einfache Befehle mit großer "Sicherheitswirkung"?

[ruthserver]

Hallo,

möchte mich in Linux einarbeiten um einen Root-Server "sicher" betreiben zu können. Bevor ich mich in die wirklich tiefen "Innereien" vorwage, dachte ich an einige "leichte Befehle" mit denen ich schonmal grob meinen Server auf "Eindringlinge/"Kinder"-Befall" checken kann. Da in der Warez-Szene ja gerne rar´s genommen werden ist bis jetzt folgendes eingefallen:

- regelmäßig nach bestimmten Archiven suchen (z.B. rar usw..)
- regelmäßig nach allen Dateien suchen, die eine bestimmte Größe überschreiten/identische Größe haben...

ok.. bis jetzt nich viel.. aber ein Anfang, oder? :)

Worüber ich mich jetzt noch schlaum machen muß.. ist denke ich welche Log-Files ich regelmäßig durchforsten sollte usw...

Ich frage mich auch, ob ich als root immer ALLES sehen/finden kann, oder ob ein Eindringling z.B. files vor mir verstecken kann? (auch wenn er kein Root-Kit oder sowas installiert hat)


Danke für weitere Anregungen,
Grüße
Ruth



++ EDIT ++

Was ich eben hier im Forum vom CaptainCrunch gefunde habe scheint auch "nett" zu sei:

Ausgehend von der Tatsache, dass viele Rootkits das ps-Binary austauschen, um die Aktivitäten des Kits zu "vertuschen" (genauer gesagt : damit man den (bzw. die) Prozess(e) nicht sieht, lässt sich das /proc-Filesystem recht gut dazu gebrauchen, "versteckte" Prozesse aufzuspüren.

Dazu hier ein kleiner Einzeiler, der die Anzahl der Prozesse aus /proc, und die Anzahl der von ps gemeldeten Prozesse ausgibt :
Code:
ls -d /proc/* | grep [0-9] | wc -l; ps ax | wc -l

Beide Zahlen sollten auf jeden Fall übereinstimmen. Falls sie es nicht tun sollten, führt man das Kommando erst einmal innerhalb einer Zeitspanne von ca. 1 Minute ein paar Mal hintereinander aus, da es theoretisch möglich ist, dass in dem Moment, in dem ein Teil läuft, gerade ein anderer Prozess läuft.
Sollte sich die Anzahl über einen längeren Zeitraum unterscheiden, ist es sehr wahrscheinlich, dass man sich einen solchen Schädling eingefangen hat.

[wgot]

Hallo,

dachte ich an einige "leichte Befehle" mit denen ich schonmal grob meinen Server auf "Eindringlinge/"Kinder"-Befall" checken kann.

denke besser an einige "leichte Befehle" die den Befall verhindern.

Schaden verhindern geht vor Schaden erkennen.

Da in der Warez-Szene ja gerne rar´s genommen werden

In der Szene werden vor allem gerne Server genommen deren Besitzer erst einen mieten und dann zu Lernen anfangen. :roll:

ist denke ich welche Log-Files ich regelmäßig durchforsten sollte

alle :lol:

ob ein Eindringling z.B. files vor mir verstecken kann? (auch wenn er kein Root-Kit oder sowas installiert hat)

Wenn er verstecken kann dann hat er ein Rootkit installiert, ein Rootkit hat u.a. genau diese Funktion.

Gruß, Wolfgang

[lord_pinhead]

Schonmal dran gedacht immer eine aktuell compilierte Version von chkrootkit und rkhunter auf einer deiner Heimkisten zu haben? Nur so ne Idee, auf nen infizierten Rechner würd ich persöhnlich nix mehr kompilieren.

Aber wie wgot schon gesagt hat, lieber von vornherei die Kiste dichthalten, den wer den Schaden hat muss für den Spot nicht mehr sorgen (oder so ähnlich). Hm, einige leichte Befehle:

man man
iptables
snort (oder prelude, kann auch snortrules, mein Fav)
gradm inkl. grsec gepatchten kernel
Samhain währe vielleicht noch etwas für dich
und der wichtigste Befehl um Kinder rauszuhalten:
chattr +ia <programm>
die kidds wissen net wie man das rückgängig macht, gute "Cracker" aber schon. Vielleicht ja die Binary verstecken (umnennen) und wget|curl|lynx von der Kiste werfen, aber das hält einen auch keinen wirklich ab (Stichwort: ftp, scp). Das du immer nen aktuellen Kernel haben solltest ist klar und Apache absichern wurde oft genug hier im Forum gezeigt.

So, das dürften erstmal ein paar kleine Grundlagen sein, hoffe du hostest keine Kunden :D

[manjo]

Grundsätzlich gilt: Minimal-System!

Also nur das installieren und starten, was wirklich gebraucht wird. Je mehr Progs laufen, desto mehr Angriffsfäche bietet der Server.

iptables ist ganz nett, aber auch keine wirkliche Firewall. Aber wenigstens kann man die Ports, die man nicht braucht, damit schliessen, bzw. alles schliessen und nur die benötigten öffnen.

Wenn Du einen echten Schutz haben wolltest, müßtest Du eine Hardware-Firewall zwischen Server und Netz haben. Aber wer hat schon die Möglichkeit.

Ansonsten haben die anderen schon beschrieben. Es gibt ne Reihe Tools, mit denen Du zumindest sehen kannst, ob dein Rechner kontaminiert ist.

[Roger Wilco]

Ansonsten haben die anderen schon beschrieben. Es gibt ne Reihe Tools, mit denen Du zumindest sehen kannst, ob dein Rechner kontaminiert ist.

Jein. Nur wenn du von einem vertrauenswürdigen System aus die Tests durchführst. Und selbst dann kann dir chrootkit und Co. nur sagen, dass die kompomittiert sein könntest oder vielleicht eben nicht.

[killerhorse]

@ Lord_Pinhead
Irgendwie widersprichst Du dir selbst:

Auf der einen Seite meinst Du man sollte den grsecurity Patch verwenden, auf der anderen Seite soll ein aktueller Kernel verwendet werden.

Das Problem bei der Sache ist
1. Dass es alle paar Tage einen neuen Kernel gibt
2. Dass die grsecurity Entwickler da nicht mitkommen.

Der neueste grsec Patch ist für den Kernel 2.6.10.12
der neueste Kernel ist aber 2.6.13

MfG

Christian

[Roger Wilco]

Das Problem bei der Sache ist
1. Dass es alle paar Tage einen neuen Kernel gibt
2. Dass die grsecurity Entwickler da nicht mitkommen.

http://forums.grsecurity.net/viewtopic.php?t=1275
Und 2.6.13 ist erst seit 3 Tagen raus. Eigentlich ein recht guter Job des Entwicklers (ja, Singular).

Der neueste grsec Patch ist für den Kernel 2.6.10.12

Nein, für 2.6.11.12, aber ist wohl nur ein Typo von dir. Nichtsdestotrotz gibt es durchaus Patches für aktuellere Kernel.

Ausserdem: Welche gefährlichen Exploits wurden denn zwischen 2.6.11.12 und 2.6.13 gefixt?

[lord_pinhead]

@ Lord_Pinhead
Irgendwie widersprichst Du dir selbst:

Auf der einen Seite meinst Du man sollte den grsecurity Patch verwenden, auf der anderen Seite soll ein aktueller Kernel verwendet werden.

Das Problem bei der Sache ist
1. Dass es alle paar Tage einen neuen Kernel gibt
2. Dass die grsecurity Entwickler da nicht mitkommen.

Der neueste grsec Patch ist für den Kernel 2.6.10.12
der neueste Kernel ist aber 2.6.13

MfG

Christian

Die Patches brauchen sicher immer ein paar Tage, die Entwickler müssen Ihn ja erstmal wieder anpassen, und das kann schonmal ein paar Tage dauern. Ist aber nicht schlimm, bis da mal erste gute Exploits im Kiddienet sind, die man nur mit ok und ip ausführen muss, dauert es sowisso ne ewigkeit.

Ausserdem: Welche gefährlichen Exploits wurden denn zwischen 2.6.11.12 und 2.6.13 gefixt?

Ich glaube die können wir an einer Hand abzählen *fg* Aber eigentlich sollte man schon relativ up-to-date bleiben.

[killerhorse]

Hallo,

Ja hab mich vertan bei der Vesion.
Das Problem ist, dass ich einfach sehr leicht den Ã?berblick verliere, was an den jeweiligen Kernelversionen geändert wurde.

z.B. das Chengelog File vom 2.6.13 Kernel ist extrem gross.

Gibt es da eigentlich eine Seite auf der man nach sicherheitsrelevanten Bugs im Kernel suchen kann?

MfG

Christian

[captaincrunch]

Sorry, auch wenn's vom Thema etwas abdriftet, aber bei den Aussagen eben musste ich einfach zu sehr den Kopf schütteln:

iptables ist ganz nett, aber auch keine wirkliche Firewall.

Richtig. IPTables ist die Paketfilterinfrastruktur des Linux-Kernels. Aber was bitteschön ist denn für dich eine "richtige" Firewall?

Aber wenigstens kann man die Ports, die man nicht braucht, damit schliessen, bzw. alles schliessen und nur die benötigten öffnen.

...was nun einmal den vorrangigen Sinn einer "Firewall" darstellt... :roll:

Wenn Du einen echten Schutz haben wolltest, müßtest Du eine Hardware-Firewall zwischen Server und Netz haben.

1. Definiere "Hardware-Firewall".
2. Erklär mir doch mal bitte, warum ich die von mir betreuten Netze durch nichts anderes als dieses "Wundermittel" schützen kann.

[basiaf]

da es hier um einen einzelnen Server geht, stellt sich sowieso die frage nach der Notwendigkeit Firewall...
IMHO braucht ein gut konfigurierter Server keine Firewall ( die ja nach Definition dazu da ist den Verkehr zwischen Netzen zu Regeln )

HW-FW : ist AFAIR nur (teils spezielle) Hardware, die eine FW-Software betreibt. Demnach besteht der einzige Unterschied doch nur in der Funktionsvielfalt der eingesetzen Software und der Leistungskapazität der Hardware

[lord_pinhead]

Hardwarefirewall ist schon recht lustig CC. Wenn man sich mit IPtables net auskennt, kann man sich ins Webinterface einloggen und kann sich dort alles zusammenklicken :-D

Ne, ernsthaft gesagt reichen die IPT aus um den Server abzuschotten und "nur die Ports zu schliessen", mehr soll ja auch eine Firewall nicht machen. Was er sicher meint, sind Applicationsfirewalls ala Outpost von Windows welche dann sofort dicht macht, wenn eine Anwendung start die in keiner Regelliste vorhanden ist. Aber dazu gibts ja Tools wie Systrace, PaX etc. die dann als "Filter" dienen was eigentlich starten darf und was nicht.

Wozu HWFW´s beim Rootserver, so überlastet kann er nicht sein das die Tables den Server auslaster bzw. den Netzwerkstack. Das sind eigentlich nur Lösungen wenn auf ein Server keine Firewall laufen darf (Grund sei jetzt mal dahingestellt) oder wenn der Admin einfach keine ahnung hat wie er mit der Firewall umzugehen hat. Mein W-Lan Router von der Telekom hat auch die Netfilter mit drin, ist das jetzt auch ne Hardware Firewall :lol: wohl kaum.

[Roger Wilco]

Wozu HWFW´s beim Rootserver, so überlastet kann er nicht sein das die Tables den Server auslaster bzw. den Netzwerkstack.

Schonmal eine (D)DoS-Attacke erlebt?

Das sind eigentlich nur Lösungen wenn auf ein Server keine Firewall laufen darf (Grund sei jetzt mal dahingestellt) oder wenn der Admin einfach keine ahnung hat wie er mit der Firewall umzugehen hat.

Die Provider, die eine HW-Firewall anbieten, berechnen den Traffic, der von der Firewall geblockt wird nicht. Alles was bis zum Server (iptables) kommt hingegen schon.

[wgot]

Hallo,

HW-FW : ist AFAIR nur (teils spezielle) Hardware, die eine FW-Software betreibt.

natürlich.

Demnach besteht der einzige Unterschied doch nur in der Funktionsvielfalt der eingesetzen Software und der Leistungskapazität der Hardware

Der wichtigste Unterschied besteht darin, daß bei einer vorgeschalteten ("Hardware"-)Firewall diese nicht manipuliert werden kann wenn der Rootzugang des zu schützenden Servers geknackt ist.

Gruß, Wolfgang

[rootsvr]

Schonmal eine (D)DoS-Attacke erlebt?

Ja.. HardwareFirewall hat auch nichts geholfen, Leitungen sind dann auch Dicht, bzw gibt es kaum ne Firewall die Gigabit in Echtzeit filtert.. port filter vielleicht, komplexe Accesslisten mit Stateful Insepction: Nope!

Die Provider, die eine HW-Firewall anbieten, berechnen den Traffic, der von der Firewall geblockt wird nicht. Alles was bis zum Server (iptables) kommt hingegen schon.

Aber die HW Firewall muß dann der Provider zur Verfügung stellen und dann muß das mit dem Traffic auch so gehandelt werden,.. andere Provider sagen: alles was bei uns für einen Server an Traffic ankommt wird berechnet. Was man dann in nem DDoS Fall mit nem Upstream Provider ausmacht, was er filtert o.ä. ist ne andere Sache, aber die Ultimative Lösung ist ne Firewall nicht. Und Firewall und schützendes System auf einer Maschine ist eh immer kritisch, vielleicht in ner VMWare oder nem UML.

Just my 0.02$

[Outlaw]

Frage: einfache Befehle mit großer "Sicherheitswirkung"?

Antwort: shutdown -h now

Gruß Outi

PS: Das war der sicherste Befehl.

[nyxus]

Schonmal eine (D)DoS-Attacke erlebt?

bzw gibt es kaum ne Firewall die Gigabit in Echtzeit filtert.. port filter vielleicht, komplexe Accesslisten mit Stateful Insepction: Nope!

Na, da gibt es aber etliche am Markt die im GBit-Bereich arbeiten.
Man muß dafür natürlich ein paar Euronen auf den Tisch legen.

[lord_pinhead]

Wozu HWFW´s beim Rootserver, so überlastet kann er nicht sein das die Tables den Server auslaster bzw. den Netzwerkstack.

Schonmal eine (D)DoS-Attacke erlebt?

Das sind eigentlich nur Lösungen wenn auf ein Server keine Firewall laufen darf (Grund sei jetzt mal dahingestellt) oder wenn der Admin einfach keine ahnung hat wie er mit der Firewall umzugehen hat.

Die Provider, die eine HW-Firewall anbieten, berechnen den Traffic, der von der Firewall geblockt wird nicht. Alles was bis zum Server (iptables) kommt hingegen schon.

Wenn jemand eine echte (gute) DDoS Attacke startet , nützt mir auch die schönste HWFW nix. Ich kann nach wie vor meine Verbindungen zu meinen Diensten mit IPTables regeln und wieviel Clients zugleich zugelassen werden, mehr macht eine HWFW auch nicht bei einer DDoS. Verbindungsgeschwindigkeiten kann ich mit Trafficshaping regeln, dann Verpufft der DDoS relativ schnell wenn die nur mit max. 1 Byte/sek. laden können, Problem könnte nur sein das mein Server zusammenklappt und die weiße Fahne schwenkt :(. Wenn ich noch an mein Server komme, fahr ich im ernstfall den Dienst runter und melde meinen Provider einen DDoS, ist die beste Variante das dein Rechner wenigstens noch zum Loggen von IP´s erreichbar bleibt.

Bevor die Frage kommt was eine gute DDoS wäre: Ich lass einfach die Homepage runterladen von meiner Botarmee und überlaste den Apache damit bzw. mach die Verbindung dicht und verursache einen wahnsinnigen Traffic. Um dem entgegenzuwirken brauch ich nicht wirklich ne HWFW, da reicht mir die httpd.conf, iptables (Stichwort Limit Modul) und tc wenns wirklich böse wird. Das die normalen User dadurch betroffen sind ist dann klar :(