Von Rsync zum HIDS

Die Veränderungen zwischen Verzeichnissen mittels Rsync für große Datenmengen zu prüfen, empfiehlt sich eher nicht: Es verursacht einerseits einen recht hohen Aufwand, andererseits birgt es die Gefahr der Unvollständigkeit. Findige Entwickler bauten daher Kombinationswerkzeuge, mit denen sich dieser Schritt stärker automatisieren lässt. Solche Tools dienen grundsätzlich zur lokalen Einbruchserkennung auf einem System und lassen sich unter dem Begriff hostbasierte Einbruchserkennungssysteme ("host-based intrusion detection systems", HIDS) zusammenfassen [6].

Die einzelnen HIDS fallen in Sachen Funktionsumfang sehr unterschiedlich aus. Sie verfügen über Routinen zum Erkennen von Dateiveränderungen, zum Aufspüren von Rootkits, zur Detektion und Analyse verdächtiger Netzwerkpakete und -schnittstellen sowie von "mysteriösen" Prozessen. Einige davon lassen sich nur auf dem lokalen System nutzen, andere auch für das Überwachen entfernter Systeme. Die Tabelle "HIDS" gibt einen groben Überblick zu den Werkzeugen und deren Funktionsumfang.

HIDS

Werkzeug Dateiveränderungen Rootkits Netzwerk Prozesse Remote
dpkg x - - - -
rpm x - - - -
integrit x - - - -
tripwire x - - - -
tiger x x x x -
rkhunter x x - - -
samhain x - - - x
debsums x - - - -
chkrootkit - x - x -
aide x x - - -
fcheck x - - - -
stealth(1) x x - - -
ossec x x x - x
unhide - - - x -
suricata - - x - -
inotify x - - - -
(1) Ssh-based Trust Enforcement Acquired through a Locally Trusted Host

Bitte beachten Sie, dass Inotify ausschließlich in dem Moment eine Information ausgibt, in dem es eine Veränderung feststellt. Alle anderen Programme teilen das erst nachträglich mit. Bei Dpkg, Dlocate und Debsums handelt es sich um Werkzeuge zur Paketverwaltung, die es nur bei Debian und seinen Derivaten gibt. Sie entsprechen im engeren Sinne nicht einem HIDS und prüfen nur, ob die installierten Dateien aus einem Paket noch unverändert vorliegen (Listing 7). Gleiches gilt für Rpm aus Fedora und OpenSuse.

Listing 7

$ dpkg -V openssh-server
??5??????      /usr/lib/tmpfiles.d/sshd.conf

Veränderungen

Für die verzeichnisbasierte Analyse auf Veränderungen im Dateisystem hat sich ein mehrstufiges Schema herausgebildet. Diesem Schema folgen unter anderem Integrit, Tripwire, Samhain und Aide. Nach einer Bestandsaufnahme fungiert das jeweilige Werkzeug quasi als digitale Petze für die später entdeckten Unterschiede.

In einem ersten Schritt analysiert das Programm das von Ihnen vorab spezifizierte Verzeichnis. Dazu erzeugt es eine Art Schnappschuss für den aktuellen Zustand. Für jeden Eintrag im Verzeichnis legt es einen Eintrag in seiner internen Datenbank an und merkt sich unter anderem den Dateinamen, das Erstell- und Änderungsdatum, die Zugriffs- und Benutzerrechte sowie den Inhalt.

Letzteren speichert es nicht jedoch vollständig als Kopie, sondern berechnet nur einen Hash-Wert über den Inhalt. Das ist mit einer sehr hohen Wahrscheinlichkeit eindeutig und zudem mit einem überschaubaren Zeit- und Rechenaufwand verbunden. Bei der Berechnung des Hashes kommt derzeit vielfach noch MD5 oder eine Variante des Secure Hash Algorithms (SHA) zum Einsatz.

Der zweite Schritt folgt später und beinhaltet den Abgleich des aktuellen Verzeichniszustands mit dem im ersten Schritt erzeugten Schnappschuss. Das System registriert alle Änderungen zwischen den beiden Zuständen und teilt sie Ihnen mit. Das kann über die Standardausgabe geschehen, aber auch via E-Mail, Jabber (XMPP) oder als Eintrag in einer Protokolldatei.

Auf eine entsprechende Warnung sollten Sie unverzüglich angemessen reagieren, etwa mit dem Rückspielen einer vorhergehenden Datensicherung. Beide Schritte verursachen nennenswerte I/O-Last auf dem Speichermedium – führen Sie sie also nicht unbedingt in Hochlastphasen durch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Große Dateien transferieren
    Einige Dateisysteme orientieren sich meist an Dateien kleiner und mittlerer Größe und bekommen bei größeren Brocken schnell Schluckauf. Kleine Umwege versprechen hier Abhilfe.
  • Dateien abgleichen mit Rsync
    Mit Rsync synchronisieren Sie Daten – auf dem lokalen Rechner oder über ein Netzwerk auf entfernte Maschinen. Dank guter Zusammenarbeit mit SSH überträgt das Tool die Daten verschlüsselt und arbeitet auch dann noch recht flott, wenn es an Bandbreite mangelt.
  • Spurensuche
    Fehlt das richtige Werkzeug, ist es recht mühselig, Unterschiede in PDF-Dokumenten aufzuspüren. Wir stellen fünf pfiffige Tools vor, die dabei helfen.
  • Hüben wie drüben
    Mit "rsync" synchronisieren Sie Dateien auf einem lokalen Rechner oder über ein Netzwerk. Beim Abgleich überprüft das Programm, welche Unterschiede es zwischen Quell- und Zieldateien gibt, und überträgt nur die Änderungen.
  • Synchron schalten
    Mit Rsync synchronisieren Sie Daten entweder auf einem lokalen Rechner oder über ein Netzwerk. Vor dem eigentlichen Abgleich überprüft das Programm, welche Unterschiede es zwischen Quell- und Zieldateien gibt, und überträgt nur die Änderungen.
Kommentare

Infos zur Publikation

LU 01/2018: FLINKE BROWSER

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Suchprogramm
Heiko Taeuber, 17.01.2018 21:12, 1 Antworten
Hallo liebe Community, keine Ahnung ob dieses Thema hier schon einmal gepostet wurde. Ich hab...
Linux Mint als Zweitsystem
Wolfgang Robert Luhn, 13.01.2018 19:28, 4 Antworten
Wer kann mir helfen??? Habe einen neuen Laptop mit vorinstaliertem Windows 10 gekauft. Möchte g...
externe soundkarte Kaufempfehlung
lara grafstr , 13.01.2018 10:20, 3 Antworten
Hallo Ich bin auf Suche nach einer externen soundkarte.. Max 150 Euro Die Wiedergabe is...
Prozessor-Sicherheitslücke Meltdown und Spectre
Wimpy *, 06.01.2018 10:45, 2 Antworten
Ich habe heute ein Sicherheitsupdate "ucode-intel" für openSuse 42.3 erhalten. Ist damit das Prob...
LENOVO ideapad320 Touchpad Linux Mint 18
Peter Deppen, 23.12.2017 16:49, 3 Antworten
Hallo, bin Linux Anfänger und habe das Problem, dass das Touchpad auf dem LENOVO ideapad320 mit L...