Verwandte Werkzeuge

Dateisysteme wie ZFS [8] und Btrfs [9] verfügen über automatische Integritätsprüfungen. Liest das System Inhalte von einem Speichermedium aus, berechnet es dabei automatisch eine Prüfsumme für den Inhalt des Datenblocks.

ZFS vergleicht diese mit der Prüfsumme des identischen Datenblocks auf einer Spiegelung ("Clone"). Stimmen die Prüfsummen nicht überein, geht ZFS davon aus, dass der Inhalt des Originaldatenblocks beschädigt wurde, und meldet einen Lesefehler. Sofern das System das Problem nicht automatisch reparieren soll, entscheiden Sie danach manuell, ob es diesen Datenblock durch den Inhalt der Spiegelung ersetzt [10].

Btrfs errechnet für eine zyklische Redundanzprüfung zu jedem Block eine Prüfsumme (CRC32). So erkennt das System Bitfehler und korrigiert diese in Kombination mit einem RAID automatisch, sofern der Spiegel intakt ist. Setzen Sie als Dateisystem Ext3 oder Ext4 ein, helfen die Smartmon-Tools [11] und das Programm Badblocks (aus dem Paket e2fsprogs). Wie Sie diese beiden Programme einsetzen, erklärt ein Artikel aus LU 08/2010 [12].

Gefahren lauern jedoch nicht nur im Dateisystem, sondern auch in Prozessen und Datenströmen. An dieser Stelle kommen zum Beispiel Unhide [13] und Suricata [14] ins Spiel: Mit ihnen überwachen Sie Prozesse und Netzwerkpakete auf bösartiges Verhalten. Unhide beobachtet die laufenden Prozesse und versucht diejenigen zu finden, die sich vor der Ausgabe des Kommandos Ps verstecken. Dazu vergleicht es unter anderem die Einträge im Proc-Filesystem mit den laufenden Prozessen.

Ausblick

Keines der hier vorgestellten Werkzeuge vermag Veränderungen in Dateisystemen zu verhindern. Sie helfen Ihnen aber, solche Veränderungen sicher zu erkennen. So haben Sie die Chance, auf verdächtige Modifikationen zu reagieren und das System wieder in den korrekten Zustand zu versetzen. Binden Sie die Programme als Daemon im Hintergrund oder als Cron-Job ein, entfällt mitunter eine Menge mühevoller Handarbeit.

Das Auswerten der Alarme erfordert jedoch etwas Geschick: Bedenken Sie, dass die Systeme häufig "false positives" melden. Ein recht typischer Fall wäre etwa die Überwachung der Verzeichnisse /bin/ und /usr/bin/. Installieren Sie Software nach oder aktualisieren diese, ändert sich mit hoher Wahrscheinlichkeit deren Inhalt – auch das bekommen die HIDS mit und schlagen an. Ein genauerer Blick auf die Reports bleibt Ihnen also nicht erspart. 

Der Autor

Frank Hofmann (http://www.efho.de) arbeitet in Berlin im Büro 2.0 als Dienstleister mit Spezialisierung auf Druck und Satz. Seit 2008 koordiniert er das Regionaltreffen der LUGs der Region Berlin-Brandenburg. Er ist zudem Koautor des Debian-Paketmanagement-Buchs (http://www.dpmb.org).

Infos

[1] Ratgeber Langzeitarchivierung: http://www.tecchannel.de/a/ratgeber-langzeitarchivierung-dateiformate-und-speichermedien,2039663,6

[2] Rsync: https://rsync.samba.org

[3] Howto zu Rsync: https://www.ostc.de/howtos/rsync-HOWTO.html

[4] Dateiabgleich mit Rsync: Heike Jurzik, "Synchroner Datenstrom", LU 04/2006, S. 92, http://www.linux-community.de/9850

[5] Regular Expressions: Frank Hofmann, "Schnipseljagd", LU 09/2011, S. 84, http://www.linux-community.de/24091

[6] HIDS: https://en.wikipedia.org/wiki/Host-based_intrusion_detection_system

[7] Integrit: https://github.com/integrit/integrit

[8] ZFS on Linux: http://zfsonlinux.org

[9] Btrfs: https://btrfs.wiki.kernel.org

[10] "Using the ZFS scrub feature to verify the integrity of your storage": http://prefetch.net/blog/index.php/2011/10/15/using-the-zfs-scrub-feature-to-verify-the-integrity-of-your-storage

[11] Smartmon-Tools: http://smartmontools.sourceforge.net

[12] Integrität gespeicherter Daten sicherstellen: Klaus Schmidt, Thomas Leichtenstern, "Schau genau!", LU 08/2010, S. 74, http://www.linux-community.de/21374

[13] Unhide: http://www.unhide-forensics.info

[14] Suricata: https://oisf.net/suricata

[15] "Linux Password Trick With Immutable Bit Using chattr Command": http://www.cyberciti.biz/tips/linux-password-trick.html

[16] SELinux: https://selinuxproject.org

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Große Dateien transferieren
    Einige Dateisysteme orientieren sich meist an Dateien kleiner und mittlerer Größe und bekommen bei größeren Brocken schnell Schluckauf. Kleine Umwege versprechen hier Abhilfe.
  • Dateien abgleichen mit Rsync
    Mit Rsync synchronisieren Sie Daten – auf dem lokalen Rechner oder über ein Netzwerk auf entfernte Maschinen. Dank guter Zusammenarbeit mit SSH überträgt das Tool die Daten verschlüsselt und arbeitet auch dann noch recht flott, wenn es an Bandbreite mangelt.
  • Spurensuche
    Fehlt das richtige Werkzeug, ist es recht mühselig, Unterschiede in PDF-Dokumenten aufzuspüren. Wir stellen fünf pfiffige Tools vor, die dabei helfen.
  • Hüben wie drüben
    Mit "rsync" synchronisieren Sie Dateien auf einem lokalen Rechner oder über ein Netzwerk. Beim Abgleich überprüft das Programm, welche Unterschiede es zwischen Quell- und Zieldateien gibt, und überträgt nur die Änderungen.
  • Synchron schalten
    Mit Rsync synchronisieren Sie Daten entweder auf einem lokalen Rechner oder über ein Netzwerk. Vor dem eigentlichen Abgleich überprüft das Programm, welche Unterschiede es zwischen Quell- und Zieldateien gibt, und überträgt nur die Änderungen.
Kommentare

Infos zur Publikation

LU 03/2018 NEUE DISTRIBUTIONEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 2 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...
XSane-Fotokopie druckt nicht mehr
Wimpy *, 30.01.2018 13:29, 2 Antworten
openSuse 42.3 KDE 5.8.7 Seit einem Software-Update druckt XSane keine Fotokopie mehr aus. Fehler...
TOR-Browser stürzt wegen Wikipedia ab
Wimpy *, 27.01.2018 14:57, 0 Antworten
Tor-Browser 7.5 based on Mozilla Firefox 52.8.0 64-Bit. Bei Aufruf von http: oder https://de.wi...
Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...