Re: Prüfsummenüberwachung für

From: Oliver Fromme <oliver(at)fromme.com>
Date: Sat, 5 Sep 2015 17:38:13 +0200 (CEST)

Hi Marc,

Marc Santhoff wrote:
> Ich möchte auf einem Rechner den unveränderlichen Teil der Systemdateien
> gegen Veränderung schützen bzw. wenigstens gewarnt werden.

Dazu muss man sich zuerst überlegen, wogegen man sich damit
absichern möchte. Dateimodifikationen können verschiedene
Ursachen haben:

 - Versehentliche Änderungen, d.h. man selbst (als Admin) oder
   ein Amok-laufendes Programm hat irgendwelche Dateien
   überschrieben oder gelöscht. Dazu gehören natürlich auch
   Änderungen von Metadaten, z.B. ein versehentliches chmod -r
   an der falschen Stelle kann großen Schaden anrichten.

 - Änderungen durch Hardwaredefekte, z.B. die berüchtigten
   "gekippten Bits" auf der Festplatte oder im RAM.

 - Änderungen, die auf Einwirkungen durch Hacker zurückzuführen
   sind, d.h. ausgetauschte Binaries mit Backdoor, Root-Kits,
   modifizierte Konfigurationsdateien und/oder Permissions usw.

Danach richten sich dann auch die Maßnahmen. Um z.B. Hacker
abzuwehren, muss man mehr Aufwand treiben: Die Prüfsummen
sollten kryptographisch sicher sein und auf einem sicheren,
schreibgeschützten Medium abgelegt werden.

Will man sich dagegen nur gegen Tippfehler oder Defekte
absichern, genügen auch "old school" MD5-Checks, die nicht
speziell gesichert sein müssen.

Last but not least muss man natürlich auch ein verlässliches
und sicheres Backup haben. Denn es genügt ja nicht, wenn man
Änderungen feststellen kann. Man muss dann auch in der Lage
sein, die Originaldateien wiederherzustellen.

> Nachdem neulich gdb zweimal sehr hart gegen die Wand gefahren ist und
> die Dateisysteme diverse Schäden hatten, sollen als Sicherheitsgurt
> Prüfsumme von /, /usr und /usr/local jeweils ohne ./etc und home
> erstellt werden. Das bedeutet, daß beim Einschalten des Rechners
> und/oder immer nach Änderungen (ports installieren z.B.) die Prüfsummen
> ermittelt und überprüft werden müssen. Außerdem muß man natürlich nach
> Ereignissen wie spontanem reboot nochmal gezielt prüfen können.

Ein einfaches Programm für solche Prüfsummen findet man bereits
im Basis-System von FreeBSD: mtree. Wirf mal einen Blick in
die mtree(8)-Manpage, speziell unter dem Suchbegriff "digest".
Möglicherweise erfüllt das bereits den Zweck für Dich.

Ansonsten ist der Klassiker Tripwire (ports/security/tripwire).
Wenn Du in der Ports-Collection nach Tripwire suchst, findest
Du auch diverse Alternativen, wie z.B. AIDE und yafic:

http://www.secnetix.de/tools/porgle/?w=ncd&q=tripwire

Im professionellen Bereich kommen auch häufig Samhain + Beltane
zum Einsatz. Sind nicht in der Ports-Collection, laufen aber
auch unter FreeBSD. Beltane ist ein hübschens Web-Frontend.
Das Duo eignet sich gut für Teams; für den privaten Einsatz ist
es wohl eher Overkill. Ich erwähne es nur der Vollständigkeit
halber.

> Alternativ könnten die betreffenden Dateisysteme r/o montiert werden,
> das funktioniert mit erhöhtem ja auch und ist sicherer, da der Schaden
> theoretisch garnicht erst auftreten kann. Da weiß'ich aber nicht, ob
> spontanes rebooten oder ein wildgewordener Zeiger im Programm nicht doch
> Schaden anrichten kann.

Es hilft zumindest gegen den ersten der obigen drei Punkte.
Obgleich es natürlich theoretisch denkbar ist, dass ein
wildgewordenes Skript ein Dateisystem r/w-remountet. Aber
das halte ich schon für eher unwahrscheinlich.

> Sollte ich bei r/o-Dateisystemenzusätzlich eine Prüfsumme vergleichen?

Gute Frage. Schaden würde es sicherlich nicht. Und wenn Du
ohnehin ein HIDS installierst, dann kannst Du es auch auf
r/o-Dateisysteme loslassen. Das ist ja dann kein nennenswerter
Zusatzaufwand.

Übrigens ist es empfehlenswert, das Basis-System auf eine SSD
(oder ein RAID-1 aus zwei verschiedenen SSDs) zu legen. Gerade
ein HIDS-Check profitiert massiv davon. Auf meiner Workstation
daheim habe ich das Basis-System auf eine SSD gelegt (/, /usr,
/var, /usr/local), und den ganzen Rest auf eine normale, große
Festplatte (im wesentlichen /home). Das beschleunigt auch den
Boot-Vorgang und Updates erheblich. Ein HIDS-Check des Basis-
Systems ist in wenigen Sekunden durch.

Gruß
   Olli

-- 
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 05 Sep 2015 - 17:38:21 CEST

search this site