IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 20.09.2017, 00:32

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Dieses Thema ist gesperrt. Du kannst keine Beiträge editieren oder weitere Antworten erstellen.  [ 3 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 19.12.2010, 17:17 
Offline
Administrator
Themenstarter
Administrator

Registriert: 01.03.2004
Beiträge: 22218
Bild

AIDE (Advanced Intrusion Detection Environment), ist ab sofort in der aktuellen Version für
IPCop v2.x.x verfügbar.

AIDE ist ein Intrusion-Detection-System, das Änderungen an lokalen Dateien aufspürt. Es
erzeugt eine Datenbank aus Regeln, bestehend aus regulären Ausdrücken, die es in der
Konfigurationsdatei vorfindet. Nach dem erstmaligen Initialisieren der Datenbank kann AIDE
verwendet werden, die Integrität der Dateien zu überprüfen. Dazu verwendet es verschiedene
Hash-Algorithmen (MD5, SHA1, RMD160, usw.). Weitere Algorithmen lassen sich relativ leicht
hinzufügen. Alle gebräuchlichen Dateiattribute können ebenfalls nach Inkonsistenzen überprüft
werden. (Quelle: http://www.debian.org)

Infos und Manual
:arrow: http://aide.sourceforge.net/

Download:
:arrow: http://www.cobin.de/binary.php

Installationsanleitung:
:arrow: http://www.cobin.de/binary.php#guide



Eine kleine Einführung:

Nach der Installation ist bereits eine für (meinen) IPCop angepasste und kommentierte
Konfigurationsdatei vohanden (/etc/aide.conf). Diese Datei sollte später an die persönlichen
Bedürfnisse und an die eigene IPCop-Installation angepasst werden (später hierzu mehr).

Für erste Gehversuche mit AIDE können die Grundfunktionen zunächst mit der vorinstallierten
Konfiguration ausprobiert werden:

  • Inititialisieren der Datenbank in die geschrieben wird:

    Code:
    aide --init

    Die Datenbank /var/log/aide/ipcop_write.db wird erstellt. Dieser Vorgang kann je nach
    verwendeter Regeldefinition einige Zeit (und Ressourcen) in Anspruch nehmen. Die
    Datenbank erreicht unter Verwendung der mitgelieferten Konfiguration bei einer frischen
    IPCop-Installation eine Größe von ca. 1,4 MiB.

  • Erstellen/Kopieren der "Referenz"-Datenbank von der gelesen wird:

    Code:
    aidecp

    Das mitgelieferte, zusätzliche Skript aidecp kopiert die zuvor erstellte Datenbank
    /var/log/aide/ipcop_write.db nach /var/log/aide/ipcop_read.db.

    Dieser Vorgang sollte nur dann wiederholt werden, wenn nach einem Datenbank-Update
    festgestellte Änderungen von dem IPCop-Admin verifiziert und abgesegnet wurden.

    Weiterhin sollte die "Referenz"-Datenbank /var/log/aide/ipcop_read.db fernab von IPCop
    sicher aufbewahrt werden. Das Kopieren ist bewusst ein manueller Vorgang (erleichtert
    durch das Skript aidecp). Siehe hierzu auch die Dokumentation von AIDE.

  • Kontrollieren des Dateisystems auf Veränderungen ohne Update der Datenbank:

    Code:
    aide --check

    AIDE überprüft nun das Dateisystem anhand der Datenbank /var/log/aide/ipcop_read.db
    auf Veränderungen. Dieser Vorgang kann je nach verwendeter Regeldefinition einige Zeit
    (und Ressourcen) in Anspruch nehmen.

  • Kontrollieren des Dateisystems auf Veränderungen inkl. Update der Datenbank:

    Code:
    aide --update

    AIDE überprüft nun das Dateisystem anhand der Datenbank /var/log/aide/ipcop_read.db
    auf Veränderungen und aktualisiert gleichzeitig die Datenbank /var/log/aide/ipcop_write.db.
    Dieser Vorgang kann, je nach verwendeter Regeldefinition, einige Zeit (und Ressourcen) in
    Anspruch nehmen.

    Noch einmal: Das anschließende Kopieren der Datenbank mittels aidecp (siehe oben) sollte
    nur dann wiederholt werden, wenn nach einem Datenbank-Update festgestellte Änderungen
    durch den Admin verifiziert und abgesegnet wurden. Anschließend sollte die "Referenz"-
    Datenbank /var/log/aide/ipcop_read.db fernab von IPCop sicher aufbewahrt werden.

  • Anpassen der AIDE-Konfiguration:

    Jeder IPCop-Admin sollte seine eigene AIDE-Konfiguration schreiben und verstehen(!). Hierzu
    dient die mitgelieferte (und installierte) Datei /etc/aide.conf als eine gute Grundlage.
    Kenntnisse des IPCop-Dateisystems (wo wird welche Datei im Regelbetrieb geändert) und das
    Lesen der AIDE-Dokumentation sind unabdingbar.

    In der mitgelieferten /etc/aide.conf sind einige IPCop-spezifische Gegebenheiten (meiner
    Installation) bereits berücksichtigt und kommentiert, so dass ein Einstieg in die Materie nicht
    allzu schwer fallen sollte.

  • Supportanfrage: "Hilfe! Laut AIDE wurde in meinem IPCop eingebrochen!"

    Falls ein IPCop-Admin auf die Idee kommen sollte, einen angeblichen Einbruch in IPCop so zu
    melden und/oder auf die Idee kommen sollte, keinerlei relevante Informationen zu liefern, ist
    die Wahrscheinlichkeit recht groß, dass der Beitrag gesperrt wird und dem betroffenen Admin
    die IPCop Driver's License™ entzogen wird. :twisted:

  • Supportanfragen dieser Art werden beachtet und gerne unterstützt:

    Supportsuchender hat geschrieben:
    Hallo,

    AIDE hat bei einer Überprüfung folgendes festgestellt:
    Code:
    [ Relevanter Auszug der Ausgabe von "aide --check" ]

    Meine Konfiguration sieht wie folgt aus:
    Code:
    [ Relevante Inhalte der Konfigurationsdatei /etc/aide.conf ]

    Ich habe folgendes bereits gelesen (...) aber nicht gefunden wie man (...)

    Ein IPCop-Admin sollte mit einem "RTFM!" ("Lies die Doku!") als Antwort rechnen, wenn die
    Ursache offensichtlich in der AIDE-Doku, in der Man-Datei zur aide.conf, als Kommentar
    in der Datei /etc/aide.conf oder hier in diesem Beitrag zu finden ist.


Nach oben
   
 
BeitragVerfasst: 22.01.2013, 21:04 
Offline
Administrator
Themenstarter
Administrator

Registriert: 01.03.2004
Beiträge: 22218
Bild

Ergänzend zu AIDE ist ab sofort auch rkhunter in der aktuellen Version verfügbar.

Infos und Manual
:arrow: http://rkhunter.sourceforge.net/

Download:
:arrow: http://www.cobin.de/binary.php

Installationsanleitung:
:arrow: http://www.cobin.de/binary.php#guide

Während der Installation wird automatisch eine Datenbank erstellt, welche die zuvor
aggregierten Dateieigenschaften enthält, generiert, so dass nach der Installation sofort
der erste Check durchgeführt werden kann:

Code:
rkhunter -c

Eine für IPCop (Standardinstallation) angepasste Konfigurationsdatei ist nach der Installation
bereits vorhanden (/etc/rkhunter.conf). Diese Datei kann und sollte an die persönlichen
Bedürfnisse und eventuellen Besonderheiten angepasst werden. Eine kommentierte Konfigura-
tionsdatei liegt dem Paket bei (rkhunter.conf.sample).

Ansonsten gilt eine ähnliche Vorgehensweise wie bei AIDE. Ein Update der Datenbank mit den
aggregierten Dateieigenschaften wird beispielsweise wie folgt durchgeführt:

Code:
rkhunter --propupd

Weiteres bitte der Doku und der Kurzhilfe (rkhunter --help) entnehmen.

Erste Anlaufstellen, falls Warnungen ausgegeben werden, sind das Log (/var/log/rkhunter.log),
die Doku, die Doku, die Doku und die Doku.


Nach oben
   
 
BeitragVerfasst: 04.01.2016, 11:40 
Offline
Administrator
Themenstarter
Administrator

Registriert: 01.03.2004
Beiträge: 22218
Updates:

aide v0.15.1-w2 bis v0.16a2-w1

  • Aufnahme von libmhash v0.9.9.9 (20. Dez 2010)
  • Erweiterte Beispielkonfiguration aide.conf (20. Dez 2010)
  • Aktuelle Entwicklerversion (v0.16a1) zusätzlich verfügbar (19. Feb 2010)
  • Update der Entwicklerversion von v0.16a1 auf v0.16a2 (05. Mai 2013)
  • Alte Version v0.15.1-w2 entfernt (06. Jan 2016)



Hinweis: Updates von vorherigen Versionen nur mittels install -i durchführen! Eine vorherige
Deinstallation mittels install -u entfernt AIDE restlos (und somit auch /etc/aide.conf sowie die
AIDE-Datenbanken)!



Updates:

rkhunter v1.4.0-w6 bis v1.4.2-w15

  • Update von v1.4.0-w6 auf v1.4.0-w7 (23. Feb 2013)
  • Update von v1.4.0-w7 auf v1.4.0-w8 (23. Feb 2013)
  • Update von v1.4.0-w8 auf v1.4.0-w9 (23. Feb 2013)
  • Update von v1.4.0-w9 auf v1.4.0-w10 (22. Mär 2013)
  • Update von v1.4.0-w10 auf v1.4.0-w11 (03. Okt 2013)
  • Update von v1.4.0-w11 auf v1.4.0-w12 (08. Dez 2013)
  • Update von v1.4.0-w12 auf v1.4.0-w13 (16. Feb 2014)
  • Update von v1.4.0-w13 auf v1.4.2-w1 (02. Mär 2014)
  • Update von v1.4.2-w1 auf v1.4.2-w2 (30. Mär 2014)
  • Update von v1.4.2-w2 auf v1.4.2-w4 (17. Mai 2014)
  • Update von v1.4.2-w4 auf v1.4.2-w7 (18. Mai 2014)
  • Update von v1.4.2-w7 auf v1.4.2-w8 (19. Mai 2014)
  • Update von v1.4.2-w8 auf v1.4.2-w9 (14. Jun 2014)
  • Update von v1.4.2-w9 auf v1.4.2-w10 (28. Okt 2014)
  • Update von v1.4.2-w10 auf v1.4.2-w11 (28. Okt 2014)
  • Update von v1.4.2-w11 auf v1.4.2-w12 (15. Dez 2014)
  • Update von v1.4.2-w12 auf v1.4.2-w13 (03. Jan 2015)
  • Update von v1.4.2-w13 auf v1.4.2-w14 (17. Jun 2015)
  • Update von v1.4.2-w14 auf v1.4.2-w15 (04. Jan 2016)

Seit v1.4.2-w2 ist Unhide Bestandteil des rkhunter-Paketes. Mit v1.4.2-w7 ist die Integration
von Unhide abgeschlossen. Ab v1.4.2-w8 sind per Default alle rkhunter-Tests aktiviert.
v1.4.2-w9,-w10 beinhalten eine neue Version von 'file'. v1.4.2-w11 beinhaltet eine neue Default-
Konfigurationsdatei (optimiert für IPCop ab v2.1.6). v1.4.2-w12, -w15 beinhaltet eine neue Version
von 'file'.


Nach einem Update von v1.4.0-wx auf v1.4.2-wx ist es sinnvoll ein Update der Datenbank
durchzuführen.




Hinweis: Updates von vorherigen Versionen nur mittels install -i durchführen! Eine vorherige
Deinstallation mittels install -u entfernt Rootkit Hunter restlos (und somit auch die Datenbank)!


Nach oben
   
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Dieses Thema ist gesperrt. Du kannst keine Beiträge editieren oder weitere Antworten erstellen.  [ 3 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de