Ein host-basiertes IDS analysiert verschiedene Gebiete um Missbrauch (Aktivit�ten mit b�swilliger oder missbr�uchlicher Absicht innerhalb des Netzwerks) oder Einbruch (von au�en) festzustellen. Host-basierte IDS konsultieren verschiedene Arten von Log-Dateien (Kernel, System, Server, Netzwerk, Firewall und viele mehr) und vergleichen diese Logs mit einer internen Datenbank, die h�ufige Signaturen bekannter Attacken enth�lt. Host-basierte IDS f�r UNIX und Linux machen starken Gebrauch von syslog und dessen F�higkeit, geloggte Vorkommnisse je nach Gewichtigkeit einzuteilen (z.B. geringf�gige Drucker-Nachrichten im Vergleich zu wichtigen Kernelwarnungen). Der Befehl syslog kann durch die Installation des sysklogd-Pakets angewandt werden, welches in Red Hat Enterprise Linux inkludiert ist. Dieses Paket bietet System-Logging und Kernel-Message-Trapping. Die host-basierten IDS filtern Logs (die im Falle einiger Netzwerk- und Kernel-Event-Logs ziemlich detailliert sein k�nnen), analysieren diese, versehen die abweichenden Nachrichten mit einem eigenen Kennzeichen je nach Gewichtigkeit des Vorfalles und sammeln diese in einem bestimmten Log f�r die Analyse durch den Administrator.
Host-basierte IDS k�nnen auch die Datenintegrit�t wichtiger Dateien und die von ausf�hrbaren Programmen pr�fen. Eine Datenbank mit wichtigen Dateien (und allen anderen Dateien, die Sie hinzuf�gen m�chten) wird gepr�ft, und eine Pr�fsumme jeder Datei �ber ein Programm wie md5sum (128-bit Algorithmus) oder sha1sum (160-bit Algorithmus) erstellt. Das host-basierte IDS speichert diese Summen in einer Nur-Textdatei und vergleicht in periodischen Abst�nden die Pr�fsummen mit den Werten in der Textdatei. Stimmen die Pr�fsummen der Datei nicht �berein, warnt das IDS den Administrator per E-Mail oder Mobiltelefon-Pager. Dieser Vorgang wird von Tripwire verwendet, der in Abschnitt 9.2.1 n�her beschrieben wird.
9.2.1. Tripwire
Tripwire ist das beliebteste host-basierte IDS f�r Linux. Tripwire, Inc., die Entwickler von Tripwire, haben vor Kurzem den Software-Quellcode f�r die Linux-Version ge�ffnet und unter der GNU General Public License lizenziert. Tripwire ist unter https://www.tripwire.org/ erh�ltlich.
Hinweis
Tripwire wird nicht mit Red Hat Enterprise Linux ausgeliefert und wird nicht unterst�tzt. Es wurde in diesem Handbuch als Referenz f�r Benutzer, die Interesse an der Verwendung dieses Tools haben, gegeben.
9.2.2. RPM als IDS
Der RPM Paket Manager (RPM) ist ein weiteres Programm, das als host-basiertes IDS verwendet werden kann. RPM enth�lt verschiedene Optionen f�r das Abfragen von Paketen und deren Inhalt. Diese Verifizierungsoptionen k�nnen von unsch�tzbarem Wert f�r einen Administrator sein, der im Verdacht hat, dass wichtige Systemdateien und Executables ver�ndert wurden.
Im folgenden finden Sie eine ausf�hrlichere Liste einiger RPM-Optionen, mit denen Sie die Dateiintegrit�t auf einem Red Hat Enterprise Linux-System verifizieren k�nnen. F�r eine vollst�ndige Information �ber die Verwendung von RPM finden Sie im Red Hat Enterprise Linux Handbuch zur System-Administration.
Wichtig
Einige der Befehle in dieser Liste erfordern das Importieren des Red Hat GPG �ffentlichen Schl�ssels in Ihren RPM-Schl�sselring. Dieser Schl�ssel verifiziert, dass die auf Ihrem System installierten Pakete eine Paketsignatur von Red Hat enthalten, die sicherstellt, dass Ihre Pakete von Red Hat stammen. Der Schl�ssel kann mit dem folgenden Befehl importiert werden (ersetzen Sie <version> durch die Version der RPM, die auf Ihrem System installiert sind):
Die Option -V verifiziert die Dateien im installierten Paket mit dem Namen package_name. Wird keine Ausgabe ausgegeben und das Programm beendet, bedeutet dies, dass keine der Dateien seit dem letzten Update der RPM-Datenbank in irgendeiner Weise ge�ndert wurden. Wird ein Fehler wie z.B. folgender angezeigt,
S.5....T c /bin/ps
dann wurde die Datei in irgendeiner Weise ver�ndert und Sie sollten �berpr�fen, ob Sie die Datei behalten wollen (wie z.B. bei ge�nderten Konfigurationsdateien im Verzeichnis /etc/) oder diese Datei l�schen und das Paket, das die Datei enthielt, neu installieren m�chten. In der folgenden Liste werden die Komponenten des 8-Zeichen-Strings genauer beschrieben (S.5....T im Beispiel oben), die einen Verifizierungsfehler bekanntgeben.
. — Der Test hat diese Phase der Verifizierung bestanden
? — Es wurde eine Datei gefunden, die nicht gelesen werden konnte. Dies ist wahrscheinlich ein Problem der Dateiberechtigungen
S — Es wurde eine Datei gefunden, die kleiner oder gr��er als die urspr�nglich auf dem System installierte Datei ist
5 — Es wurde eine Datei gefunden, deren md5-Pr�fsumme nicht mit der urspr�nglichen Pr�fsumme dieser Datei �bereinstimmt
M — Es wurde ein Fehler in der Dateiberechtigung oder mit dem Typ der Datei gefunden
D — Es wurde ein �bereinstimmungsfehler in der Major/Minor-Nummer der Ger�tedateien gefunden
L — Es wurde ein symbolischer Link gefunden, der zu einem anderen Dateipfad weist
U — Es wurde eine Datei gefunden, deren Besitzer ge�ndert wurde
G — Es wurde eine Datei gefunden, deren Gruppenrechte ge�ndert wurden
T — Es wurden mtime Verifizierungsfehler in der Datei gefunden
rpm -Va
Die Option -Va verifiziert alle installierten Pakete und findet jegliche Fehler in deren Verifizierungstests (fast genauso wie die Option -V, jedoch genauer in der Ausgabe, da jedes installierte Paket verifiziert wird).
rpm -Vf /bin/ls
Die Option -Vf verifiziert individuelle Dateien in einem installierten Paket. Dies kann sehr hilfreich sein, wenn Sie eine schnelle Verifikation einer verd�chtigen Datei durchf�hren wollen.
rpm -K application-1.0.i386.rpm
Die Option -K ist hilfreich f�r das Pr�fen der md5-Pr�fsumme und der GPG-Signatur einer RPM-Paket-Datei. Dies ist sinnvoll, wenn Sie feststellen wollen, ob ein Paket, dass Sie installieren, von Red Hat oder einer anderen Organisation, deren GPG-Schl�ssel Sie in Ihrem Schl�sselring haben, signiert ist. Wurde ein Paket nicht ordnungsgem�� signiert, wird eine Fehlermeldung wie folgende ausgegeben:
application-1.0.i386.rpm (SHA1) DSA sha1 md5 (GPG) NOT OK
(MISSING KEYS: GPG#897da07a)
Seien Sie vorsichtig, wenn Sie unsignierte Pakete installieren, da diese nicht von Red Hat, Inc. anerkannt sind und b�swilligen Code enthalten k�nnen.
RPM kann ein leistungstarkes Tool sein, wie durch die vielen Verifizierungstools f�r installierte Pakete und RPM-Paket-Dateien. Es wird dringend empfohlen, dass Sie ein Backup des Inhalts Ihres RPM-Datenbank-Verzeichnisses (/var/lib/rpm/) auf CD-ROM etc. durchf�hren, nachdem Sie Red Hat Enterprise Linux installiert haben. Hierdurch k�nnen Sie sicher Dateien und Pakete gegen diese Datenbank verifizieren, anstelle die Datenbank auf dem System zu verwenden, da b�swillige Benutzer die Datenbank korrumpieren und dadurch Ihre Ergebnisse beeinflussen k�nnen.
9.2.3. Andere host-basierte IDS
Im folgenden werden einige der anderen, erh�ltlichen und beliebten host-basierten Intrusion-Detection-Systme beschrieben. Bitte lesen Sie dazu die Webseiten der jeweiligen Utilities f�r weitere Informationen zur Installation und Konfiguration.
Hinweis
Diese Applikationen werden nicht mit Red Hat Enterprise Linux ausgeliefert und werden nicht unterst�tzt. Sie werden in diesem Handbuch als Referenz f�r Benutzer, die Interesse an der Evaluation dieser Tools haben, gegeben.
SWATCH https://sourceforge.net/projects/swatch/ — Der Simple WATCHer (SWATCH) verwendet von syslog generierte Logdateien zur Warnung vor Anomalien, die auf Benutzerkonfigurationsdateien beruhen. SWATCH wurde entworfen, um jedes Ereignis, das der Benutzer zur Konfigurationsdatei hinzuf�gen will, aufzuzeichnen. Es wurde jedoch weitestgehend als host-basiertes IDS �bernommen.
LIDS https://www.lids.org/ — Das Linux Intrusion Detection System (LIDS) ist ein Kernel-Patch und ein Administrationstool, das auch Datei�nderungen �ber Zugangskontrolllisten (ACLs) kontrolliert und Prozesse und Dateien sch�tzt, selbst vor dem root-Benutzer.