Grundlegende Systemprüfungen mit Checksecurity

Aus LinuxUser 01/2021

Grundlegende Systemprüfungen mit Checksecurity

© Sergey Tinyakov, 123RF

Gesundheitscheck

Linux bietet Anwendern vielfältige Möglichkeiten zur Systemkonfiguration. Mithilfe der Werkzeugsammlung Checksecurity behalten Sie dabei grundlegende Einstellungen des Systems stets im Blick.

Linux gilt konzeptionell als sehr sicheres Betriebssystem für Computer aller Art. Realistisch betrachtet, ist aber auch das freie System nicht gegen Sicherheitslücken und Schadprogramme gefeit. Daher finden sich in den Paketquellen zahlreiche Tools, um Linux-Derivate auf Schwachstellen hin zu untersuchen.

Doch diese Werkzeuge konzentrieren sich meist auf bestimmte Schwächen und eng umrissene Angriffsszenarien, sodass bei einem Computersystem nur einzelne mögliche Sicherheitsprobleme analysiert werden. Mit der Werkzeugsammlung Checksecurity überprüfen Sie dagegen Ubuntu- und Debian-Systeme [1] sowie deren Derivate automatisiert auf mehrere mögliche grundlegende Sicherheitsmängel oder Auffälligkeiten.

Konzept

Checksecurity besteht aus einer Reihe von Plugins, die Sie jeweils in einer Konfigurationsdatei anpassen. Die entsprechenden Files liegen im Textformat vor, zum Einrichten des Diensts genügt daher ein einfacher Editor. Beim Aufruf von Checksecurity arbeitet das Programm die aktivierten Plugins nacheinander ab und gibt die Ergebnisse der Tests im Terminal aus.

Um ein möglichst hohes Maß an Sicherheit durch einen automatisierten Ablauf zu erzielen, legt das System bei der Installation automatisch zwei unterschiedliche Cron-Jobs an. Das Plugin check-setuid überprüft dabei Setuid-Attribute auf Modifikationen und sucht nach entfernten Dateisystemen, die ungesichert in das lokale System eingehängt sind.

Check-sockets sucht nach offenen und modifizierten Ports und überwacht sie. So lässt sich Malware erkennen, die darüber ins System zu gelangen versuchen. Das Plugin check-passwd überprüft das System auf ungesicherte Systemkonten, während check-diskfree eingehängte Dateisysteme auf deren Kapazitätsgrenzen hin untersucht. Das fünfte Plugin, check-iptables-logs, kümmert sich um mögliche Einbruchsversuche, die es anhand der Log-Dateien von Iptables lokalisiert.

Installation

Sie richten Checksecurity unter Debian, Ubuntu und deren Derivaten bequem aus den Paketquellen des Systems ein. Da es komplett auf der Kommandozeile läuft, legt der Installer keinen Starter in der Menühierarchie des Desktops an. Die einzelnen Skripte zum Ausführen der Tests finden Sie nach der Installation unter /usr/share/checksecurity/.

Beim Einspielen zieht Checksecurity auch den Mail-Transfer-Agenten Postfix mit. Dieser Mailserver erlaubt dem System, eigenständig Mails zu versenden. Ohne feste IP-Adresse und aufwendiger Konfiguration funktioniert das allerdings nicht. Es empfiehlt sich daher, Postfix so zu konfigurieren, dass der Dienst ausgehende Mails über einen kommerziellen Anbieter wie Gmail, GMX oder Web.de leitet. Entsprechende Informationen finden Sie über eine Suche nach “Postfix E-Mail-Anbieter” im Internet.

Alternativ richten Sie Postfix so ein, dass das System die Mails nur lokal ausliefert. Dazu wählen Sie in der Postfix Configuration die Option Nur lokal an. Danach installieren Sie noch das Paket mailutils und tragen Ihren Benutzer über das Kommando sudo adduser $USER mail in die Gruppe mail ein. Damit Sie nun per mail die von Checksecurity an den Root-User geschickte Mails lesen können, leiten Sie noch über das Kommando echo $USER | sudo tee /root/.forward die an Root gesendeten Mails an ihren Benutzer weiter.

Konfiguration

Die globale Konfiguration der Werkzeugsammlung nehmen Sie in der Datei /etc/checksecurity.conf vor. Darin schalten Sie die einzelnen Module ein und aus oder legen Prüfintervalle für das automatisierte Ausführen der einzelnen Skripte fest (Abbildung 1).

Abbildung 1: &Uuml;ber die Datei <code>checksecurity.conf</code> nehmen Sie grundlegende Einstellungen vor. Das Setup der einzelnen Plugins erfolgt &uuml;ber gesonderte Konfigurationsdateien.

Abbildung 1: Über die Datei checksecurity.conf nehmen Sie grundlegende Einstellungen vor. Das Setup der einzelnen Plugins erfolgt über gesonderte Konfigurationsdateien.

Im Verzeichnis /etc/checksecurity/ finden Sie für alle Plugins mit Ausnahme von check-iptables-logs weitere Konfigurationsdateien. Sie dienen nicht der globalen Konfiguration, sondern gestatten das Anpassen der einzelnen Skriptabläufe. Auch diese Dateien liegen im Textformat vor und lassen sich daher mit jedem Editor problemlos bearbeiten.

Besonderes Augenmerk sollten Sie auf die Option CHECK_DISK_PERCENT in der Datei check-diskfree.conf legen, die voreingestellt den Wert 70 aufweist. Diese Einstellung führt zur Ausgabe einer Systemmeldung, sobald eine der eingehängten Partitionen eine Auslastung von mehr als 70 Prozent erreicht.

Da dieser Wert vor allem bei kleinen Systempartitionen, die auch temporäre Daten aufnehmen, schnell erreicht werden kann, empfiehlt es sich, den Wert auf 80 oder sogar 90 Prozent zu erhöhen. In der Konfigurationsdatei check-passwd.conf stellen Sie ein, ob das Skript leere Systempassworteinträge oder doppelt vergebene Passwörter aufspüren soll. Voreingestellt sind beide Routinen aktiviert.

Einsatz

Um die Software von Hand zu starten, geben Sie am Prompt mit Administratorrechten den Befehl checksecurity ein. Das Tool arbeitet daraufhin die Skripte ab und gibt bei Auffälligkeiten entsprechend der Einstellungen Warnmeldungen aus. Die zeigt es ohne Trennung untereinander im Terminal an (Abbildung 2). Haben Sie im Konfigurationsdialog ein Mail-Konto definiert, läuft dort anschließend eine E-Mail ein.

Abbildung 2: Hier meldet Checksecurity lediglich &uuml;berquellende Datentr&auml;ger.

Abbildung 2: Hier meldet Checksecurity lediglich überquellende Datenträger.

Voreingestellt legt der Installer Cronjobs für Checksecurity an. Checksecurity prüft einmal wöchentlich die Firewall-Logdateien, die anderen Routinen lädt das System täglich. Die entsprechenden Protokolle legt das Programm im Verzeichnis /var/log/checksecurity/ in verschiedenen Dateien ab, die aussagekräftige Bezeichnungen tragen und chronologisch geordnet vorliegen. Diese Einstellungen können Sie jederzeit durch Modifikation der dazugehörigen Cronjobs oder durch Bearbeiten der Datei /etc/checksecurity.conf an die eigenen Vorstellungen anpassen (Abbildung 3).

Abbildung 3: Auch auf ge&ouml;ffnete Ports pr&uuml;ft Checksecurity zuverl&auml;ssig.

Abbildung 3: Auch auf geöffnete Ports prüft Checksecurity zuverlässig.

Fazit

Mit Checksecurity erhalten sicherheitsbewusste Anwender ein nützliches Werkzeug zum regelmäßigen Prüfen grundlegender Einstellungen eines Linux-Systems. Es testet vor allem auf offene Ports, leere oder mehrfach vergebene Passwörter sowie die Speicherkapazitäten auf den eingebundenen Datenträgern. Zwar lassen sich diese Daten auch mit anderen Linux-Werkzeugen abfragen, aber Checksecurity erledigt die Prüfungen in einem Rutsch und im Hintergrund.

Auffälligkeiten protokolliert das Programm und sendet sie optional an eine hinterlegte E-Mail-Adresse. Auf diese Weise wahren Sie stets den Überblick darüber, welche Ressourcen im System Sie näher prüfen oder neu konfigurieren sollten. Die Software leistet damit einen grundlegenden Beitrag zur Systemintegrität und sollte als Ergänzung zu anderen Prüfroutinen auf keinem produktiv genutzten Server fehlen. (cla)

Glossar

Setuid

Linux organisiert die Lese-, Schreib- und Ausführrechte für Dateien und Verzeichnisse über Attribute. Mit dem Setuid-Bit (SUID) ausgestattete Programme lassen sich zudem mit den Rechten des Eigentümers ausführen, was ein Sicherheitsrisiko darstellt, falls die Datei dem User root gehört.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF
LinuxUser 01/2021 KAUFEN
EINZELNE AUSGABE
ABONNEMENTS
TABLET & SMARTPHONE APPS
E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben