Systeme und Netzwerk überwachen

Linux-Sicherheit - Angriffe entdecken

21.10.2011
Von Marco Rogge

Logfilemanagement

Ein Dienst, der das Einsammeln von Logfiles und Zustellen per E-Mail zuverlässig erledigt, ist logwatch. Zur Konfiguration müssen nur die Logfiles editiert werden, die man zusammengefasst bekommen möchte. Interessant ist hierbei die Detailtiefe, zwischen der logwatch unterscheiden kann. Damit kann man sich mehr oder weniger Details zusenden lassen.

Lynis im Einsatz: Als erstes wird das System indiziert.
Lynis im Einsatz: Als erstes wird das System indiziert.

Eine weitere, sehr nützliche Software zur Systemanalyse auf Angriffe ist lynis. Diese Software analysiert den Kernel auf Manipulationen, schaut nach verdächtigen Services. prüft die Passwortsicherheit, User, Gruppen und vieles mehr. Es prüft auch gleich zu Beginn, ob die Version die aktuelle ist und warnt im Zweifel.

Am Ende wird ein entsprechender Report ausgegeben, der eine Zusammenfassung darstellt. Aufgezeigt werden Warnungen und Hinweise, die berücksichtigt werden sollten. So schreibt auch lynis eine Logdatei in /var/log/ rein, in die man immer wieder schauen sollte.

Um Verbindungen überwachen zu können und diese auch in Logfiles auszuwerten, empfiehlt es sich die Software tcpspy. Alle Einträge die durch tcpspy generiert werden, finden sich anschließend im syslog:

Dec 2 16:10:16 powermashine tcpspy[6995]: connect: user marko, local 192.168.x.x:60552, remote 74.125.xx.xx:pop3s
Dec 2 16:10:17 powermashine tcpspy[6995]: disconnect: user marko, local 192.168.x.x:60552, remote 74.125.xx.xx:pop3s
Dec 2 16:10:31 powermashine tcpspy[6995]: disconnect: user marko, local 192.168.x.x:35004, remote 92.123.xx.xx:www

tcpspy schreibt in das Logfile, welcher User eine Verbindung zu einem Dienst aufbaut hat und zu welcher Uhrzeit dies geschehen ist. Im Beispiel ist zu erkennen, dass eine Verbindung zu einem pop3s-Server aufgenommen wurde. Das dürfte eine normale Verbindung sein, die nicht weiter verdächtig ist.