sslug-teknik team mailing list archive

Thread
Date

Re: Monitorering

To: sslug-teknik@xxxxxxxx
From: Klavs Klavsen <kl@xxxxxxx>
Date: Mon, 16 Sep 2002 15:05:42 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Enable IT

On Mon, 16 Sep 2002 13:22:57 +0200
jesper.hald@xxxxxxxxx wrote:

> 
> Hej SSLUG,
> 
> Et lille spørgsmål angående monitorering af linux servere.
> 
> Er der en mulighed for at overvåge om der er nogen der har fået
> uautoriseret adgang til en server.?
> 
> Og sende en mail hvis der er nogen der får en sådan adgang..
> 

lige en kort opsummering her:

Snort er et Network IDS - og derfor vil det ikke fortælle dig om du er blevet hacket, den fortæller kun om den har genkendt nogle forsøg på at hacke dig.

Hvis du vil vide OM nogen har ændret på dine filer - eller installeret nye (som f.ex. en hacker med et rootkit ville), så skal du bruge et Host baseret IDS, såsom Tripwire, eller Aide eller samhain, Men pas på - hvis du gemmer den database du checker op imod på samme maskine, kan hackeren jo bare ændre på dataene (eller din binær du kører checket med), så den bare siger god for alt.

Tripwire, signerer sin database for at undgå dette, men jeg mener bestemt der findes rootkits, der fikser dette ved at ændre på tripwire-binarien.

Samhain installerer et kerne modul, som gemmer samhain dæmonen og beskytter hackere, der forsøger at loade sit eget kerne modul.

Ydermere kan du (hvis du bruger et rpm-baseret system) køre, 

for i in $(rpm -qa); do echo $i; rpm -V $i; done

så vil rpm, udskrive noget under navnet på de pakker hvor der er ændret noget. - den checker for ændringer af ting såsom dato/tid, md5sum, suid bits osv.

Hvis du vil sikre dine data, således at en hacker ikke kan ødelægge dine lokale check data eller tripwire/aide/samhain binære filer, så kan du bruge f.ex. vserver til dette - se f.ex. min præsentation heraf på  http://www.sslug.dk/moede/hygge/2002-09-10/ og vsen.dk - under vserver
presentation.

Jeg håber det var en ok gennemgang af dine muligheder?

-- 
Regards,
Klavs Klavsen

-------------| This mail has been sent to you by: |------------
              Klavs Klavsen - Open Source Consultant 
            klavs@xxxxxxxxxxx - http://www.EnableIT.dk

    Get PGP key from www.keyserver.net - Key ID: 0x586D5BCA 
Fingerprint = A95E B57B 3CE0 9131 9D15 94DA E1CD 641E 586D 5BCA
--------------------[ I believe that... ]-----------------------
It is a myth that people resist change. People resist what other
people make them do, not what they themselves choose to do...
That's why companies that innovate successfully year after year
seek their peopl's ideas, let them initiate new projects and
encourage more experiments.            -- Rosabeth Moss Kanter

Follow ups

Re: Monitorering
From: Mogens Valentin, 2002-09-16

References

Monitorering
From: jesper . hald, 2002-09-16