NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Host-basiertes IDS
Ein host-basiertes IDS analysiert verschiedene Gebiete um Missbrauch (Aktivit�ten mit b�swilliger oder missbr�uchlicher Absicht innerhalb des Netzwerks) oder Einbruch (von au�en) festzustellen. Host-basierte IDS konsultieren verschiedene Arten von Log-Dateien (Kernel, System, Server, Netzwerk, Firewall und viele mehr) und vergleichen diese Logs mit einer internen Datenbank, die h�ufige Signaturen bekannter Attacken enth�lt. Host-basierte IDS f�r UNIX und Linux machen starken Gebrauch von syslog und dessen F�higkeit, geloggte Vorkommnisse je nach Gewichtigkeit einzuteilen (z.B. geringf�gige Drucker-Nachrichten im Vergleich zu wichtigen Kernelwarnungen). Der Befehl syslog kann durch die Installation des sysklogd-Pakets angewandt werden, welches in Red Hat Enterprise Linux inkludiert ist. Dieses Paket bietet System-Logging und Kernel-Message-Trapping. Die host-basierten IDS filtern Logs (die im Falle einiger Netzwerk- und Kernel-Event-Logs ziemlich detailliert sein k�nnen), analysieren diese, versehen die abweichenden Nachrichten mit einem eigenen Kennzeichen je nach Gewichtigkeit des Vorfalles und sammeln diese in einem bestimmten Log f�r die Analyse durch den Administrator.
Host-basierte IDS k�nnen auch die Datenintegrit�t wichtiger Dateien und die von ausf�hrbaren Programmen pr�fen. Eine Datenbank mit wichtigen Dateien (und allen anderen Dateien, die Sie hinzuf�gen m�chten) wird gepr�ft, und eine Pr�fsumme jeder Datei �ber ein Programm wie md5sum (128-bit Algorithmus) oder sha1sum (160-bit Algorithmus) erstellt. Das host-basierte IDS speichert diese Summen in einer Nur-Textdatei und vergleicht in periodischen Abst�nden die Pr�fsummen mit den Werten in der Textdatei. Stimmen die Pr�fsummen der Datei nicht �berein, warnt das IDS den Administrator per E-Mail oder Mobiltelefon-Pager. Dieser Vorgang wird von Tripwire verwendet, der in Abschnitt 9.2.1 n�her beschrieben wird.
9.2.1. Tripwire
Tripwire ist das beliebteste host-basierte IDS f�r Linux. Tripwire, Inc., die Entwickler von Tripwire, haben vor Kurzem den Software-Quellcode f�r die Linux-Version ge�ffnet und unter der GNU General Public License lizenziert. Tripwire ist unter https://www.tripwire.org/ erh�ltlich.
Hinweis
Tripwire wird nicht mit Red Hat Enterprise Linux ausgeliefert und wird nicht unterst�tzt. Es wurde in diesem Handbuch als Referenz f�r Benutzer, die Interesse an der Verwendung dieses Tools haben, gegeben.
9.2.2. RPM als IDS
Der RPM Paket Manager (RPM) ist ein weiteres Programm, das als host-basiertes IDS verwendet werden kann. RPM enth�lt verschiedene Optionen f�r das Abfragen von Paketen und deren Inhalt. Diese Verifizierungsoptionen k�nnen von unsch�tzbarem Wert f�r einen Administrator sein, der im Verdacht hat, dass wichtige Systemdateien und Executables ver�ndert wurden.
Im folgenden finden Sie eine ausf�hrlichere Liste einiger RPM-Optionen, mit denen Sie die Dateiintegrit�t auf einem Red Hat Enterprise Linux-System verifizieren k�nnen. F�r eine vollst�ndige Information �ber die Verwendung von RPM finden Sie im Red Hat Enterprise Linux Handbuch zur System-Administration.
Wichtig
Einige der Befehle in dieser Liste erfordern das Importieren des Red Hat GPG �ffentlichen Schl�ssels in Ihren RPM-Schl�sselring. Dieser Schl�ssel verifiziert, dass die auf Ihrem System installierten Pakete eine Paketsignatur von Red Hat enthalten, die sicherstellt, dass Ihre Pakete von Red Hat stammen. Der Schl�ssel kann mit dem folgenden Befehl importiert werden (ersetzen Sie <version> durch die Version der RPM, die auf Ihrem System installiert sind):
Die Option -V verifiziert die Dateien im installierten Paket mit dem Namen package_name. Wird keine Ausgabe ausgegeben und das Programm beendet, bedeutet dies, dass keine der Dateien seit dem letzten Update der RPM-Datenbank in irgendeiner Weise ge�ndert wurden. Wird ein Fehler wie z.B. folgender angezeigt,
S.5....T c /bin/ps
dann wurde die Datei in irgendeiner Weise ver�ndert und Sie sollten �berpr�fen, ob Sie die Datei behalten wollen (wie z.B. bei ge�nderten Konfigurationsdateien im Verzeichnis /etc/) oder diese Datei l�schen und das Paket, das die Datei enthielt, neu installieren m�chten. In der folgenden Liste werden die Komponenten des 8-Zeichen-Strings genauer beschrieben (S.5....T im Beispiel oben), die einen Verifizierungsfehler bekanntgeben.
. — Der Test hat diese Phase der Verifizierung bestanden
? — Es wurde eine Datei gefunden, die nicht gelesen werden konnte. Dies ist wahrscheinlich ein Problem der Dateiberechtigungen
S — Es wurde eine Datei gefunden, die kleiner oder gr��er als die urspr�nglich auf dem System installierte Datei ist
5 — Es wurde eine Datei gefunden, deren md5-Pr�fsumme nicht mit der urspr�nglichen Pr�fsumme dieser Datei �bereinstimmt
M — Es wurde ein Fehler in der Dateiberechtigung oder mit dem Typ der Datei gefunden
D — Es wurde ein �bereinstimmungsfehler in der Major/Minor-Nummer der Ger�tedateien gefunden
L — Es wurde ein symbolischer Link gefunden, der zu einem anderen Dateipfad weist
U — Es wurde eine Datei gefunden, deren Besitzer ge�ndert wurde
G — Es wurde eine Datei gefunden, deren Gruppenrechte ge�ndert wurden
T — Es wurden mtime Verifizierungsfehler in der Datei gefunden
rpm -Va
Die Option -Va verifiziert alle installierten Pakete und findet jegliche Fehler in deren Verifizierungstests (fast genauso wie die Option -V, jedoch genauer in der Ausgabe, da jedes installierte Paket verifiziert wird).
rpm -Vf /bin/ls
Die Option -Vf verifiziert individuelle Dateien in einem installierten Paket. Dies kann sehr hilfreich sein, wenn Sie eine schnelle Verifikation einer verd�chtigen Datei durchf�hren wollen.
rpm -K application-1.0.i386.rpm
Die Option -K ist hilfreich f�r das Pr�fen der md5-Pr�fsumme und der GPG-Signatur einer RPM-Paket-Datei. Dies ist sinnvoll, wenn Sie feststellen wollen, ob ein Paket, dass Sie installieren, von Red Hat oder einer anderen Organisation, deren GPG-Schl�ssel Sie in Ihrem Schl�sselring haben, signiert ist. Wurde ein Paket nicht ordnungsgem�� signiert, wird eine Fehlermeldung wie folgende ausgegeben:
application-1.0.i386.rpm (SHA1) DSA sha1 md5 (GPG) NOT OK
(MISSING KEYS: GPG#897da07a)
Seien Sie vorsichtig, wenn Sie unsignierte Pakete installieren, da diese nicht von Red Hat, Inc. anerkannt sind und b�swilligen Code enthalten k�nnen.
RPM kann ein leistungstarkes Tool sein, wie durch die vielen Verifizierungstools f�r installierte Pakete und RPM-Paket-Dateien. Es wird dringend empfohlen, dass Sie ein Backup des Inhalts Ihres RPM-Datenbank-Verzeichnisses (/var/lib/rpm/) auf CD-ROM etc. durchf�hren, nachdem Sie Red Hat Enterprise Linux installiert haben. Hierdurch k�nnen Sie sicher Dateien und Pakete gegen diese Datenbank verifizieren, anstelle die Datenbank auf dem System zu verwenden, da b�swillige Benutzer die Datenbank korrumpieren und dadurch Ihre Ergebnisse beeinflussen k�nnen.
9.2.3. Andere host-basierte IDS
Im folgenden werden einige der anderen, erh�ltlichen und beliebten host-basierten Intrusion-Detection-Systme beschrieben. Bitte lesen Sie dazu die Webseiten der jeweiligen Utilities f�r weitere Informationen zur Installation und Konfiguration.
Hinweis
Diese Applikationen werden nicht mit Red Hat Enterprise Linux ausgeliefert und werden nicht unterst�tzt. Sie werden in diesem Handbuch als Referenz f�r Benutzer, die Interesse an der Evaluation dieser Tools haben, gegeben.
SWATCH https://sourceforge.net/projects/swatch/ — Der Simple WATCHer (SWATCH) verwendet von syslog generierte Logdateien zur Warnung vor Anomalien, die auf Benutzerkonfigurationsdateien beruhen. SWATCH wurde entworfen, um jedes Ereignis, das der Benutzer zur Konfigurationsdatei hinzuf�gen will, aufzuzeichnen. Es wurde jedoch weitestgehend als host-basiertes IDS �bernommen.
LIDS https://www.lids.org/ — Das Linux Intrusion Detection System (LIDS) ist ein Kernel-Patch und ein Administrationstool, das auch Datei�nderungen �ber Zugangskontrolllisten (ACLs) kontrolliert und Prozesse und Dateien sch�tzt, selbst vor dem root-Benutzer.