Inhaltsverzeichnis

Eine grundsätzliche Sicherheitsmaßnahme ist die Kontrolle des Dateisystems, so dass Schadsoftware (z.B. Trojaner, Rootkits) oder sonstige unerwünschte Dateiänderungen auf Server oder Arbeitsplatzrechner möglichst zeitnah erkannt werden können.

Erkennungssystem AIDE

AIDE (Advanced Intrusion Detection Envoirement) ist eine Open Source Software zur Erkennung von Dateiänderungen für unixbasierte Betriebssysteme wie Debian oder Ubuntu. Auf Basis verschiedener Daten wie Prüfsummen oder Änderungszeitpunkte wird eine Datenbank mit Hash-Werten jeder Datei erstellt. Durch einen Abgleich mit dieser Datenbank kann AIDE erkennen, ob zwischenzeitlich Dateien verändert wurden oder neue Dateien hinzugekommen sind.

Installation

Die Installation von AIDE ist unter Debian/Ubuntu schnell erledigt.

1 sudo apt-get install aide aide-common

Konfiguration

Und auch die Konfiguration ist wenig Arbeit. Es ist die E-Mailadresse in der Datei /etc/default/aide anzupassen.

1 MAILTO=root

Und wenn man den Wert bei Checksums in der Datei /etc/aide/aide.conf anpasst, wird die benötigte Zeit für die Dateiprüfung verringert.

1 Checksums = sha512+crc32

In der Datei sind auch die Verzeichnisse anzugeben, die überwacht oder von der Überwachung ausgeschlossen werden sollen. Aus Gründen der Übersichtlichkeit ist es sinnvoll, eine eigene Konfigurationsdatei aide.conf zu erstellen. Hier ein einfaches Beispiel.

Datenbank initialisieren

Die AIDE-Datenbank muss im ersten Schritt initialisiert werden.

1 sudo aide --init -c /etc/aide/aide.conf
2 sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Dateiprüfung durchführen

Die Prüfung auf veränderte Dateien lässt sich dann so ausführen.

1 sudo aide --check -c /etc/aide/aide.conf > /tmp/aidecheck.txt
2 cat /tmp/aidecheck.txt

Datenbank aktualisieren

Die Datenbank kann man wie folgt aktualisieren.

1 sudo aide --update -c /etc/aide/aide.conf
2 sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

AIDE per Ansible

Zur Einrichtung und Wartung von unixbasierten Betriebssystemen ist Ansible zu empfehlen. Ein einfaches Beispiel für die Integration von AIDE in die Aktualisierung des Betriebssystems per Ansible findet man hier:

https://github.com/stekan/AIDE-Ansible

Einrichtung

Dort sind zwei Ansible-Playbooks enthalten. Mit dem ersten wird Ansible und AIDE und deren Systemvoraussetzungen installiert. Man kann das Playbook wie folgt starten.

1 sh setup.sh

Systemaktualisierung

Bei der Aktualisierung des Betriebssystems werden zuerst die Dateiänderungen ermittelt, dann die Updates per APT durchgeführt und danach die AIDE-Datenbank aktualisiert.

1 sh update.sh

Es geht bei Beispielvariante darum, die Dateiänderungen zwischen den Systemaktualisierungen im Blick zu haben.

Weitere Konfigurationen

Selbstverständlich wäre es mit anderer Konfiguration auch möglich, die Dateiänderungen aufgrund der Aktualisierung des Betriebssystems zu ermitteln. AIDE bietet des weiteren die Möglichkeit, Änderungen aufgrund von Updates automatisch zu ignorieren. Dies macht Sinn, wenn man automatische Sicherheitsupdates aktiviert hat.

Fazit

Eine Überwachung der Dateien kann helfen, unerwünschte Installationen von Schadsoftware oder sonstige Dateiänderungen zu erkennen. Zwar bietet auch diese Methode keine absolute Sicherheit, aber es ist grundsätzlich sinnvoll, Dateiänderungen im Blick zu haben. Die Sicherheit lässt sich unter anderem dadurch erhöhen, dass man die AIDE-Datenbank extern speichert.

Kommentar hinzufügen

Die E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Bitte keine HTML-Tags einfügen.