Regelmäßige Check´s auf dem Rootserver.

[chris76]

Tach,

Ich wollte mal nachfragen was ihr für regelmäßige check´s, Tools, Virenscanner, Kontrollen auf eurem Rootserver durchführt, zwecks der Sicherheit?

Ich lese jeden Tag meine Logfiles, und lasse einmal die woche CHKROOTKIT laufen.
Sollte man das noch um was ergänzen? Lasst ihr noch welche tools regelmäßig durchlaufen?

Danke

Ciao Christian

[frank22]

Hallo Christian!

Was ist denn "CHKROOTKIT" und wo bekommt man das?

Gruß

Frank

[captaincrunch]

http://www.chkrootkit.org/

[dea]

Ganz allgemein (und in ungeordneter Reihenfolge):

- ein guter Log-Analyzer, vll. noch ein zweiter mit GUI (Logsentry, sawmill, ...) nimmt Dir den Löwenanteil bei der Auswertung der Logs ab

- ein nettes Performance-Framework (PCP, net-/sar, ...) informiert Dich über die Zustände Deines Systems

- (für die rootie-Kunden) ein kleiner Traffic-Counter (ipac-ng, iam, ...) zeigt Dir, wie hoch Deine Rechnung ausfallen wird ;)

- ein gutes HIDS (tripwire, prelude, samhain, ...) liefert Dir (ggf.) eine sichere Ausgangsbasis für die Systemanalyse

- ein gutes NIDS (snort, ntop, ...) informiert Dich zuverlässig über die Vorgänge im Netz

- ein gutes Systems Management Framework (Big Brother/Sister, div. kommerzielle, webmin, ...) liefert Dir die Informationen auf einen Blick

- ein guter Mailclient (mutt, mutt, mutt, ... *g*) hilft Dir, die Ã?bersicht bei den diversen MLen zu behalten

- (un)gesundes Misstrauen und ein Schuss Paranoia lassen Dich nicht alles glauben und halten Dich wach

- reichlich Bequemlichkeit (nicht zu verwechseln mit Nachlässigkeit!) liefert Dir anständige und zuverlässige Automatismen und Arbeitserleichterungen

Und was die Regelmäßigkeit angeht:

- cron, der regelt's

[adagio]

Was wäre denn ein guter Log-Analyzer, den ihr empfehlen würdet (via Shell)?

[captaincrunch]

logcheck

[chris76]

ein guter Log-Analyzer

da habe ich mich unter SuSE 8.1 für logdigest entschieden und bin sehr zufrieden damit

ein nettes Performance-Framework

Damit habe ich mich noch nicht auseinander gesetzt, PCP sagt mr gar nix

ein kleiner Traffic-Counter

da habe ich mich für IAM entschieden und bin zufrieden

ein gutes HIDS
ein gutes NIDS

tja mit snort und tripwire und so habe ich mich noch nicht stark auseinandergesetzt, wol liegen da die großen vorteile wenn ich es verwende. Ich lasse mich gerne überzeugen.

ein gutes Systems Management Framework

dazu zählt auch phpsysinfo oder?
habe ich nicht drauf ist aber eine überlegung wert.

un)gesundes Misstrauen und ein Schuss Paranoia

habe ich

cron, der regelt's

ja der cron ist mein Freund

Ciao Christian

[dea]

ein guter Log-Analyzer

da habe ich mich unter SuSE 8.1 für logdigest entschieden und bin sehr zufrieden damit

Dann bleib dabei - ich kenn' logdigest nicht, werd's mir bei Gelegenheit aber mal anschauen :) Wichtig ist nur, dass Du Dich nicht allein auf die Software verlässt, sondern auch noch manuell die Logs durchsiehst (kann ja sein, dass der LogChecker etwas "übersehen" hat).

ein nettes Performance-Framework

Damit habe ich mich noch nicht auseinander gesetzt, PCP sagt mr gar nix[/quote]

Schau mal bei SGI vorbei (URL reiche ich nach | EDIT: Hier ist sie: http://oss.sgi.com/projects/pcp/). Ein Performance-Framework ist insofern nützlich als dass es Dir helfen kann, zwischen "regulärer" (Apache, DB, ...) und "irregulärer" (Amok laufende Skripte, Angriffe, Kompromittierungen, ...) Systemauslastung zu unterscheiden - und natürlich Deine Anwendungen zu tunen ;)

Ein gutes Framework macht Fragen wie etwa "Permanent 100% Auslastung - warum?" (EDIT: So wie der hier: http://www.rootforum.org/forum/viewtopic.php?t=17108) überflüssig weil Du sofort erkennen kannst woher die Last stammt.

ein gutes HIDS
ein gutes NIDS

tja mit snort und tripwire und so habe ich mich noch nicht stark auseinandergesetzt, wol liegen da die großen vorteile wenn ich es verwende. Ich lasse mich gerne überzeugen.[/quote]

HIDS helfen Dir vor allem nach einer Kompromittierung bzw. bei einem Verdacht. Sie halten Checksummen von Dateien und Verzeichnisses vor und versetzen Dich so in die Lage, erkennen zu können ob eine Datei noch "original" ist oder nicht. Je nach Implementation/Produkt gibt's dann noch weitere Features (http://la-samhna.de ist ein sehr schönes HIDS).

NIDS helfen Dir bei der Erkennung von Attacken, auf der Webseite von snort oder prelude findest Du reichlich Erklärungen dazu :)

Nicht vergessen werden sollte allerdings bei einem Einsatz von IDSen, dass diese Systeme nicht proaktiv wirken - die Erzählen Dir erst was wenn es zu spät ist ...

ein gutes Systems Management Framework

dazu zählt auch phpsysinfo oder?
habe ich nicht drauf ist aber eine überlegung wert.[/quote]

Nein - phpsysinfo ist _kein_ Systems Management Framwork. Ein solches versetzt Dich in die Lage, Dein System permanent zu überwachen (Monitoring), Ã?nderungen vorzubereiten, einzupflegen und zu verwalten (Change & Config Management), Die Ergebnisse des Monitorings zu analysieren und "Daten" (Anwendungen, Konfigurationsinformationen, ...) gezielt und "sicher" (im Sinne von kontrolliert, nachvollziehbar, atomar, ...) auf bestimmte Rechner zu verteilen.

Im Allgemeinen sind dieses Framweork so aufgebaut, dass sie Dir als Anwender die Infrastruktur bieten, um Aufgaben wie Monitoring, Software Distribution, Change Management, etc. durchzuführen. In der OpenSource-Welt ist mir leider (noch) kein entsprechendes Produkt/Projekt bekannt (unter Debian ließe sich vll. vieles davon mit ein wenig Arbeit selber bauen), in der kommerziellen Welt sind die brauchbarsten Produkte leider für uns zu teuer ... :?

Ein Ansatz wäre das von mir angesprochene BigBrother bzw. BigSister für's Monitoring plus ein aufgebohrtes Debian Paketmanagement-System für Software Distribution und Config Management ...

Alles nicht so einfach *seufz*

[chris76]

Wichtig ist nur, dass Du Dich nicht allein auf die Software verlässt

ich habe mir ein script geschrieben welches mir die logfiles nach stichwörtern durchsucht und die letzten Zeilern der logfiles einfügt. Danach habe ich mal logdigest installiert und habe beides Parallel laufen, ich traue einer Software nicht gleich. Ich habe meine script so angepasst das es mir nur noch die letzten Zeilen mailt und das lese ich immer parallel zu den mails von logdigest.

Danke dir für Deine ausführliche Antwort, ich werde mir das mal alles in ruhe zu gemüte führen und wenn fragen sind dann schieß ich los


Ciao Christian

[dea]

Danke dir für Deine ausführliche Antwort, ich werde mir das mal alles in ruhe zu gemüte führen und wenn fragen sind dann schieß ich los

*duck* ;)

[wirtsi]

Hello ...

noch ein paar Programme, die ich sinnvoll finde. Haben aber nix mit Security zu tun ... *hüstel* ... tragen aber zum stabilen Betrieb bei.


Smartmontools - Ã?berprüfen den Zustand der Festplatte, läuft als Daemon
lm-sensors - Ã?berwachen Netzteil & Lüfter

Außerdem halte ich es für gut, die Apache Logs nach wget,nc und Ã?hnlichem zu durchsuchen ... die meisten Hacks dürften ja doch über PHP vonstatten gehen. Damit merkt man wenigsten, wenn wer Befehle absetzen konnte.

Wirtsi

[samira]

mit logdigest... nur steht im Script von Logdigest

Code: Select all

	logdigest.sh: Log file digests
#	written by Peter Poeml <poeml@suse.de>
#	(based on the logcheck package by Craig Rowland <crowland@psionic.com>)
#
#	This file needs the program logtail.c to run

Ist das wirklich nötig? Ich hab logdigest installiert. Nur... mail krieg ich keine.

Und wenn nötig, wo krieg ich das her?

Grüße

Samira

[chris76]

@samira

was für eine Mailadresse hast du im config denn eingestellt und wie?
Post mal deine conf.

Ciao Christian

[samira]

@samira

was für eine Mailadresse hast du im config denn eingestellt und wie?
Post mal deine conf.

Ciao Christian

ich hab in /etc/aliases lediglich

Code: Select all

root:    postmaster@pk-site.net 

eingefügt laut diesem Howto sollte das genügen
http://www.rootforum.org/faq/index.php? ... 36&lang=de

Grüße

Samira

[adagio]

Bei mir geht es so nicht. Die Mails werden bei mir nur dann weitergeleitet, wenn ich eine .forward Datei anlege (mit meiner Email-Adresse drin, weiter nix). Kommt ins /root rein.

[chris76]

du hast mich falsch verstanden, post mal deine conf Datei

Code: Select all

/etc/logdigest/config

da gibts eine Zeile

Code: Select all

# person to send log activity to.
SYSADMIN="Name@domain.de"

dann sendet logdigest die mails dorthin

Ciao Christian

[samira]

Code: Select all

# /etc/logdigest/logdigest.conf -- site local configuration for logdigest
# it's sourced from logdigest.sh

# logfiles to examine
LOGFILES="/var/log/messages /var/log/mail"

# person to send log activity to.
SYSADMIN=root

# shouldn't need to touch this...
HOSTNAME=

# include some status report (disks, network devices, mail queue, ...)
EXTENDED_STATS=yes

# person to send log activity to.
SYSADMIN=root

und das kann ich einfach ändern.. bzw ne gültige e-mail eintragen??
in z.B.

Code: Select all

# person to send log activity to.
SYSADMIN=postmaster@xyz.de

Grüße
Samira

[chris76]

Wenn du es so schreibst

Code: Select all

SYSADMIN="postmaster@xyz.de" 

kanst du es einfach ändern, BEACHTE die " am anfang und Ende der Mailadresse.
Du kannst oben in dem File noch die logs auswählen die er durchforsten soll.

Wenn du Fragen zu den Stichwörtern von logdigest hast einfahc fragen,
Ich habe mich lange mit dem logdigest beschäftigt bis es lief.

Wenn du einträge in die alarming oder ignore machen willst, dann bitte in die .local dateien. Die Werden nämlich bei evtl. Update nicht verändert !!

Ciao Christian

[samira]

das jetzt bei mir aus..

Code: Select all

# /etc/logdigest/logdigest.conf -- site local configuration for logdigest
# it's sourced from logdigest.sh

# logfiles to examine
LOGFILES="/var/log/messages /var/log/mail /var/log/httpd/error_log /var/log/xferlog"

# person to send log activity to.
SYSADMIN="postmaster@xxxx.net"

# shouldn't need to touch this...
HOSTNAME=

# include some status report (disks, network devices, mail queue, ...)
EXTENDED_STATS=yes

Ich hab das logdigest das in cron daily war in cron hourly gesteckt weil ich die Auswertung eben stündlich haben will.

Nur ne e-mail komm immer noch keine..

Grüße

Samira

[chris76]

ruf das logdigest script doch mal auf der Konsole lokal auf und schau was er ausspuckt an Meldungen?
geht das ganze an ne web.de adresse
?
Stecken die mails in der mailq?

Ciao Christian

[samira]

Dir Rechte waren nicht richtig gesetzt..

So nu gehts nur noch drum das er das so Filtert das nur und ausschließlich Fehlermeldungen ankommen ,Ausnahme xferlog,

und wenn in nem Log KEINE Fehler drin stehen dann soll er das garnicht erst mitschicken

Grüße

Samira

[chris76]

Dafür musst du deine alarming.local und ignore.local entsprechend anpassen, das obliegt jetzt deinen Wünschen !

Ciao Christian

[samira]

Kannst du mir bitte da mal ne Beispielzeile schreiben damit ich da nen Ansatz habe??

Grüße

Samira

[chris76]

Als Beispiel kannst du dich an /etc/logdigest/ignore orientieren.
Der Punkt ist ein beliebiges Zeichen '.'

'*' null bis beliebig viele Vorkommnisse des Zeichens davor

die Zeichen (|)[] haben eine
Sonderbedeutung sofern nicht mit '' escaped, etc. ...

Zum Testen kannst du einfach
grep -f /etc/logdigest/ignore.local /var/log/messages
(oder grep -v -f fuer die Umkehrung) verwenden.

Achtung: /etc/logdigest/ignore.local darf keine Leerzeilen enthalten


Beispiel dieser logeintrag soll gefiltert werden

Code: Select all

Aug 31 00:20:00 bertel /USR/SBIN/CRON[22570]: (root) CMD
(/root/scripte/smstraffic)

Code: Select all

/USR/SBIN/CRON

würde saemtliche Zeilen ignorieren,

Code: Select all

/root/scripte/smstraffic 

würde genau diesen Cronjob ignorieren, also halt alle Zeilen in denen
"/root/scripte/smstraffic" vorkommt.



Ciao Christian

[wirsing]

Und um genau solche Meldungen auszublenden:

Code: Select all

/USR/SBIN/CRON[[[:digit:]]+]: (root) CMD (/root/scripte/smstraffic)