Überwachung

[ Seminar Linux, WWW, Java und Internet ] ... [ Thema Sicherheit unter Linux ] ... [ Absicherung von Diensten ] ... [ Links, Mailinglisten, Litaratur ] ...

Übersicht: Überwachung

Das Werkzeug nmap

Nmap ist ein sehr praktisches Werkzeugs aus dem Security-Paket. Mit ihm lassen sich einzelne Rechner und auch ganze Subnetze nach Diensten abklopfen. Das Werkzeug ist vielfältig konfigurierbar und kennt verschiedene Scan-Methoden. Ein einfacher Scan eines Subnetzes funktioniert so: nmap 195.37.84.192/25

weiter

utmp / wtmp

In diesen beiden Dateien werden die Rechnerzugriffe gespeichert. Auf die Datei wtmp kann mit dem Befehl last zugegriffen werden. Er zeigt an, welcher Benutzer wann und wie lange online war.

Die Datei utmp enthält Informationen darüber, was ein Benutzer gerade tut. Der Befehl w zeigt es an.

Mit dem Befehl strace lässt sich als root sogar zuschauen, was jemand gerade tippt. (#strace -p 4712)

Hat man einen Verdacht, sind diese Befehle sehr nützlich.

weiter

Security Administrator's Integrated Network Tool (SAINT)

Security Administrator's Integrated Network Tool (SAINT) ist mit das bekannteste Werkzeug, um offensichtliche und nicht so offensichtliche Konfigurationsfehler und Sicherheitslücken aufzudecken.

Das Basisverzeichnis von SAINT ist /usr/lib/saint-1.4:

Hier befinden sich u.a. sehr gute Werkzeugs zum Abscannen von Hosts (/bin)oder auch eine excellente Dokumentation zu den Standardsicherheitslücken, auch sehr aktuelle (/html/tutorials).

weiter

Das Werkzeug scanlogd

Das Programm scanlogd aus dem Security-Paket ist sehr nützlich, um startende Angriffe aufzuspüren. Wenn ein Host versucht, die Ports des lokalen Rechners nacheinander durchzuscannen (10 aufeinander folgende), dann vermerkt es diesen Versuch im Syslog. Mit geeigneten Werkzeugen, wie z.B. Logfilesurfer, lassen sich automatische Emails generieren, wenn ein solcher Angriff erfolgt.
Dadurch ist eine extrem schnelle Reaktion bei einem laufendem Angriff möglich.

weiter

Das Werkzeug Tripwire

Tripwire ist ein mächtiges Werkzeug (Security-Paket), um nach einem Angriff herauszufinden, welche Dateien modifiziert wurden. Über eine Konfigurationsdatei wird angegeben, welche Verzeichnise oder Dateien sich nicht ändern dürfen. Über all diese Dateien wird anschließend ein Hash gebildet und dieser in einer Datenbank abgespeichert.

Bei einem erneuten Durchlauf entdeckt Tripwire alle Veränderungen an Hand des veränderten Hashes. 

su -
cd /usr/doc/packages/tripwire
cp tw.conf.example.linux /var/adm/tripwire
/var/adm/tripwire/bin/tripwire -initialize


nach oben
[ Seminar Linux, WWW, Java und Internet ] ... [ Thema Sicherheit unter Linux ] ... [ Absicherung von Diensten ] ... [ Links, Mailinglisten, Litaratur ] ...