Sicherheit von Linux-Systemen - uni- · PDF fileSicherheit von Linux-Systemen Sicherheit von Linux-Systemen Konﬁguration von SuSE Linux Professional 9.3 Christian Muck-Lichtenfeld

Sicherheit von Linux-Systemen

Sicherheit von Linux-SystemenKonfiguration von SuSE Linux Professional 9.3

Christian Muck-Lichtenfeld

Organisch-Chemisches Institut

July 11, 2005

Uberblick

Ziele:

Gefahren erkennen

System sicher konfigurieren

Angriffe erkennen (bzw. verhindern)

Zielgruppe: Linux-Einsteiger, Admins mit Linux als Ausnahmefall

Beispiel: SuSE Professional 9.3

keine Themen: WLAN, Authentifizierung, Samba

Part I

Bedrohungen

Bedrohungsanalyse

Potentielle Angriffswege

Lokaler Angriff

Angemeldeter Benutzer nutzt Schwachstellen aus und fuhrt unerwunschte Aktivitaten ausZiel: (root-) Privilegien erlangen, die einem normalen Benutzer nicht zustehen

DOS-Angriff (denial of service)

Verteilte gehaufte Abfrage von Diensten fuhrt zu Uberlastung des Rechners

Netzattacken

Angriff uber einen unsicheren Netz-Zugang zum Systemauf einen Dienst, der nicht laufen musste oder der Sicherheitslucken hat.

spoofing (man-in-the-middle)

Angreifer gibt vor, ein (autorisiertes) System im Netz zu sein

z.B. arp-spoofing, SSH-Angriff

In allen Fallen werden Sicherheitslucken ausgenutzt ( exploits)

Bedrohungsanalyse

Angriffswege

Viele Wege fuhren zum Ziel des Hackers(Privilegierte Bereiche/Programme)

USERSPACE

KERNELSPACE

Application

Service Port

LOKALER ANGRIFF DOS

NETZANGRIFF

SPOOFING(MAN IN THE MIDDLE)

Bedrohungsanalyse

Angriffsszenarien

Spionage (Passworter, Daten allgemein)

Missbrauch des Rechners (Filesharing, Spam-Mailer, Angriff aufweitere Rechner)

Zerstorung von Daten

Part II

Gegenmassnahmen

Sicherheitslucken kennen

[email protected]

Advisories (zur Sicherheit) bei www.linux-community.de

Literaturz.B. Linux-Magazin (www.linux-magazin.de)linux hackers guide (Markt & Technik)Linux Security Cookbook (OReilly)

Eigenen Rechner uberprufenverdachtige Prozesse, Dateien, Ports

Gegenmassnahmen

Logfiles analysieren

Uberwachung der Logfiles

syslogd erzeugt Ausgabe in /var/log/messages

Befehl z.B. grep -i connect /var/log/messages

Jun 16 16:17:44 nwztux portmap[22117]: connect from 128.176.245.69 to getport(mountd): request from unauthorized host

Jun 16 16:17:44 nwztux portmap[22118]: connect from 128.176.245.69 to getport(mountd): request from unauthorized host

Jun 16 16:18:23 nwztux sshd[22119]: refused connect from ::ffff:128.176.245.69 (::ffff:128.176.245.69)

Tools zur Logfile-Uberwachung:

Analog (http://www.analog.cx/) Swatch (http://swatch.sourceforge.net/) LogSurfer

Gegenmassnahmen

Prozesse uberwachen

Uberwachung der Prozesse

Befehl ps -ef |grep Username zeigt die Prozesse des Users aniltis:~ # ps -ef |grep nobody

nobody 7189 1 0 08:25 ? 00:00:00 /sbin/portmap

nobody 7198 1 0 08:25 ? 00:00:00 /usr/sbin/mdnsd -f /etc/rendezvous.conf -b

root 12610 8377 0 10:38 pts/7 00:00:00 grep nobody

Befehl strace -p PID verfolgt die Systemaufrufe des Prozesses Analyse der Aktivitat eines verdachtigen Prozessesiltis:~ # strace -p 7198

Process 7198 attached - interrupt to quit

select(7, [3 4 5 6], NULL, NULL, 1, 446000) = 0 (Timeout)

rt sigprocmask(SIG BLOCK, [HUP INT USR1 PIPE TERM], NULL, 8) = 0

rt sigprocmask(SIG UNBLOCK, [HUP INT USR1 PIPE TERM], NULL, 8) = 0

gettimeofday({1119429587, 826316}, NULL) = 0

select(7, [3 4 5 6], NULL, NULL, 5, 0) = 0 (Timeout)

Gegenmassnahmen

Netzwerkverbindungen uberwachen

Uberwachung der Netzverbindungen des lokalen Rechners

Befehl z.B. lsof -i -n -Piltis:/usr/sbin lsof -i -n -P

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME

dhcpcd 6625 root 4u IPv4 18524 UDP *:68

portmap 7210 nobody 3u IPv4 19793 UDP *:111

portmap 7210 nobody 4u IPv4 19806 TCP *:111 (LISTEN)

mysqld-ma 7430 mysql 3u IPv4 21059 TCP *:3306 (LISTEN)

master 7561 root 11u IPv4 21266 TCP 127.0.0.1:25 (LISTEN)

master 7561 root 12u IPv6 21267 TCP [::1]:25 (LISTEN)

sshd 7746 root 3u IPv6 22081 TCP *:22 (LISTEN)

ssh 8226 meier 3u IPv4 23577 TCP 127.0.0.1:12051->127.0.0.1:22 (ESTABLISHED)

sshd 8230 root 3u IPv6 23578 TCP 127.0.0.1:22->127.0.0.1:12051 (ESTABLISHED)

sshd 8230 root 6u IPv4 23632 TCP 127.0.0.1:6010 (LISTEN)

sshd 8230 root 7u IPv6 23633 TCP [::1]:6010 (LISTEN)

sshd 8230 root 11u IPv4 69274 TCP 127.0.0.1:6010->127.0.0.1:11316 (ESTABLISHED)

cupsd 10373 lp 0u IPv4 28016 TCP *:631 (LISTEN)

cupsd 10373 lp 2u IPv4 28017 UDP *:631

fwbuilder 18895 root 3u IPv4 69273 TCP 127.0.0.1:11316->127.0.0.1:6010 (ESTABLISHED)

firefox-b 19302 meier 26u IPv4 70013 TCP 128.176.245.32:26706->128.176.188.115:80 (ESTABLISHED)

oder netstat -t (TCP) (-u (UDP))iltis:~ # netstat -t

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address Foreign Address State

tcp 0 0 ILTIS.UNI-MUENSTER:9097 DOEDEL.UNI-MUENSTER:ssh ESTABLISHED

tcp 0 0 localhost:21838 localhost:ssh ESTABLISHED

tcp 0 0 localhost:44216 localhost:filenet-tms ESTABLISHED

tcp 0 0 localhost:filenet-tms localhost:44216 ESTABLISHED

tcp 0 0 localhost:ssh localhost:21838 ESTABLISHED

tcp 0 0 ILTIS.UNI-MUENSTER.:ssh MRBEAN.UNI-MUENST:33521 ESTABLISHED

Gegenmassnahmen

Dateisystem uberwachen

Uberwachung des Dateisystems (Intrusion detection)

z.B. tripwire (http://sourceforge.net/projects/tripwire/)

erzeugt Fingerabdrucke der wichtigen Systemdateien speichert die Daten in einer Datenbank findet Abweichungen vom gespeicherten Snapshot

Dateisystemuberwachung simpel: rpm-Datenbank

iltis:/usr/sbin # rpm -V samba-3.0.13-1.1

S.5....T /usr/sbin/smbd

iltis:/usr/sbin #

Uberprufung / Suche nach rootkits:chkrootkit (http://www.chkrootkit.org/)(z.Zt. 57 rootkits/Wurmer) Stinger von McAffee

Gegenmassnahmen

Useraktivitaten beobachten

Uberwachung der Useraktivitat

Befehl lastlog

iltis:~ # lastlog

Username Port From Latest

root pts/7 localhost Wed Jun 22 09:00:45 +0200 2005

bin **Never logged in**

daemon **Never logged in**

lp **Never logged in**

mail **Never logged in**

news **Never logged in**

uucp **Never logged in**

games **Never logged in**

man **Never logged in**

at **Never logged in**

wwwrun pts/8 iltis.uni-muenst Wed Jun 22 09:01:10 +0200 2005

ftp **Never logged in**

named **Never logged in**

postfix **Never logged in**

mysql **Never logged in**

sshd **Never logged in**

ntp **Never logged in**

messagebus **Never logged in**

haldaemon **Never logged in**

gsc **Never logged in**

meier :0 console Wed Jun 22 08:35:46 +0200 2005

Gegenmassnahmen

Abwehr eines lokalen Angriffs

nur vertrauenswurdige Benutzer zulassen

keine anonymen Accounts

Server nicht physikalisch offentlich zuganglich machen

Server nicht fur normale User zum Login offnen

keine Root-Shells offenlassenz.B. in der bash mit export TMOUT=180 logout nach 3 Minuten Inaktivitat

regelmassige Systemupdates durchfuhren

sichere Grundeinstellungen (yast2)

Gegenmassnahmen

SuSE Grundeinstellungen zur Sicherheit

Yast2 Sicherheit

Local Security Configurationyast2 security

Gegenmassnahmen

Yast2 Sicherheit

Passwort-Einstellungen

Gegenmassnahmen

Yast2 Sicherheit

Reboot durch User verhindern

Rechner sollte auch physikalisch unzuganglich sein !

Gegenmassnahmen

Sicherheit von Linux-Systemen - uni- · PDF fileSicherheit von Linux-Systemen Sicherheit von Linux-Systemen Konﬁguration von SuSE Linux Professional 9.3 Christian Muck-Lichtenfeld

Text of Sicherheit von Linux-Systemen - uni- · PDF fileSicherheit von Linux-Systemen Sicherheit von...

Linux UNIX. Gliederung 1. Entstehung von UNIX 2. Aufbau von UNIX 3. Was ist Linux? 4. Eigenschaften des Linux-Kernels 5. Linux-Distributionen 6. Rechte

Webversion - De Projectinrichter · PDF file KABELMANAGEMENT MIT SICHERHEIT GUT ORGANISIERT Trotz der Entwicklung von immer moderner werdenden drahtlosen Systemen, wie zum Beispiel

Linux I - cl.uni- · PDF file Linux I 1 Linux I Theorie Terminal Ein- und Ausgabe Ressourcen-Vorkurs. Linux IIIIIIRes/ProWN/TT TheorieTerminalEin- und Ausgabe Theorie Linux und Unix

Sicheres Cloud Computing mit Linux on System z - doag.org · PDF fileIst dies Ihre Cloud Strategie? dann ist Sicherheit kein Problem! 3 ©2011 IBM Corporation Linux on System z §Sicherheitsbedenken

Pilotversuch Einsatz ERP-Systemen an Beruflichen ... · PDF fileSAP –Grundlagen 1/68 ... EHS: Umwelt, Gesundheit und Sicherheit (Environment, ... PE: Veranstaltungsmanagement (Training

Sicherheit und Prüfung in Unternehmen - ibs- · PDF fileIOPS Prüfen des IT-Outsourcing nach IDW-PS-951 65 ... SPSY Systemprüfung von SAP-Systemen 112 ... Business Intelligence

x Public Sicherheit in verteilten Systemen mit Java und SAML Karlsruher Entwicklertag 2012 Sicherheit in verteilten Systemen mit Java und SAML Jürgen

Verteilte Transaktionssysteme Wolfgang Bartels. Zulie- ferer Bedürfnisse von E-Commerce-Systemen Verwaltung großer Datenmengen Sicherheit und Konsistenz

Linux Printer Driver ... Mandriva Linux 2006 Red Hat Linux 9 SuSE Linux 10.0 MIRACLE Linux V4.0 Turbolinux 10 FUJI Vine Linux 3.2 Fedora Core 6 RPM系 openSUSE 10.2 Debian系 Debian

Sicherheit in Unix-Systemen - rz.uni- · PDF fileSicherheit in Unix-Systemen 3 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Projektgruppe 496 Ein Speicher-Hierarchie Proﬁler mit ...ls12- · PDF file2.3 Linux auf eingebetteten Systemen ... ein PC-DIMM Speichermodul ... die dem User die Ein- und Ausgabe,

Warum ist Linux für Embedded-Systeme so attraktiv? · PDF file 2013-05-26 · Warum ist Linux für Embedded-Systeme so attraktiv? LinuxTag 22. Mai 2013 Beispiele von Embedded-Systemen

Linux – für Anfänger · PDF file Was ist Linux? Im allgemeinen Sprachgebrauch wird Linux oft als Synonym für GNU/Linux-Distributionen genutzt. Aber eigentlich ist Linux nur der

EiBot Bauanleitung - Hackerspace Bremen Auf Linux-Systemen ist es meist über das Software-Center o.ä. zu installieren. Auf die Installation von Software geht diese Anleitung jedoch

Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer IAO, 2011)

Linux Administrator Volker Neumann, LINUX - 13 Linux-Certificates

Sicherheit mit DHCP- und DDNS- Diensten Einführung in redundante DDNS- und DHCP-Server auf der Basis von Linux

Sicherheit in vernetzten Systemen: Jörg Ziemann, Fabian Müller Bedrohungs- und Schwachstellenanalyse, Risikoanalyse, Sicherheitspolitik Vortrag im Rahmen

Bestimmung sicherheitsbezogener Vorteile von · PDF filein der aktuellen Forschung zur relativen Sicherheit von MKB-Systemen auf. Weitergehende Studien sind erforderlich, um die besonderen

Linux & Amateurfunk - darc.de · PDF fileEntwicklung des Internets ... Internet 1969 Arpanet zum Datenaustausch zwischen den Unix-Systemen 1973 frühe Version von TCP, zuverlässigere

LEGRAND SI · PDF filelegrand sicherheitsleuchten led der globale spezialist bei produkten und systemen fÜr die elektroinstallation sicherheit ohne kompromisse

Folie 1 / 26 Archivierung Datenarchivierung Sicherheit ... · PDF file Folie 1 / 26 Universitat¨ Hannover Sicherheitstage SS 2006 Sicherheit unter Linux Mark Heisterkamp Daten- und

Sicherheit in vernetzten Systemen Thema: Hostsicherheit

Beschreibung des Studiengangs Wirtschaftsinformatik (ab ... · PDF fileGrundlagen der Sicherheit in Netzen und verteilten Systemen (BPO 2010) 56 Einführung in Algorithm Engineering

Linux? Ja, Bitte! - lug-noris.de · PDF file1.2 Verschiedene Linux Distributionen Wie bereits erwähnt gibt es verschiedene Versionen und Ausgaben von Linux-Systemen. Da gibt es zum

Funktionale Sicherheit von mechatronischen Systemen bei ... mechatronischen Systemen mobiler Arbeitsmaschinen eine angemessene funktionale Sicherheit zu erreichen. Nach der systematischen

Ubuntu Linux - fileUbuntu Linux Installation: Parallel oder alternativ zu einem vorhandenen OS Völlig eigenständiges System Sicherheit “angeboren” Unix ist ein Großrechner-Betriebssystem

Einführung in Linux Mint · PDF fileEinführung in Linux Mint Linux Mint ist ein Computer Betriebssystem, das entworfen wurde, um auf den meisten modernen Systemen zu laufen, incl

Mit Sicherheit Linux

SuSE Linux Linux und Amateurfunk - · PDF fileSuSE Linux Linux und Amateurfunk Vortrag auf der HAM Radio 2000 von Dipl.-Ing. Kai Altenfelder DL3LBA SuSE GmbH