[HaBo]

TheVoid

Hallo Board.

Ich versuche mich grad ein wenig über linux-sicherheit schlau zu machen.
Ein Paketfilter, keine Standardports benutzen, kein remote-root-access, fleissig updaten ist ja schonmal gut und schön, aber was wenn mal was passiert?
Dh falls es halt ein Loch in den Services gibt öä., die nach aussen offen sind und jemand erstmal drin ist?

Hab da halt ein paar fragen:
1. Was ist sinnvoll in einer Firewall zu loggen (also welche iptables-regeln)?
2. Gibt es ganz einfache Network-Intrusion-Detection-Systeme? Snort soll ja recht simpel sein aber für den anfang doch noch happig
3. was könnte man noch an Grund-Sicherheitsmassnahmen treffen?
4. Literatur/Links?

Gulliver

Ist schon soweit ausreichend, was du beschrieben hattest.
Und wenn mal was passiert, nun ja wenn es zb ein bug durch overflow ist, so etwas taucht eh in keinen
logs auf (zumindest nicht ohne ganz spezielle sw). z.b. wird eine gesploitete remote shell nicht in
deinen auth logs auftauchen.
Eine Software die nach dateiveränderungen schaut, macht da mehr sinn.
Ansonsten mach fleissig deine backups und patche, wo es geht, deine services.


mfg

TheVoid

hm.. macht Tripwire noch sinn? mach irgendwie checksums wichtiger dateien und testet dagegen und gibt rauchzeichen wenn was ist

DelumaX

Es kommt hierbei ja nicht zuletzt darauf an wie weit du es treiben willst. Natürlich macht Tripewire sinn (Stichwort Rootkits oder Logmanipulation). Es gibt Kernelpatches, das Sticky it sollte bei verschiedenen Helferlein entfernt werden, Logs auf einen Loghost schreiben oder direkt ausdrucken bis hin zur Kontrolle der Syscalls eines Programmes per RSBAC usw...

Was die Logs angeht sieht es IMHO ähnlich aus. Es macht natürlich keinen Sinn jedes Paket zu loggen (wird natürlich teilweise auch gemacht), jedoch zur echten Kontrolle sollte schon so gut wie alles geloogt werden jedoch limitiert da dir ansonsten Angriffe per Logüberflutung das Leben schwer machen könnten. Es gibt dann wieder Helferlein die es z. B. ermöglichen das an Logdateien nur noch angefügt werden kann usw...

Wenn man echtes Interesse (oder Notwendigkeit) für das Thema hat kann man es verdammt weit treiben ;o)

sieben

Die Frage laesst sich in Buchform beantworten und deswegen moechte ich auch gleich einen Literaturverweis vorneweg nehmen. Linux-Sicherheit von Tobias Klein. Der Autor beschreibt anhand eines Redhat 6.2 wie man ein Linuxsystem entsprechend haerten kann um einen sicheren Betrieb zu ermoeglichen. (was immer sicher ist). Zwar ist das Buch selbst ziemlich distributionslastig, aber mit ein bischen Linux-verstaendnis sollte es sich problemfrei auf ein x beliebiges Linux-artiges uebertragen lassen. Mehr Informationen zum Buch wirst du unter http://www.amazon.de/exec/obidos/ASIN/3932588045 finden.

Nun in aller Kuerze zu deinen Fragen:

1) Ich gehoere zu den Menschen die Logs lieb haben und logge ziemlich viel mit. Was du letzlich mitloggst ist komplett deine Sache, sinnvoll ist jedoch nur genau soviel wie du auch auswerten wirst. Setze Prioritaeten.

2) So richtig tolle Implemenationen gibts leider nur fuer verflucht viel Geld. Snort konnte mich nie begeistern weil es nie richtig gut funktioniert hat. Um nicht alles wiederholen zu muessen verweise ich auf http://ds.ccc.de/077/snort

Ein wirklich simples Dingens gibts vermutlich nicht - zumindest keines bei dem du dann auch noch weist was du getan hast. Da du aber sowieso sehr viel lesen musst wenn du dich mit der thematik auseinandersetzt sollte es nicht schwerer sein als alles andere auch.

Was im Zweifelsfalle viel mehr Sinn macht ist ein host-based IDS welches dir auch gleich noch ein bischen den root-account entschaerft. Der beste root-account kann dir naemlich nicht das Genick brechen wenn im normalen Betrieb root nicht mehr Rechte hat als jeder gewoehnliche Benutzer auch. Leider gibts viel zu viele Anwendungsbeispiele in denen man das nicht umsetzen kann. ich wuerde an dieser Stelle Lids evangelisieren. http://www.lids.org

3) Es faengt bei der Partionierung an und hoert nach viel Arbeit mit dem lesen von Logfiles auf. Sicherheit ist kein statischer Zustand der erreicht wird sondern ein dauerhafter Prozess. Die Frage an sich fordert jedoch eine solch komplexe Antwort das sie hier jeden Rahmen sprengen wuerde. Ich empfehle o.g. Literatur. Wenn du dann darueber hinaus Fragen hast lassen sich diese sicher klaeren.

So richtig sinn habe ich darin nie gesehen. Laesst man die Parameter aussen vor ist es letzlich so schwammig das man damit nur ein paar schlechte Programmierer verjagen kann, nimmt man sie mit rein wird es so komplex das es quasi nicht mehr umzusetzen ist und kaempft man alle 10 Minuten mit einem Fehlalarm, den man dann schlussendlich eines Tages ignoriert.

__________________
Diese Zeile ist reserviert für Clark Kent.

DelumaX

Ich muss sagen das ich persönlich noch nicht dazu gekommen bin es mir in Ruhe anzugucken und das es nicht äusserst komplex ist habe ich nie behauptet ;o).
Aber wenn wir gerade dabei sind, es sollte doch möglich sein Server die nur einen speziellen Umfang an Syscalls benötigen entsprechend einzurichten, oder nicht?? Selbst dann zu Komplex?? Die Idee die dahinter steht gefällt mir persönlich nämlich recht gut...

Ryven

Es bringt schon viel wenn du deine Dienste und Demons so weit wie möglich mit den Nobody rechten zu belegen denn mit den Rechten kann man nicht viel anfangen.

poiin2000

http://strcat.neessen.net/eigenes/securelinux.htm

mfg p2k