Verwandte Werkzeuge

Dateisysteme wie ZFS [8] und Btrfs [9] verfügen über automatische Integritätsprüfungen. Liest das System Inhalte von einem Speichermedium aus, berechnet es dabei automatisch eine Prüfsumme für den Inhalt des Datenblocks.

ZFS vergleicht diese mit der Prüfsumme des identischen Datenblocks auf einer Spiegelung ("Clone"). Stimmen die Prüfsummen nicht überein, geht ZFS davon aus, dass der Inhalt des Originaldatenblocks beschädigt wurde, und meldet einen Lesefehler. Sofern das System das Problem nicht automatisch reparieren soll, entscheiden Sie danach manuell, ob es diesen Datenblock durch den Inhalt der Spiegelung ersetzt [10].

Btrfs errechnet für eine zyklische Redundanzprüfung zu jedem Block eine Prüfsumme (CRC32). So erkennt das System Bitfehler und korrigiert diese in Kombination mit einem RAID automatisch, sofern der Spiegel intakt ist. Setzen Sie als Dateisystem Ext3 oder Ext4 ein, helfen die Smartmon-Tools [11] und das Programm Badblocks (aus dem Paket e2fsprogs). Wie Sie diese beiden Programme einsetzen, erklärt ein Artikel aus LU 08/2010 [12].

Gefahren lauern jedoch nicht nur im Dateisystem, sondern auch in Prozessen und Datenströmen. An dieser Stelle kommen zum Beispiel Unhide [13] und Suricata [14] ins Spiel: Mit ihnen überwachen Sie Prozesse und Netzwerkpakete auf bösartiges Verhalten. Unhide beobachtet die laufenden Prozesse und versucht diejenigen zu finden, die sich vor der Ausgabe des Kommandos Ps verstecken. Dazu vergleicht es unter anderem die Einträge im Proc-Filesystem mit den laufenden Prozessen.

Ausblick

Keines der hier vorgestellten Werkzeuge vermag Veränderungen in Dateisystemen zu verhindern. Sie helfen Ihnen aber, solche Veränderungen sicher zu erkennen. So haben Sie die Chance, auf verdächtige Modifikationen zu reagieren und das System wieder in den korrekten Zustand zu versetzen. Binden Sie die Programme als Daemon im Hintergrund oder als Cron-Job ein, entfällt mitunter eine Menge mühevoller Handarbeit.

Das Auswerten der Alarme erfordert jedoch etwas Geschick: Bedenken Sie, dass die Systeme häufig "false positives" melden. Ein recht typischer Fall wäre etwa die Überwachung der Verzeichnisse /bin/ und /usr/bin/. Installieren Sie Software nach oder aktualisieren diese, ändert sich mit hoher Wahrscheinlichkeit deren Inhalt – auch das bekommen die HIDS mit und schlagen an. Ein genauerer Blick auf die Reports bleibt Ihnen also nicht erspart. 

Der Autor

Frank Hofmann (http://www.efho.de) arbeitet in Berlin im Büro 2.0 als Dienstleister mit Spezialisierung auf Druck und Satz. Seit 2008 koordiniert er das Regionaltreffen der LUGs der Region Berlin-Brandenburg. Er ist zudem Koautor des Debian-Paketmanagement-Buchs (http://www.dpmb.org).

Infos

[1] Ratgeber Langzeitarchivierung: http://www.tecchannel.de/a/ratgeber-langzeitarchivierung-dateiformate-und-speichermedien,2039663,6

[2] Rsync: https://rsync.samba.org

[3] Howto zu Rsync: https://www.ostc.de/howtos/rsync-HOWTO.html

[4] Dateiabgleich mit Rsync: Heike Jurzik, "Synchroner Datenstrom", LU 04/2006, S. 92, http://www.linux-community.de/9850

[5] Regular Expressions: Frank Hofmann, "Schnipseljagd", LU 09/2011, S. 84, http://www.linux-community.de/24091

[6] HIDS: https://en.wikipedia.org/wiki/Host-based_intrusion_detection_system

[7] Integrit: https://github.com/integrit/integrit

[8] ZFS on Linux: http://zfsonlinux.org

[9] Btrfs: https://btrfs.wiki.kernel.org

[10] "Using the ZFS scrub feature to verify the integrity of your storage": http://prefetch.net/blog/index.php/2011/10/15/using-the-zfs-scrub-feature-to-verify-the-integrity-of-your-storage

[11] Smartmon-Tools: http://smartmontools.sourceforge.net

[12] Integrität gespeicherter Daten sicherstellen: Klaus Schmidt, Thomas Leichtenstern, "Schau genau!", LU 08/2010, S. 74, http://www.linux-community.de/21374

[13] Unhide: http://www.unhide-forensics.info

[14] Suricata: https://oisf.net/suricata

[15] "Linux Password Trick With Immutable Bit Using chattr Command": http://www.cyberciti.biz/tips/linux-password-trick.html

[16] SELinux: https://selinuxproject.org

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Große Dateien transferieren
    Einige Dateisysteme orientieren sich meist an Dateien kleiner und mittlerer Größe und bekommen bei größeren Brocken schnell Schluckauf. Kleine Umwege versprechen hier Abhilfe.
  • Dateien abgleichen mit Rsync
    Mit Rsync synchronisieren Sie Daten – auf dem lokalen Rechner oder über ein Netzwerk auf entfernte Maschinen. Dank guter Zusammenarbeit mit SSH überträgt das Tool die Daten verschlüsselt und arbeitet auch dann noch recht flott, wenn es an Bandbreite mangelt.
  • Spurensuche
    Fehlt das richtige Werkzeug, ist es recht mühselig, Unterschiede in PDF-Dokumenten aufzuspüren. Wir stellen fünf pfiffige Tools vor, die dabei helfen.
  • Hüben wie drüben
    Mit "rsync" synchronisieren Sie Dateien auf einem lokalen Rechner oder über ein Netzwerk. Beim Abgleich überprüft das Programm, welche Unterschiede es zwischen Quell- und Zieldateien gibt, und überträgt nur die Änderungen.
  • Synchron schalten
    Mit Rsync synchronisieren Sie Daten entweder auf einem lokalen Rechner oder über ein Netzwerk. Vor dem eigentlichen Abgleich überprüft das Programm, welche Unterschiede es zwischen Quell- und Zieldateien gibt, und überträgt nur die Änderungen.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...