Hallo zusammen, ich versuche mich gerade verstärkt in das Thema Server-Sicherheit einzuarbeiten. In der Literatur, die ich mir dazu besorgt habe, steht u.a. es sei eine gute Idee, etwa - von Zeit zu Zeit ein rpm --verify laufen zu lassen, um zu sehen, ob Pakete verändert wurden - md5sum über alle Dateien in /etc, /usr, /bin usw. laufen zu lassen und von Zeit zu Zeit mit md5sum -c nachzusehen, ob die Summen plötzlich abweichen. So könne man entdecken, wenn ein böser Bub ls, ps, top usw. derart verändern würde, daß seine Dateien und Prozesse nicht angezeigt würden. Meine Frage ist nun: wieso ändert der böse Bub nicht auch gleich noch rpm und md5sum, sodaß mir seine Manipulation mit den beschriebenen Mitteln gar nicht auffällt? Ist es nicht vielmehr so, daß sich die Integrität eines Systems nie vom System selbst aus überprüfen läßt? (*) Ist ein md5sum-c daher nur dann sinnvoll, wenn man das von außen (etwa von einer Knoppix aus) über den Server laufen läßt? Dann hätte man allerdings eine beträchtliche Downtime. Und ein rpm --verify... kann man so einfach von außen ja auch nicht laufen lassen. Wie ist hier das richtige Vorgehen? (*) Aus genau diesem Grund erscheinen mir Virenscanner unter Windows immer recht zweifelhaft: wenn mein System durch einen Virenbefall kompromittiert ist, wie kann ich dann noch einer Software vertrauen, die auf dem befallenen und erwiesenermaßen schwachen System selbst läuft? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
ich versuche mich gerade verstärkt in das Thema Server-Sicherheit einzuarbeiten.
In der Literatur, die ich mir dazu besorgt habe, steht u.a. es sei eine gute Idee, etwa
- von Zeit zu Zeit ein rpm --verify laufen zu lassen, um zu sehen, ob Pakete verändert wurden
- md5sum über alle Dateien in /etc, /usr, /bin usw. laufen zu lassen und von Zeit zu Zeit mit md5sum -c nachzusehen, ob die Summen plötzlich abweichen.
So könne man entdecken, wenn ein böser Bub ls, ps, top usw. derart verändern würde, daß seine Dateien und Prozesse nicht angezeigt würden.
Meine Frage ist nun: wieso ändert der böse Bub nicht auch gleich noch rpm und md5sum, sodaß mir seine Manipulation mit den beschriebenen Mitteln gar nicht auffällt?
Wenn der böse Bub seinen Job versteht, macht er genau das!
Ist es nicht vielmehr so, daß sich die Integrität eines Systems nie vom System selbst aus überprüfen läßt? (*) Ist ein md5sum-c daher nur dann sinnvoll, wenn man das von außen (etwa von einer Knoppix aus) über den Server laufen läßt? Dann hätte man allerdings eine beträchtliche Downtime.
Und ein rpm --verify... kann man so einfach von außen ja auch nicht laufen lassen.
a) ein check auf dem System selber kann nur beweisen, das sich etwas geändert hat; der umgekehrte Fall ist NICHT sicher zu prüfen, da man sich darauf verlassen muss, das das check-Programm selber NICHT gehackt ist. Das hast du 100% richtig erkannt. b) Aber einen check local laufen zu lassen ist immer noch besser als gar nix! Und für die meisten Hacks evtl. ausreichend, da der Hacker ggf. genau deinen Check-Mechanismus kennen muss um ihn auszubeln. c) es hängt von deiner eingenen Paranoia ab, wie weit du diese checks treiben willst. Man _könnte_ via nfs von einem entfernten System prüfen. Sollte der eingefangene "böse Bube" aber auch den Kernel kompromittiert haben, könnte auch das abgefangen sein (mir ist so etwas allerdings nicht bekannt). Man könnte auch offline prüfen, ... Ganz sicher wohl nur der "offline" check mit gebooteter Knoppix verbunden mit einer Auszeit. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Kyek, Andreas, VF-DE, Montag, 21. Januar 2008 11:42:
a) ein check auf dem System selber kann nur beweisen, das sich etwas geändert hat;
Selbst das ist nicht ganz sicher: der böse Bub könnte einfach nur md5sum manipulieren. Dann denke ich, daß mein System kompromittiert wurde, und setze es neue auf: ein DoS-Angriff. In der Tat hat der böse Bub was geändert, aber was genau es war, das ist nicht sofort erkennbar, nur weil md5sum irgendwas auswirft.
b) Aber einen check local laufen zu lassen ist immer noch besser als gar nix! Und für die meisten Hacks evtl. ausreichend, da der Hacker ggf. genau deinen Check-Mechanismus kennen muss um ihn auszubeln.
OK.
c) es hängt von deiner eingenen Paranoia ab, wie weit du diese checks treiben willst. Man _könnte_ via nfs von einem entfernten System prüfen.
Dann müßte ich von meinem Bastion Host aus per nfs exportieren, mit all den Portmappern usw., die man ja gar nicht gern haben möchte.
Sollte der eingefangene "böse Bube" aber auch den Kernel kompromittiert haben, könnte auch das abgefangen sein (mir ist so etwas allerdings nicht bekannt). Man könnte auch offline prüfen, ...
Ganz sicher wohl nur der "offline" check mit gebooteter Knoppix verbunden mit einer Auszeit.
OK, so hab ich das wenigstens verstanden. Das ist ja schon mal ein Schritt ;) Danke+Gruß. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
Kyek, Andreas, VF-DE, Montag, 21. Januar 2008 11:42:
a) ein check auf dem System selber kann nur beweisen, das sich etwas geändert hat;
Selbst das ist nicht ganz sicher: der böse Bub könnte einfach nur md5sum manipulieren. Dann denke ich, daß mein System kompromittiert wurde, und setze es neue auf: ein DoS-Angriff. In der Tat hat der böse Bub was geändert, aber was genau es war, das ist nicht sofort erkennbar, nur weil md5sum irgendwas auswirft.
IMO ist das sicher, denn was bringt der check/kann er bringen? a) dein check-prg meldet nichts: das kann bedeuten, das alles in Ordnung ist ODER das dein System UND dein check gehackt ist -> die Restunsicherheit bleibt. b) dein check-prg meldet einen Fehler. Dann weisst du SICHER, das da was passiert ist. Es ist keine Aussage über die Qualität des Fehlers/der Änderung. Was im Fall b) genau passiert ist, kann dann IMO wieder nur eine offline Analyse mit gebooteter read-only (also nicht kompromittierbarer) BS-Version ergeben. Niemand verlangt doch ein direktes Neuaufsetzen! Aber irgendetwas ist dann passiert und das sollte geklärt werden. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Kyek, Andreas, VF-DE, Montag, 21. Januar 2008 12:21:
IMO ist das sicher, denn was bringt der check/kann er bringen?
a) dein check-prg meldet nichts: das kann bedeuten, das alles in Ordnung ist ODER das dein System UND dein check gehackt ist -> die Restunsicherheit bleibt.
OK.
b) dein check-prg meldet einen Fehler.
Dann weisst du SICHER, das da was passiert ist. Es ist keine Aussage über die Qualität des Fehlers/der Änderung.
Ja, genau das habe ich gemeint.
Niemand verlangt doch ein direktes Neuaufsetzen! Aber irgendetwas ist dann passiert und das sollte geklärt werden.
Also im Falle einer Kompromittierung würde ich das System neu aufsetzen, weil ich sicher mehr Zeit brauche, die Spuren der Kompromittierung nachzuverfolgen, als neu zu installieren. Denn um sicher zu sein, daß ich alle Spuren des Einbruchs beseitigt habe, müßte ich mindestens dasselbe Wissen haben wie der Einbrecher, und das habe ich nicht, denn sonst hätte ich den Einbruch verhindern können. Außerdem hat so eine Neuinstallation immer Vorteile: ich kann all das, was ich in der Zwischenzeit hinzugelernt habe, umsetzen. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andre,
Niemand verlangt doch ein direktes Neuaufsetzen! Aber irgendetwas ist dann passiert und das sollte geklärt werden.
Also im Falle einer Kompromittierung würde ich das System neu aufsetzen, weil ich sicher mehr Zeit brauche, die Spuren der Kompromittierung nachzuverfolgen, als neu zu installieren. Denn um sicher zu sein, daß ich alle Spuren des Einbruchs beseitigt habe, müßte ich mindestens dasselbe Wissen haben wie der Einbrecher, und das habe ich nicht, denn sonst hätte ich den Einbruch verhindern können.
Trotzdem sollte man den Einbruch analysieren, denn sonst hast du beim Neuaufsetzen möglicherweise wieder die gleiche Lücke. Gruß, Michael -- ____ / / / / /__/ Michael Höhne / / / / / / mih-hoehne@web.de / ________________________________/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Kyek, Andreas, VF-DE, Montag, 21. Januar 2008 12:21:
IMO ist das sicher, denn was bringt der check/kann er bringen?
a) dein check-prg meldet nichts: das kann bedeuten, das alles in Ordnung ist ODER das dein System UND dein check gehackt ist -> die Restunsicherheit bleibt.
OK.
b) dein check-prg meldet einen Fehler.
Dann weisst du SICHER, das da was passiert ist. Es ist keine Aussage über die Qualität des Fehlers/der Änderung.
Ja, genau das habe ich gemeint.
zu mal .... dein Prüfprogramm kann ja auch auf einem gemounteten Medium laufen ... USB-Stick, CDROM usw. md5sum mit Pfadangabe .. schwer kompromittierbar + wenn deine MD5Summen auf einem Zettel stehen....
Niemand verlangt doch ein direktes Neuaufsetzen! Aber irgendetwas ist dann passiert und das sollte geklärt werden.
Also im Falle einer Kompromittierung würde ich das System neu aufsetzen, weil ich sicher mehr Zeit brauche, die Spuren der Kompromittierung nachzuverfolgen, als neu zu installieren. Denn um sicher zu sein, daß ich alle Spuren des Einbruchs beseitigt habe, müßte ich mindestens dasselbe Wissen haben wie der Einbrecher, und das habe ich nicht, denn sonst hätte ich den Einbruch verhindern können.
na ja nicht unbedingt , wenn du weisst, welche Files kompromittiert sind,: System aus -> Fremdboot -> überbügeln -> gut ist ! ->Systemboot Ursache ist damit nicht beseitigt....
Außerdem hat so eine Neuinstallation immer Vorteile: ich kann all das, was ich in der Zwischenzeit hinzugelernt habe, umsetzen.
hmm .. das is eh aller paar Jahre fällig ! normal 2...5 Jahre Updates .. dann passiert eh nix mehr ! Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Andre Tann
-
Fred Ockert
-
Kyek, Andreas, VF-DE
-
Michael Höhne