Hallo Heinz, Am So, den 18.01.2004 schrieb Heinz W. Pahlke um 11:29:
Durch "File Integrity Checks"! Du solltest Dir wirklich mal Tripwire,
Das ist aber kein Schutz gegen zukuenftige Infektionen, sondern hilft nur, Infektionen zu entdecken.
Naja, die Frage war ja, wie er sich den Ärger das nächste Mal ersparen kann. Er will ja nicht neuinstallieren. Das wird aber nur machbar sein, wenn er genau weiß, welche Änderungen es gegeben hat. Klar, gegen einen Einbruch schützt Tripwire auch nicht. Aber es schützt vor den Folgen, wenn man es richtig einsetzt.
Okay, das ist natuerlich auch nicht ganz unwichtig, beantwortet aber trotzdem nicht die Frage.
Naja, zum Teil. MIT Tripwire wüsste er jetzt, was auf seinem Rechner passiert ist und er müsste nicht hier Fragen stellen, die jeder gesunde Menschenverstand beantworten kann (Neuinstallation!!!).
chkrootkit solltest Du am besten auf einer gemounteten CD mit allen dazugehörigen binären Programme, die es braucht, benutzen. Siehe
Okay, aber...
dazu die chkrootkit FAQ. Fertige einen cronjob an und lass chkrootkit mindestens zweimal am Tag laufen und Dir die Ergebnisse bei Funden
...manchmal brauche ich das CDROM-Lw auch noch fuer andere Dinge.
Auf einem Server? Wenn Du Dienste anbietest und Türen offen hast und zudem lokale Benutzer auf Deinem System (Mail, Datenbank, SSH, FTP...) unterwegs sind, DANN kommst Du um so etwas nicht herum.
Hier muss man wohl einen Kompromiss suchen, also evtl. regelmaessig per cronjob und dazwischen immer wieder mal manuell von CDROM.
Wenn man sich nicht den "Luxus" eines zweiten CD-ROM Laufwerks in einem Gerät leisten kann, das nach außen Dienste anbietet ;-) Sooo teuer ist ein Laufwerk heute nicht mehr.
Besser vorsorgen für die Zukunft. Wenn Deine Maschine viele Dienste bereitstellt, musst Du sie entsprechend absichern.
Das hier solltest Du Dir in jedem Fall mal ansehen:
Zum Einstieg wirklich gut, weil es auf moegliche Schwachpunkte hinweist. Doch wie sichert man seinen Rechner dann ganz praktisch ab?
Keine Dienste anbieten und keine lokalen Benutzer erlauben. Kabel ziehen. :-)
Auf welche SUID- oder SGID-Permissions kann und sollte man tatsaechlich verzichten, welche koennen zwar stoerende, aber nicht wirklich gefaehrliche Eingriffe erleichtern?
Lokale Benutzer sollten auf allen Partitionen, auf denen sie Schreibrechte haben, keine Möglichkeit haben, Programme zu starten. Ebenso sollte man /tmp eine eigene Partition gönnen und diese ohne die Möglichkeit mounten, Programme zu starten. Für alle anderen Partitionen dann zusätzlich ein Nullquota einführen für lokale Benutzer.
Wenn jemand meinen Rechner einfach per shutdown herunterfahren kann, ist das fuer mich zwar laestig, aber ich kann ihn ja wieder neu booten. Aber wie sieht es mit passwd, sudo oder suexec aus, um nur mal drei Beispiele zu nennen?
sudo und su sicherst Du ab, indem Du nur Benutzern der Gruppe wheel erlaubst diese Befehle zu nutzen. Das ist das Minimum an nötiger Sicherheit. Benutzer, die lange am System angemeldet sind und mit deren Berechtigung dann eventuell Prozesse über mögliche injections/buffer overflows gestartet werden könnten, sollten daher NICHT in der wheel Gruppe stehen (zumindestens nicht für Maschinen mit Diensten nach außen). Wenn Dich jemand aussperrt, dann hast Du keine andere Wahl als den Stecker zu ziehen. Bei Abwesenheit von Tripwire & co erfolgt eine Neuinstallation. Bei Anwesenheit von Tripwire kannst Du die Änderungen rückgängig machen (Booten von Knoppix & co., chroot Umgebung starten, binaries wiederherstellen usw.).
Ich will jetzt gar nicht auf diese Fragen konkrete Antworten haben, sondern einfach nur eine Problematik aufzeigen, die eine Umsetzung allgemeiner Sicherheitsempfehlungen in konkrete Handlungen oft nahezu unmeoglich macht.
Nein. Gute Planung ist alles. Der Irrglaube hier in der Liste, ein Desktopsystem mit eventuell mehreren Benutzern gleichzeitig sicher als Server nutzen zu können ("Linux ist sicher!" und "Ich habe ja die SuSEfirewall2!") und Dienste nach außen anzubieten, ist ohne entsprechende Planungen einfach irrsinnig. Grüße, Tobias