Software zur Auswertung von Linux Log files

Florian Lohoff flo at rfc822.org
Mi Apr 5 00:37:51 CEST 2006 

On Tue, Apr 04, 2006 at 08:49:00PM +0200, Helmut Hullen wrote:
> Hallo, Florian,
> "Im Prinzip ja" ... letztes Jahr habe ich einen (im Prinzip)  
> erfolgreichen Einbruch verfolgt, und vor 3 Jahren (an einer anderen  
> Schule) binnen 3 Monaten zwei erfolgreiche Versuche (root kit).
> 
> Da hatte sich erst mal nur das System seltsam benommen, und die Log- 
> Dateien der letzten Tage sahen brav aus.
> 
> Einflugschneise: 1 Mal zu einfaches Passwort, 2 Mal Insider-Job
> 
> > Logcheck arbeitet nebenbei mit einem "match ignores" d.h. alles was
> > ich nicht explizit exclude aus dem logview wird angezeigt. Dadurch
> > laufen auch vorher nie dagewesene fehlermeldungen in den output.
> 
> Ein leidlich intelligenter "root kit" unterdrückt viele  
> Fehlermeldungen.

Keine Argumente fuer oder gegen logcheck. Deine graue masse kann auch
nichts finden was nicht da ist.

Wichtig ist das man seine systeme beobachten - wie auch immer man das
macht. Ich setze auf vorfilterung und datenreduktion - Auf meinem
Mailserver habe ich alleine 160MB mail logfile am tag was manuell nicht
durchzusehen ist. Also - reduktion und nur die abnormitaeten zumailen
lassen.

Ein Einbruch ist immer ein zeichen fuer ein schlecht gewartetes system.
Einbrueche passieren in einem ueberwiegenden teil mit exploits statt
die seit langem bekannt und gefixed sind. Zudem finden die einbrueche
typischerweise ueber dienste und software statt die nicht oder nicht
mehr benutzt werden.

Meine faustregeln:

- Lokale Nutzer -> Keine suid programme und aktueller kernel
- Regelmaessiger NMAP ueber den eigenen Rechner -> Nicht notwendige
  dienste abschalten.
- hosts.deny -> ALL: ALL at ALL - Default policy fuer alle tcpwrapper
  programme auf deny
- logcheck -> anomalien sofort wegmailen und nicht auf die loeschung
  warten.
- filewatcher -> mail ueber veraenderungen an config dateien und
  gleichzeitig sicherung aller aenderungen in einem rcs.
- Bei webservern -> Plugins minimieren, kein php oder user supplied cgis
  moeglichst im DocumentRoot nur statischen content.
- Daemons die chrooted laufen koennen auch im chroot laufen lassen 
- Daemons die privilegien droppen koennen dieses auch configurieren
- Moeglichst wenig inbound write connections d.h. rsync inbound, scp,
  sendfile oder ftp store. Lieber via trigger dann pollen.

Und natuerlich immer - Software aktuell halten. Debian macht dieses
wirklich richtig einfach.

Flo
-- 
Florian Lohoff                  flo at rfc822.org             +49-171-2280134
                        Heisenberg may have been here.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20060405/382dce09/attachment.pgp