Huck Fin hat geschrieben:
Nun möchte ich mein System noch besser machen.
Fail2ban läuft ja schon immer drauf, aber ich will etwas, was Einbruchsversuche meldet und Änderungen am System protokolliert.
Gibt es etwas, was Ihr empfehlt ?
Ich habe schon mal gegoogelt und Sachen gefunden wie Lwatch, incron, iwatch
Was empfehlt Ihr denn so ?
Grundsätzlich wenn es um Logging von Aktivitäten geht, ist
auditd aus dem Repository eine gute Wahl. Denn Niemand weiß mehr um die Ereignisse als der Linux-Kernel selbst. Damit hättest auch nützliche Analyse-Programme, die dir unter anderem mitteilen können, welche Arten von geloggten Aktivitäten denn schädliche Intentionen verfolgen.
Allerdings würde ich dir eher dazu raten weniger in Richtung Logging zu gehen, sondern mehr präventive Schutzoptionen zu beleuchten. Es ist ziemlich lästig hinterher aufzuräumen und zu analysieren, wenn ein Schaden bereits eingetreten ist. Besser wäre das es erst gar nicht dazu kommt.
Ein paar dieser Schutzoptionen wären:
Systemd:
Macht sich Kernelfunktionen zunutze wie, Cgroups, Namespaces, Seccomp-bpf und Capabilities, um Dienste wie auch Programme innerhalb des Systems zu isolieren. Somit ließen sich Mybb, Apache und mehr, schon mal recht effektiv einschränken, über die eigenen Unit-Files deren Sicherheitsoptionen sich der Manpage
man systemd.exec entnehmen lassen.
Firejail:
Nutzt ebenfalls zuvor genannte Kernelfunktionen, ist aber speziell darauf ausgerichtet alltägliche Programme zu isolieren. Ob das nun der Browser ist oder Sonstiges was genutzt wird, ist dabei recht egal, kann alles ziemlich komfortabel eingeschränkt werden. Das Positive daran wäre, dass kein unmittelbarer Verlust an Funktionalität damit einher geht, und oft nicht zu merken ist, dass ein betreffendes Programm überhaupt eingeschränkt wurde. Kann auch als Shell eingerichtet werden, um schädliche Nutzereingaben zu minimieren.
Iptables:
Hier lohnt es sich sehr die Manpages viel genauer anzusehen, da man hier ohne zu übertreiben, ausserordentlich restriktive oder gar paranoide Konfigurationen erstellen kann. Ebenfalls sehr nützlich um möglichen Angriffen besser zu begegnen.
GrSecurity:
Empfiehlt sich sehr um den Linux-Kernel selbst besser zu härten, und insbesondere gegen eine Vielzahl von Angriffsformen besser abzusichern. Essentiel ist es auch von Bedeutung, um kernel-seitige Restriktionen wirksamer zu machen. Denn jegliches Logging wie auch Sicherheitssysteme helfen wenig, wenn es möglich war eine Lücke im Linux-Kernel selbst auszunutzen. Nebenbei erwähnt, werden seit mehreren Kernelversionen nun, einige Techniken aus GrSecurity kompatibel in den Mainline-Kernel eingepflegt, was auf lange Sicht nur Vorteile bringen kann.
Volume-Separation/Mountoptionen:
Es ist überaus empfehlenswert sein System in mehrere Volumes aufzusplitten, z.B.
/, /tmp, /home, /var/log um jedem Bereich einen eigenen Sicherheitskontext zu verpassen, und um letztlich die Angriffsfläche zu verringern. Auch nette Mountoptionen wie, ro, nodev, noexec und nosuid, sind sehr hilfreich, um Systembereiche besser zu härten im Falle eines Einbruchs. Zusätzlich kann auch ein
chattr +i DATEI an wichtigen Stellen mehr Sicherheit bringen. Denn Angriffe wird es immer geben, wichtiger wäre ihre mögliche Wirkung einzudämmen bzw. das gänzlich zu unterbinden. Und je mehr Schutzschichten aufgebaut werden, desto weniger rentabel/erfolgreich werden zukünftige Angriffe werden.
Virtualisierung/Verschlüsselung:
Auch virtuelle Maschinen können erheblich zur Sicherheit beitragen, sofern genug Arbeitsspeicher und Rechenleistung gegeben ist. Aber eben eine Frage des Aufwands den man zu betreiben bereit ist. Generell ist auch der Einsatz von Verschlüsselung empfehlenswert, um ggf. wichtige Datenbestände zu sichern, sofern man das noch nicht anwendet.
