Re: Charly Root

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Sat, 20 Apr 2013 18:32:24 +0200 (CEST)



Der Thread ist schon ein paar Tage alt, aber ich wollte hier


noch das Stichwort "IDS" einwerfen ...



bernhard(at)gtkx.de wrote:


 > charly root versendet täglich, wöchentlich emails mit infos.


 > 


 > wo kann ich einstellen was alles gesendet wird und was nicht?



Das kann man nicht einstellen (aber: siehe ganz unten).


Man kann nur einstellen, was alles ausgeführt werden soll,


nämlich in der Datei /etc/periodic.conf.  Details findest


Du in der Manpage, wie Polytropon schon schrieb.



 > Zum Beispiel interessieren mich nur cracker angriffe und das so schnell 


 > als möglich



Das ist *nicht* der Sinn und zweck des periodic-Frameworks,


zu dem "daily run", "weekly run" und "monthly run" gehören.


Diese Cron-Jobs führen in erster Linie Wartungsaufgaben


durch, von denen einige auch sicherheitsrelevant sein


können, die aber keinesfalls ein IDS ersetzen können.



IDS steht für "Intrusion Detection System", also Systeme,


die potentielle Angriffe erkennen können und melden.



Es gibt z.B. lokale IDS (auch "host-based" genannt), die


Veränderungen an Dateien erkennen.  Klassiker sind Tripwire


und Samhain, aber auch mit dem im Basissystem befindlichen


Tool mtree kann man sowas bewerkstelligen.



Dann gibt es remote IDS (auch "network-based"), die auf


Netzwerk-Interfaces lauschen und verdächtige Pakete bzw.


Gruppen von Paketen feststellen können.



Im weitesten Sinne fallen unter IDS auch Tools, die "live"


Log-files mitlesen und nach verdächtigen Mustern absuchen.


In diese Kategorie fällt z.B. das Tool Logsurfer.



Aus der Formulierung Deiner Frage ist zu erkennen, dass Du


keine genaue Vorstellung davon hast, wie "Cracker-Angriffe"


überhaupt aussehen und wie man damit umgehen sollte.


Vielleicht solltest Du Dir mal ein gutes Buch oder Tutorial


zu dem Thema zu Gemüte führen.



Noch ein allgemeiner Hinweis zum "daily run output" bzw.


zum periodic-Framework:  Nachdem mir die ganzen Cron-Mails


auch irgendwann mal auf den Senkel gingen, habe ich mal


einen Filter dafür geschrieben, so dass ich jetzt nur noch


die relevanten Infos daraus erhalte.  Vielleicht ist das


für den einen oder anderen auf dieser Liste auch nützlich.


Hier ist der Link:



http://www.secnetix.de/olli/doc/expecto/



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG,  Marktplatz 29, 85567 Grafing
Handelsregister:  Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
HRB 125758, Geschäftsführer:  Maik Bachmann,  Olaf Erb,  Ralf Gebhart
FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
Perl is worse than Python because people wanted it worse.
        -- Larry Wall
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sat 20 Apr 2013 - 18:32:34 CEST













search this site