff "refused" gefunden wurde. Logcheck meldet dem Administrator den Vorfall als Security Violation. Beim nährern Betrachten der Mail und der Logs stellt sich nun heraus, daß der Eintrag vollkommen harmlos ist, obwohl er das Wort "refused" enthält. Durch Eintrag dieses Logabschnitts in die Datei logcheck.violations.ignore wird das System angewiesen, entsprechende Logeinträge zukünftig nicht mehr als bedrohliche Vorfälle zu melden. Auf andere Einträge mit dem Inhalt "refused" hat es keine Auswirkungen.

  • Logcheck.ignore

Dies ist das Sammelbecken für alle unbedenklichen Logeinträge, die nicht gemeldet werden sollen.

Auszug aus der Datei:

authsrv.*AUTHENTICATE
cron.*CMD
cron.*RELOAD
cron.*STARTUP
ftp-gw.*: exit host
ftp-gw.*: permit host
ftpd.*ANONYMOUS FTP LOGIN
ftpd.*FTP LOGIN FROM
ftpd.*retrieved
ftpd.*stored
http-gw.*: exit host
http-gw.*: permit host
mail.local
named.*Lame delegation
named.*Response from
named.*answer queries
named.*points to a Cname
named.*reloading

Logcheck-Installation:

Die Installation von Logcheck gestaltet sich einfach. Die wichtigen Daten sollten in ein eigenes Verzeichnis kopiert werden, z.B. /usr/local/logcheck. Ein neuer Eintrag in /etc/crontab startet das Programm zu den eingestellten Zeiten.

00,15,30,45 * * * * /usr/local/logcheck/logcheck.sh

Logcheck wird alle 15 Minuten durch den cron-Daemon ausgeführt.

6.4.3 LIDS15

Heutige Linuxsysteme haben mehrere Charakteristiken, die sich massiv auf die Sicherheit des Computersystems auswirken können. Einige davon sollen hier kurz angesprochen werden:

  • Der Superuser root hat uneingeschränkte Rechte auf dem System. Er kann im Prinzip machen, was er will.
  • Dateien lassen sich, entsprechende Rechte vorausgesetzt, leicht manipulieren. Hat ein Eindringling einmal root-Rechte erlangt, kann er Programme beliebig austauschen und durch seine Versionen ersetzten. So läßt sich beispielsweise ein Programm im System installieren, das sämtlichen Datenverkehr abhört und so auch an wichtige Paßwörter gelangt. Ein solches Programm nennt sich Paketsniffer.16
  • Der Linuxkernel kann Programmcode bei Bedarf in Form von Modulen nachladen. Ist der Code geladen, wird er zum Bestandteil des Kernels. Ein Hacker könnte so Code in den Kernel einschleusen.

Hier setzt LIDS17, das Linux Intrusion Detection System, an. Die Sicherheit des Kernels wird durch LIDS erweitert. Einmal in Betrieb kann LIDS Dateizugriff, Administration und Zugriff auf Ein- und Ausgabegeräte verbieten. Auch root unterliegt diesen Einschränkungen.

LIDS Installation:

Für die Installation von LIDS muß ein neuer Kernel kompiliert werden, dem man LIDS per Kernelpatch hinzufügen muß:

cd <Pfadangabe zum Linux Quellcode>
patch -p0 lids-0.9.6a-2.2.16.patch

Nun stehen beim Kompilieren des Kernels neue Optionen bereit. Für die einzelnen Optionen ist eine Hilfe vorhanden, so daß man mühelos feststellen kann, welche für das System aktiviert werden sollten und welchen weniger Bedeutung zukommt.

Anmerkung: Für den neuen Kernel muß ein spezielles Paßwort erstellt werden, mit dem man später die Funktion von LIDS ausschalten kann:

Lidsadm -P <Paßwort>

Das Paßwort wird verschlüsselt ausgegeben und muß bei den LIDS-Kerneloptionen unter "RipeMD-160 encrypted password" eingetragen werden.

Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung