Ordner schützen

[bobo]

Klasse, danke für die Tipps eines Fachmannes, so ich werd erst Mal Schluß machen für heute. Und meinen allerherzlichesten Dank für die vielen Infos !!!

 

[theton]

Gibt sicherlich besser Fachmaenner als mich. (Gibt ja immer jemanden, der besser ist... leider ) Und sicherlich gibt es noch mehr, was man machen koennte um einen Server zu sichern, aber fuer den "normalen" Webserver sollten Firewall, Datei-Integritaetstool und IDS eigentlich reichen. Wenn du im Webserver selbst noch die TRACE- und TRACK-Methoden deaktivierst, sollte der durchschnittlicher Cracker mit seinen "Klicki-Bunti-Tools" auf dem Server nicht mehr weit kommen. Voraussetzung fuer optimale Sicherheit ist natuerlich, dass gerade die Konfigurationen von AIDE und Snort ganz spezifisch fuer deinen Server angepasst werden.

Sofern du Apache nutzt, kannst du dort durch die folgenden Zeilen in jedem vorhandenen vhost TRACE und TRACK deaktivieren. (mod_rewrite ist dazu Voraussetzung)

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

 

[bobo]

Aide liefert bei aide --check zwar das was geändert wurde, kann ich mir auch anzeigen lassen was das genau ist ?

 

[theton]

Da AIDE mit Checksummen arbeitet, geht das nicht. Normalerweise greift ein Admin, wenn er Aenderungen sieht und nicht sicher ist, ob diese vom System oder einem Eindringling gemacht wurden, zu einem Backup und vergleicht die betroffene(n) Datei(en) mit den Originalen aus dem Backup. Ich denke, dass es selbstverstaendlich ist, dass man sein neu aufgesetztes System erstmal sichert um im Notfall ein Backup parat zu haben und hatte gehofft, dass ich wenigstens das nicht erwaehnen muss. Schliesslich sollte man das nicht nur auf Servern so machen, wenn einem seine Daten lieb sind.

 

[bobo]

Hmmm es kann auch sein das die Dateiänderung von meiner gestrigen Kopiererei kommt.
Ich wollte erst sichern wenn ich fertig bin mit meinem Neuaufbau.

Ich hatte ehrlich gesagt gedacht das mir das Programm anzeigen könnte welche Dateien geändert sind.
Wenn ich jetzt noch 94268 Dateien vergleichen soll.
Es sind 71 geänderte Dateien ........

 

[theton]

Nun, welche Dateien gaendert sind, zeigt aide doch an und nur diese musst du vergleichen. Auslassen kannst du sie, wenn es sich um Log-Dateien handelt. Aufmerksam solltest du werden, wenn im tmp-Verzeichnis Dateien auftauchen, die du keinem Programm zuordnen kannst (dann sicherheitshalber mal nachforschen woher die stammen koennten) oder wenn sich in den bin- und sbin-Verzeichnissen was aendert. Auch Aenderungen an Bibliotheken sollten ein Warnsignal fuer dich sein.

Nachtrag: Das Vergleichen von Dateien geht am schnellsten mit diff.

 

[bobo]

Er zeigt die Dateien eben nicht an, das Programm schreibt nur das Dateien geändert wurde 71 Stück von über 92000

 

[theton]

Dann weiss ich nicht, was du da fuer nen aide benutzt. Mein Output von aide --check sieht wie folgt aus:

AIDE found differences between database and filesystem!!
Start timestamp: 2006-05-05 15:17:34
Summary:
Total number of files=17357,added files=4,removed files=7,changed files=53

Added files:
added:/usr/local/bin/nano
added:/var/log/mysql/mysql-bin.034
added:/var/log/mysql/mysql-bin.032
added:/var/log/mysql/mysql-bin.033
Removed files:
removed:/usr/bin/nano
removed:/usr/bin/pico
removed:/usr/lib/menu/nano
removed:/var/log/mysql/mysql-bin.026
removed:/var/log/mysql/mysql-bin.027
removed:/var/log/mysql/mysql-bin.025
removed:/bin/nano
Changed files:
changed:/usr/local/bin
changed:/usr/bin
changed:/usr/lib/menu
Detailed information about changes:

Directory: /usr/local/bin
  Mtime    : 2006-04-26 01:24:02               , 2006-05-05 13:15:08
  Ctime    : 2006-04-26 01:24:02               , 2006-05-05 13:15:08

Directory: /usr/bin
  Mtime    : 2006-05-02 21:08:16               , 2006-05-05 13:13:03
  Ctime    : 2006-05-02 21:08:16               , 2006-05-05 13:13:03

Directory: /usr/lib/menu
  Mtime    : 2006-04-27 02:35:42               , 2006-05-05 13:13:03
  Ctime    : 2006-04-27 02:35:42               , 2006-05-05 13:13:03

Die ganzen Log-Dateien hab ich hier einfach mal weg gelassen, sind eh nicht relevant.

 

[bobo]

Da hier

AIDE found differences between database and filesystem!!
Summary:
Total number of files=94268,added files=5058,removed files=0,changed files=71


Ich habe ander vorkonfigurierten Version nix geändert, das Teil war ja auf Suse93 schon drauf

 

[theton]

Dann tippe ich mal, dass du einen Fehler in der aide.conf hast. Versuchs mal mit meiner Konfiguration http://www.bitmuncher.de/aide.conf. Evtl. musst du die angegebenen Pfade fuer SuSE etwas anpassen (war doch SuSE, oder?), da bei mir Debian auf'm Server laeuft (Ich mag diesen ganzen Confixx-Mist nicht, da diese Administrationsinterfaces einem staendig die Konfigurationen veraendern, wenn man mal was per Hand eingefuegt hat. Abgesehen davon ist die Performance von SuSE lausig. *find*).

 

[bobo]

*Schäm* Ich hätte mir mal die conf Datei genauer anschauen sollen, dann wäre mir aufgefallen das vor den Logs eine # ist.


edit: Jetzt habe ich das geändert, es werden aber keine logs angelegt, muß ich nochmal aide --init machen ?