chkrootkit

Lesenswerte Artikel, Anleitungen und Diskussionen
native
Posts: 119
Joined: 2003-11-18 10:38

chkrootkit

Post by native » 2003-12-08 23:28

hallo, ich habe beim stöbern im forum gesehen, dass chkrootkit oft erwähnt wird. lohnt es sich, das zu installieren und per cronjob regelmäßig laufen zu lassen?

muss ich bei der konfiguration was wichtiges beachten? hab Debian auf unserem rootie laufen.

danke,
-native.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chkrootkit

Post by captaincrunch » 2003-12-09 07:54

Du solltest vor allem eins: es verstehen, wenn du es einsetzen willst. ;) Einen guten Anhaltspunkt gibt http://www.wiggy.net/debian/developer-securing/

Gestern bin ich im übrigen noch über eine Alternative "gestolpert", habe das ganze aber noch nicht ausprobiert : http://www.rootkit.nl/projects/rootkit_hunter.html
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

native
Posts: 119
Joined: 2003-11-18 10:38

Re: chkrootkit

Post by native » 2003-12-09 10:08

hehe, guter punkt ;)

ok, gehen wir mal davon aus, ich verstehe es nach der lektüre, ist es dann sinnvoll? gibt es sonst noch tools, die sinnvoll wären auf dem rootie, wie tripwire o.ä? Smurfslayer meinte, die wären recht stressig zu konfigurieren.

mfg
-native.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chkrootkit

Post by captaincrunch » 2003-12-09 10:17

"Sicherer" wäre es wohl, zuallererst mal ein vernünftiges Konzept auszuarbeiten, und vor allem andere die angebotenen Dienste so gut wie möglich abzusichern. Danach kann so etwas eine Erweiterung des Konzepts darstellen.

An dieser Stelle einmal mehr: Sicherheit ist kein Zustand, sondern eine immerwährende Entwicklung.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

native
Posts: 119
Joined: 2003-11-18 10:38

Re: chkrootkit

Post by native » 2003-12-09 10:26

da hast du sicherlich recht, und chkrootkit ist sicherlich nicht das erste, was mir zum thema sicherheit eingefallen ist. was wir bisher gemacht haben, lässt sich wie folgt zusammenfassen:

- alle nicht notwendigen dienste de-installiert/de-aktiviert
- aktuelle sicherheitspatches für die laufenden dienste eingespielt

und nun war eben meine überlegung, ob es zum überwachen der systemintegrität sinn macht, chkrootkit aufzuspielen.

mfg
-native.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chkrootkit

Post by captaincrunch » 2003-12-09 10:31

Wobei wir wieder beim ersten Punkt auf "meiner" Liste wären: habt ihr neben den aktuellen Updates die laufenden Dienste auch "sicher" konfiguriert?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: chkrootkit

Post by dodolin » 2003-12-09 10:44

Ich halte chrootkit auf einem Rootserver für sinnfrei. Angenommen, der Rechner wäre kompromittiert, kannst du dich auf KEINE Ausgabe es Programmes mehr verlassen. Das einzige, was Sinn machen könnte, wäre ein statisch kompiliertes chrootkit, das man per Rescue-System ausführt.

Ã?hnliches gilt für Tripwire. Dort steht z.B. in der Doku, dass man die Signaturen auf einem Readonly-Medium sichern soll, was in einem Rootserver nicht vorhanden ist. Ebenso kann man die Integrität des Tripwire-Binaries nicht sicherstellen.

native
Posts: 119
Joined: 2003-11-18 10:38

Re: chkrootkit

Post by native » 2003-12-09 10:51

@ CaptainCrunch: ich bin sicherlich kein Linux experte (habe deswegen den rootie auch nicht allein ausgesetzt), aber soweit ich das beurteilen kann, haben wir das gemacht. die meisten dienste wurden nach dem Debian HowTo installiert und konfiguriert, und bereits bei der auswahl wurde versucht, sichere komponenten zu verwenden, sprich qmail statt sendmail, vsftp statt proftp etc.

aber vielleicht hast du mir noch einen tipp, was gerne übersehen wird?

mfg
-native.

wonderland
Posts: 13
Joined: 2003-07-22 18:34

Re: chkrootkit

Post by wonderland » 2003-12-10 01:14

dodolin wrote:Ã?hnliches gilt für Tripwire. Dort steht z.B. in der Doku, dass man die Signaturen auf einem Readonly-Medium sichern soll, was in einem Rootserver nicht vorhanden ist. Ebenso kann man die Integrität des Tripwire-Binaries nicht sicherstellen.
Naja, immerhin hat das den Debian-Jungs geholfen :-D

Natürlich ist das hundertprozentiger Schutz, weil ein Hacker das ganze auch manipulieren kann, aber auch Hacker machen Fehler... :) Deswegen kann imho sowas schon eine sinnvolle Ergänzung sein, dabei sollte man sich aber natürlich auch immer über die Grenzen/"Fehlermöglichkeiten" im klaren sein.

..- Hendrik

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chkrootkit

Post by captaincrunch » 2003-12-10 08:48

Naja, immerhin hat das den Debian-Jungs geholfen
Falsch: es war nicht Tripwire, sondern Aide. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

debianator
RSAC
Posts: 46
Joined: 2003-09-16 15:23

Re: chkrootkit

Post by debianator » 2003-12-10 09:23

CaptainCrunch wrote: An dieser Stelle einmal mehr: Sicherheit ist kein Zustand, sondern eine immerwährende Entwicklung.
ACK!
dodolin wrote: Ich halte chrootkit auf einem Rootserver für sinnfrei. Angenommen, der Rechner wäre kompromittiert, kannst du dich auf KEINE Ausgabe es Programmes mehr verlassen. Das einzige, was Sinn machen könnte, wäre ein statisch kompiliertes chrootkit, das man per Rescue-System ausführt.
Ich denke, bei einem ernst zu nehmendem Hackerangriff schützt chkrootkit und ähnliches nicht. Zumal dieses Tool erst aktiv werden kann, wenn der Krug bereits ins Wasser gefallen ist.
Einen Schutz vor Crackern (Hackern, was auch immer. Diese Diskussion wollen wir hier mal nicht anfangen :-)) bietet es nicht.

Allerdings hat meiner Meinung JEDES Tool seine Berechtigung, das dazu dient, den unberechtigten Zugriff zu erschweren oder wie bei Chrootkit (, Snort+Acid, Tripwire ) zu analysieren.
Gleiches gilt für solch einfache Schutzvorrichtungen, wie Firewalls oder gar ein .htaccess-Schutz.

Bei einem wirklichem gezielten Hackerangriff ist jedes einzelne Mittel für sich genommen kein ernstes Hinderniss. Allerdings sollte man nicht davon ausgehen das jeder Angriff von einem Profi ausgeführt wird (und einfache Schutzmaßnamen deshalb keine Berechtigung haben), sondern leider oft von Script-Kiddys etc., die eben mal irgendeinen Server hacken wollen.
Hier kann Chrootkit schon dafür sorgen, dass der Server nicht ewig unbemerkt eine Hintertür geöffnet hat.
Verlassen sollte man sich darauf nicht, aber wenn es etwas findet, ist es sicher ein Indiz, dem man nach gehen sollte.

Am wichtigsten ist meiner Meinung nach
a) nur benötigte Dienste laufen lassen
b) sichere Passwörter wählen und regelmäßig ändern
c) Dienste sicher konfigurieren und regelmäßig checken
d) Security -Mailinglisten abbonieren
e) Security-Patches einspielen

f) zusätzliche Sicherheitsmaßnahmen

Gruß,
D.

wonderland
Posts: 13
Joined: 2003-07-22 18:34

Re: chkrootkit

Post by wonderland » 2003-12-10 16:28

CaptainCrunch wrote:
Naja, immerhin hat das den Debian-Jungs geholfen
Falsch: es war nicht Tripwire, sondern Aide. ;)
:oops: Stimmt. Hab ich das doch glatt durcheinander geworfen.

..- Wonderland

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: chkrootkit

Post by mikespi » 2003-12-10 20:25

@ Debiantor

was verstehst du unter zusätzlichen Sicherheitsmassnahmen?

Andi

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: chkrootkit

Post by dea » 2003-12-10 21:13

mikespi: Ichh denke mal, er versteht darunter die breite Masse an Arbeit und vor allem Lernerei die die Chose mit sich bringt ;)

Dir als "Anwender" eines Servers bzw. einer Infrastruktur bietet sich ja eine breite Palette möglicher (erweiterter) Maßnahmen. Was debianator beschrieb war eigentlich nur ein Auszug aus "der Mitte".

Zu Beginn stünde danach das Base-Hardening, d.h. zunächst das OS (anschließend die einzelnen Anwendungen/Dienste) mit Bordmitteln soweit abzusichern, dass zumindest auf dieser Ebene keine Probleme durch mehr oder weniger beabsichtigte Fehlbedienung entstehen. Das beginnt mit der Hardware (OK, haben die rooties nicht im Zugriff), geht weiter über die Partitinioerung, /etc/fstab, Installationsumfang, Basisdienste (wie viele getty's laufen bei Dir?), Netzwerkkonfiguration (grundlegend, DNS ist in diesem Zusammenhang auch eine Anwendung), Ressourcenverwaltung (da geht einiges unter *NIX), Benutzer und -authentisierung sowie -autorisierung (RSBAC, grsec, etc.), usw. usf.

Dasselbe Spielchen dann mit den Anwendungen/Diensten wie SSH, DNS, HTTP/S, POP, IMAP, SMTP, etc. pp.

Und weiter geht's mit etwas spezielleren Angelegenheiten. Da häten wir zunächst die Sache mit dem Kernel. Ein selbstgebackener Kernel kann wesentlich besser schützen als jedes HIDS. Oder Die Marotte der Interpreter. Wenn schon "unbedingt" PHP und Perl installiert sein müssen, dann sollte auch dafür gesorgt werden, dass der Funktionsumfang restriktiv exakt den definierten Bedürfnissen angepasst wird. In diese Sparte fallen noch etliche Themen die ich mir aber der Kürze halber spare.

Jetzt hättest Du die Bordmittel soweit ausgenutzt, dass Du zu speziellen Anwendungen übergehen kannst. Als populärste sei beispielhaft netfilter (besser bekannt als IPTables) genannt. Eine vernünftige und angemessen paranoide Filterkonfiguration erspart Dir viel Ã?rger. Dann gäber es noch (LAR)TC, also Traffic Control, auch unter den Bezeichnungen Bandbreitenmanagement oder QoS (volllkommen irreführend weil hier nicht zutreffen) bekannt. Auf einem rootie macht das zwar nur eingeschränkt Sinn, aber der wirtschaftliche Schaden bzw. die Attraktivität der Maschine ließe sich dadurch effektiv begrenzen. Weiterhin sei nooch das chroot'ing genannt, ebenfalls eine interessante und effektive Maßnahme zur Schadensbegrenzung. Auch hier spare ich mir die stumpfe Auflistung weiterer Mittel und Methoden zu Gunsten der Kürze, allerdings möchte ich noch darauf hinweisen, dass es einige sehr nette GUIs gibt, die einem (sofern man weiß was man tut!!!) die Arbeit deutlich erleichtern können.

So. Nächste Runde, wir nähern uns komplexeren Anwendungen. Hier sind insbesondere ID Systeme (Intrusion Detection - man beachte die Wortwahl!) von Interesse. Davongibte es zwei Sorten die nach ebenfalls zwei unterschiedlichen Arbeitsweisen funktionieren. Zum einen gibt es so genannte Host ID Systeme (HIDS) die lediglich die überwachte Maschine als solche überwachen (FS-Check, Integritätsprüfungen, usw.). Zum anderen gibt es so genannte Network ID Systeme (NIDS) die sich auf das Netzwerk konzentrieren. Arbeiten tun sie alle mit zwei grundlegenden Methoden, der Anomalieerkennung und der Signaturprüfung. Die Ano0malieerkennung, erkennen wie der Name schon verrät lediglich bekannte Anomalien (es gibt Systeme, für die ist alles unbekannte anormal und andere für die alles bekannte anormal ist). Hier liegt die Schwäche in der Definition von "normal" und "anormal". Die Signaturprüfung arbeitet nur auf Basis bekannter Signaturen. Die Signaturen sind je nach Anwendung mehr oder weniger frei definierbar, machen aber auch mit ihrer Flexibilität den Hauptvorteil aus. Moderne ID Systeme arbeiten mittlerweile mit beiden Methoden und versuchen dadurch, die jeweiligen Vor- uns Nachteile auszugleichen.
Dann gibt es noch die Abteilung Performancemanagement. Hier werden kontinuierlich Meßdaten gesammelt die bereits während des Betriebs aufschluss über die Belastungen des Gesamtsystems geben können. Die Qualität der verfügbaren Anwendungen entscheidet sich hierbei vor allem bei der Zuverlässigkeit der gewonnenen Daten, der Handhabbarkeit und der Konfiguration bzw. Auswertung der Ergebnisse.

Sodele, jetzt kommt noch ein ganz klein wenig. Das hat es aber in sich. Wenn Du nun alles getan hast, um Deine Maschine "sicher" zu machen weißt Du 5 Minuten später schon nicht mehr, was alles so vor sich geht. Also ist ein essentieller Bestandteil einer sicheren Infrastruktur ein ausgeklügeltes, nicht zu umgehendes und hochverfügbares Logging. Ohne Logging siehts Du immer alt aus. Zum Thema Logging und Auswertung der Logs lässt sich viel schreiben - ist auch schon viel geschrieben worden, durchsuch mal das Forum. Wichtig ist nur, dass das System nicht zu umgehen sein darf, hochverfügbar (redundant) ist und dass Du die Logs auch tatsächlich auswertest. Auch dazu gibt es viele hilfreiche Anwendungen die Dir das Leben vereinfachen (können).

Das sind "zusätzliche Maßnahmen" in etwa. ;)


[EDIT]
Mal wieder vollkommen vom Topic abgekommen, aber der musste einfach mal wieder sein *gg* ;)
[/EDIT]

debianator
RSAC
Posts: 46
Joined: 2003-09-16 15:23

Re: chkrootkit

Post by debianator » 2003-12-11 08:10

dea wrote:mikespi: Ich denke mal, er versteht darunter die breite Masse an Arbeit und vor allem Lernerei die die Chose mit sich bringt ;)
Genau so ist es. :)

D.

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: chkrootkit

Post by rootmaster » 2003-12-11 08:49

ACK @debianator && dea

wobei beim "rootserver" die vermeidung der "7 todsünden" sicher schon 99% der bösen fälle absichert ;)

http://informit.com/content/index.asp?p ... 8B63D0DE6E}

"back to the roots"

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: chkrootkit

Post by mikespi » 2003-12-11 12:13

Warum habe ich das dumpfe Gefühl das ich immer noch ein absoluter Anfänger bin und trotzdem der fälschlichen Meinung war das mir nichts auf dem Server passieren kann. da der doch sicher konfiguriert ist.

Danke für die Infos :)

Andi

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: chkrootkit

Post by dea » 2003-12-11 19:59

mikespi wrote:Warum habe ich das dumpfe Gefühl das ich immer noch ein absoluter Anfänger bin und trotzdem der fälschlichen Meinung war das mir nichts auf dem Server passieren kann. da der doch sicher konfiguriert ist.

Danke für die Infos :)

Andi
Dir mangelt es nur ein wenig an Paranoia (tm) und vll. hast Du auch zu viel von Selbstbewusstsein (r) ;)

Never ever fühl' ich mich sicher - und wenn mir nichts mehr in Bezug auf meine Büxe bzw. deren Sicherheit einfällt, komm' ich mir ziemlich dumm und naiv vor ... ;)

Aber wenn Du Spass an Hardware und an ein wenig Programmiererei (keine Hochsprachen) hast, dann arbeite Dich in das Thema ein, stelle fest, dass es so gut wie keine wirklich gute Literatur zum Thema gibt (geschweige denn Beschreibungen und Beispiele funktionierender Exploits) und fühl' Dich noch viel viel unsicherer ...

Dürfte der beste Weg sein. seine Infra einigermaßen sicher zu bekommen.

fritz
Systemtester
Systemtester
Posts: 1430
Joined: 2002-04-23 20:12
Location: Lehrte / Hannover

Re: chkrootkit

Post by fritz » 2003-12-11 21:05

rootmaster wrote:wobei beim "rootserver" die vermeidung der "7 todsünden" sicher schon 99% der bösen fälle absichert ;)

http://informit.com/content/index.asp?p ... 8B63D0DE6E}
ich habe gerade versucht, alle 7 Sünden 'abzustellen'

...aber Nr. 5 zu 'vermeiden' ( Insufficient Resources and Misplaced Priorities ), werde ich nie schaffen :(

Gruss Fritz ;-)

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: chkrootkit

Post by mikespi » 2003-12-11 21:07

Spass und vor allem Lust hhabe ich schon die Frage ist nur wo soll man anfangen ???
Mann oh mann, ich haue mir so viel Infos um die Ohren und am Ende check ich doch nicht auf was es wirklich ankommt. :( Ich werde da jetzt langsamer und vor allem intensiver mich mit dem Thema beschäftigen.


Passend zum Thema habe ich am Sonntag ein Seminar wo mir die Firewall Technik von Linux näher gebracht wird ( hoffe ich mal ), das dürfte der richtige Einstieg sein und dann haue ich mir

http://www.rootforum.org/forum/viewtop ... 4e1bf7d769

das auch noch zum Dessert rein. ;)

Andi

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chkrootkit

Post by captaincrunch » 2003-12-11 22:19

Spass und vor allem Lust hhabe ich schon die Frage ist nur wo soll man anfangen ???
Ganz ehrlich? Bei den Grundlagen : wie arbeitet ein Computer, wie arbeitet das System, wie hängt alles zusammen. Ohne ein gewisses "Grundwissen" brauchst du mit den anderen Dingen nicht anzufangen.
Programmieren lernen in möglichst vielen Sprachen (C, Assembler, C++, Shell, Perl nicht zwangsläufig in dieser Reigenfolge ;) )) erleichtert dir auch so manches.

Wenn du damit in ein paar Jahren durch bist, wirst du dann auch keine großen Probleme mehr haben, dich mit sicherheitsrelevanten Themen auch mit mehr als dem nötigen Tiefgang zu befassen. ;)

Die Frage dabei ist nur, ob sich dieser Aufwand lohnt. Auch ein gutes Sicherheitskonzept bringt nichts, wenn der Aufwand den Nutzen und/oder die Kosten einer möglichen Kompromittierung u.U. um ein vielfaches übersteigt, besonders, da du es im Umfeld der Rootserver zum allergrößten Teil mit ein paar Scriptkiddies zu tun haben wirst, die schon bei kleinen "Hürden" gehörig auf die Schnauze fallen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: chkrootkit

Post by mikespi » 2003-12-12 15:16

Ein Anfänger bin ich nicht, ich kenne mich leider in der Linux Welt nicht so gut aus wie ich es gerne möchte. Effektiv arbeite ich mit Linux seit 9 Monaten, effektiv in so fern wie es meine Zeit neben dem zweiten Bildungsweg und dem Zwang Geld zu verdienen zulässt.

Das hier grosse Nachteile gegenüber Profis die sich jeden Tag damit beschäftigen bestehen ist klar. Deshalb denke ich mir das ich bevor ich mich überhaupt mal an P-Sprachen probieren eine solide Basis im Umgang mit Linux vorhanden sein sollte.

Primär geht es mir auch nicht um Sicherheit am Rootserver sondern um das Thema Sicherheit allgemein, weil ich gerne mehr wissen will was mit gewissen Daten geschieht oder wie ich was verstecke, schwer zugänglich machen kann usw. Denke das sollte jeden interessieren.

Das der Weg des Wissens nicht von heute auf morgen geht ist mir klar ;)

Andi

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: chkrootkit

Post by dodolin » 2003-12-12 15:37

@mikespi:
Lutz'ens FAQ hat recht gute Literaturhinweise, IIRC unter dem Anker #Lernen. Ebenso hat z.B. cert.org, sowie das CERT der Uni-Stuttgart, das BSI usw. recht hilfreiche Seiten online. Hier im Security-forum gibts oben nen gepinnten Thread mit Literaturtipps...

mikespi
Posts: 95
Joined: 2002-12-28 17:47
Location: Muenchen

Re: chkrootkit

Post by mikespi » 2003-12-12 15:48

:)
Danke