Server talk to me - Viren und Zugriffe
Nachdem ich nun schon einige Beiträge über Server-Anliegen geschrieben habe komme ich nun zur Sicherheit. Diese zu gewährleisten oder es zumindest zu versuchen ist natürlich wichtig und ich möchte in diesem Beitrag auf die eine oder andere Kontrollmöglichkeit hinweisen, ob noch alles in Ordnung ist. Um dies zu erreichen nutze ich zum einen vorhandene Standard Tools aber auch zwei Tools welche ich nachinstallierte. Von den vorhandene nutze ich last um schnell und einfach zu prüfen welche Zugriffe und Nutzungen es gab.
last -n 10
Mit diesem Befehl lasse ich mir die letzten 10 Nutzersitzungen anzeigen und prüfe ob es dort komische Einträge gibt. Im weiteren nutze ich Chkrootkit open_in_new und Rkhunter open_in_new. Bezüglich dem Aufruf kann man bei beiden Tools diverse Parameter nutzen und diese sollte man sich zuvor auf jeden Fall selber ansehen und entsprechend den eigenen Bedürfnissen anpassen. Ich selber stelle euch gleich nur die simpelsten Formen der Aufrufe vor. Chkrootkit prüft wie der Name schon sagt auf Rootkits und nicht gewünschte Anwendungen. Dies passiert mittels Listen und mit diesen werden Dateivergleiche angestellt.
sudo chkrootkit
Rkhunter geht dort einen anderen Weg, denn dieses Tool gibt unter anderem aus ob bestimmte Systemdateien geändert wurden. Man sagt dem Tool also das die Ausgangsdaten in Ordnung sind, natürlich nachdem man dies geprüft hat und ab diesem Zeitpunkt warnt es vor Änderungen. Wichtig ist das man nach Paketupdates Rkhunter aktualisiert, denn bei diesen Updates ändern sich häufig Dateien. Tut ihr dies nicht erhaltet ihr beim nächsten Check sehr viele Meldungen und könnt nur mühsam herausfinden welche davon nun durch Updates und welche vielleicht durch unerwünschte Aktionen ausgelöst wurden.
sudo rkhunter -c
Die Aktualisierung führt man mittels des folgenden Befehls aus:
sudo rkhunter --propupd
Diese Befehle nutze ich mittels Cronjobs open_in_new täglich und erhalte so immer aktuelle Informationen ob alles in Ordnung ist.