{"id":8429,"date":"2012-07-06T06:00:17","date_gmt":"2012-07-06T04:00:17","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=8429"},"modified":"2012-07-06T06:00:17","modified_gmt":"2012-07-06T04:00:17","slug":"tiger-hilft-bei-sicherheitsuberprufung-und-einbrucherkennung-auf-dem-server","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2012\/07\/06\/tiger-hilft-bei-sicherheitsuberprufung-und-einbrucherkennung-auf-dem-server\/","title":{"rendered":"Tiger: Hilft bei Sicherheits\u00fcberpr\u00fcfung und Einbrucherkennung auf dem Server"},"content":{"rendered":"<p><a href=\"http:\/\/www.nongnu.org\/tiger\/\"><img decoding=\"async\" loading=\"lazy\" src=\"https:\/\/gambaru.de\/blog\/wp-content\/uploads\/2012\/07\/tiger-logo-small1-1-1.jpg\" alt=\"Das Logo von Tiger\" title=\"tiger-logo-small\" width=\"300\" height=\"162\" class=\"alignleft size-full wp-image-8432\" \/><\/a><br \/>\nEs sollte anspruchslos an die Ressourcen sein, nicht noch ein Daemon, der wertvollen Arbeitsspeicher in Besitz nimmt. Es sollte standardm\u00e4\u00dfig lautlos sein und nur Alarm geben, wenn es etwas Verd\u00e4chtiges zu melden gibt und ganz klar, es musste ein n\u00fctzliches Werkzeug sein, welches vor einer Vielzahl von Sicherheitsproblemen warnen konnte und regelm\u00e4\u00dfig das System auf Unregelm\u00e4\u00dfigkeiten \u00fcberpr\u00fcft.<br \/>\nSo habe ich Tiger gefunden. Wie alle Programme in diesem Bereich ist auch Tiger nur ein Mosaikstein, um den Server etwas sicherer zu machen. Mich hat das modulare Design und die einfache Konfiguration \u00fcberzeugt. Die meisten Module sind in purem Shell-Skript geschrieben und greifen ausschlie\u00dflich auf UNIX-Werkzeuge zur\u00fcck, um z.B. Datei- und Benutzerrechte zu \u00fcberpr\u00fcfen, unbenutzte Accounts anzuzeigen oder verd\u00e4chtige Prozesse zu melden.<br \/>\nDes Weiteren existieren noch systemspezifische Programme, die im Fall von Debian die Md5-Summe von installierten Paketen \u00fcberpr\u00fcfen. Bei Ver\u00e4nderungen wird per Mail gewarnt. Neben Tiger werden noch <a href=\"http:\/\/packages.debian.org\/stable\/john\">John<\/a> \"the Ripper\", <a href=\"http:\/\/packages.debian.org\/stable\/chkrootkit\">chkrootkit<\/a> und ab Wheezy auch <a href=\"http:\/\/packages.debian.org\/stable\/tripwire\">Tripwire<\/a> oder <a href=\"http:\/\/packages.debian.org\/stable\/aide\">Aide<\/a> als empfohlene Pakete installiert.<br \/>\nJohn versucht die Passw\u00f6rter der Benutzer zu knacken und meldet schwache an den Admin oder direkt an den Benutzer. Chkrootkit testet auf typische Ver\u00e4nderungen, die von Rootkits verursacht werden und Tripwire bzw. Aide melden ebenfalls, ob wichtige Systemdateien ver\u00e4ndert worden sind, nachdem zuvor in einer Datenbank der Ursprungszustand definiert worden ist.<\/p>\n<h2>Bedienung<\/h2>\n<p><code>aptitude install tiger<\/code><\/p>\n<ul>\n<li><strong>cronrc.<\/strong> Die Skripte und Module laufen zu festgelegten Zeiten und werden durch Cron gesteuert. Die Konfigurationsdatei hierf\u00fcr ist <em>\/etc\/tiger\/cronrc<\/em>. Ich habe hier lediglich die Ausf\u00fchrung des Moduls \"check_system\" auf 3.00 Uhr ge\u00e4ndert, weil zu dieser Zeit die wenigsten Leute auf dem Server spielen, um dadurch beeintr\u00e4chtigt werden zu k\u00f6nnen. Check_System ist CPU-intensiv und \u00fcberpr\u00fcft unter anderem mit deb_checkmd5sums die Integrit\u00e4t aller installierten Pakete.<\/li>\n<li><strong>tigerrc.<\/strong> In <em>\/etc\/tiger\/tigerrc<\/em> l\u00e4sst sich wiederum festlegen, welche Checks ausgef\u00fchrt werden sollen und welche nicht, wenn man Tiger manuell mit dem Befehl <code>tiger<\/code> aufruft. Dazu setzt man hinter dem betreffenden Modul entweder ein Y f\u00fcr Ja oder ein N f\u00fcr Nein. Die Datei ist sehr gut dokumentiert und ziemlich selbsterkl\u00e4rend.<\/li>\n<li><strong>tiger.ignore.<\/strong> In <em>\/etc\/tiger\/tiger.ignore<\/em> kann Output eingetragen werden, der durch Tiger ignoriert werden soll.<\/li>\n<\/ul>\n<p>Am Anfang wird Tiger mehrere Mails mit Warnungen verschicken, danach nur noch, wenn sich etwas ge\u00e4ndert hat. Jede Warnung enth\u00e4lt einen typischen Code, z.B. [cron005w]. Das mitgelieferte Programm <strong>tigexp<\/strong> liefert dann die Erkenntnis, um was f\u00fcr ein Problem es sich handelt.<br \/>\n<code>tigexp cron005w<\/code><br \/>\nBei Debian ist es Standard, dass jeder Benutzer einen Cronjob anlegen darf. Das Verhalten kann man unterbinden, indem die Datei <em>\/etc\/cron.allow<\/em> angelegt und <strong>root<\/strong> eingetragen wird, wodurch schlie\u00dflich nur noch der Admin diese Aufgaben erstellen darf.<br \/>\nEs gibt einige Warnungen, die gar nicht bedrohlich sind. Tiger regt jedoch an dar\u00fcber nachzudenken. Insgesamt finde ich, dass das gesamte Paket eine interessante und n\u00fctzliche Erg\u00e4nzung f\u00fcr den Spieleserver ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es sollte anspruchslos an die Ressourcen sein, nicht noch ein Daemon, der wertvollen Arbeitsspeicher in Besitz nimmt. Es sollte standardm\u00e4\u00dfig lautlos sein und nur Alarm geben, wenn es etwas Verd\u00e4chtiges zu melden gibt und ganz klar, es musste ein n\u00fctzliches Werkzeug sein, welches vor einer Vielzahl von Sicherheitsproblemen warnen konnte und regelm\u00e4\u00dfig das System auf &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/gambaru.de\/blog\/2012\/07\/06\/tiger-hilft-bei-sicherheitsuberprufung-und-einbrucherkennung-auf-dem-server\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eTiger: Hilft bei Sicherheits\u00fcberpr\u00fcfung und Einbrucherkennung auf dem Server\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[53,108,193],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/8429"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=8429"}],"version-history":[{"count":0,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/8429\/revisions"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=8429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=8429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=8429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}