Hallo,
ich nutze tiger als UNIX Security Checker und versuche nun so einige Warnungen rauszuschmeissen. Mein Ziel ist es nicht wirklich das System abzusichern, sondern vielmehr mehr über die Sicherheit zu erfahren.
Die Meldungen sind auch weniger geworden, nun habe ich aber eine Frage, auf die ich im Internet noch keine Lösung gefunden habe (insgesamt 33 Programme)
# Performing signature check of system binaries...
--WARN-- [sig004w] None of the following versions of /bin/bash (-rwxr-xr-x)
matched the /bin/bash on this machine.
>>>>>> Linux 2.4.17
uname -a:
Linux 2.6.11-1-686 #1 Mon Jun 20 22:00:38 MDT 2005 i686 GNU/Linux
Tja, mir ist irgendwie schon klar, dass es ein Problem zwischen 2.4.17 und 2.6.11 ist, aber keine Ahnung vorher das kommt. Hatte auch mal Probleme mit dem Paket base_files.
Vielleicht hat ja jemand eine Idee.
tiger - UNIX Security Checker (signature check /bin/bash)
tiger - UNIX Security Checker (signature check /bin/bash)
Zuletzt geändert von nil am 11.10.2005 12:48:32, insgesamt 1-mal geändert.
-
SubOptimal
- Beiträge: 1709
- Registriert: 10.01.2005 23:25:46
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: bei Frankfurt
Hi,
erstmal wären ein paar mehr Informationen nicht schlecht.
SubOptimal
erstmal wären ein paar mehr Informationen nicht schlecht.
Code: Alles auswählen
cat /etc/debian_version
dpkg -l tiger chkrootkitHier die Infos:
Code: Alles auswählen
cat /etc/debian_version
3.1
dpkg -l tiger chkrootkit
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad)
||/ Name Version Description
+++-==============-==============-============================================
ii chkrootkit 0.45-1 Checks for signs of rootkits on the local sy
ii tiger 3.2.1-26 Report system security vulnerabilities
Zuletzt geändert von nil am 11.10.2005 12:48:54, insgesamt 1-mal geändert.
-
SubOptimal
- Beiträge: 1709
- Registriert: 10.01.2005 23:25:46
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: bei Frankfurt
HI,
ich hab mir das gestern mal kurz angesehen. Folgendes ist mir bei der Sarge Version aufgefallen.
- "tiger -G" zum erzeugen von neuen Signaturen schlägt fehlt, weil mksig in der Sarge Version fehlt
- die etch Version installiert, da schlägt das anlegen der Signaturen fehlt weil als Architektur GNU/Linux ermittelt wird und mit dieser Info dann versucht wird eine temporäre Datei signature.Linux-$Kernelversion-GNU/Linux anzulegen (warum das fehl schlägt ist offensichtlich)
Ich glaub an dem Paket wird noch ordentlich gearbeitet, damit es problemlos mit Debian läuft.
Was Du versuchen könntest:
- zu aller erst Sarge Version löschen und die Version aus etch installieren
- mit "tiger -G" und den Optionen -A/-O/-R zu Deinem System passende Signaturen erzeugen
- oder den Signaturcheck in Tiger auszuschalten und statt dessen, das von tiger empfohlene Paket chkrootkit zu verwenden
Weiter hab ich mich dann nicht damit beschäftigt. Fan es aber trotzdem recht interessant, da zu den gefundenen möglichen Schwachpunkten auch ein kurzer Text warum/weshalb stand. Sehr wahrscheinlich schau ich es mir nochmal näher an. Hab nur grad keine Zeit dafür.
SubOptimal
ich hab mir das gestern mal kurz angesehen. Folgendes ist mir bei der Sarge Version aufgefallen.
- "tiger -G" zum erzeugen von neuen Signaturen schlägt fehlt, weil mksig in der Sarge Version fehlt
- die etch Version installiert, da schlägt das anlegen der Signaturen fehlt weil als Architektur GNU/Linux ermittelt wird und mit dieser Info dann versucht wird eine temporäre Datei signature.Linux-$Kernelversion-GNU/Linux anzulegen (warum das fehl schlägt ist offensichtlich)
Ich glaub an dem Paket wird noch ordentlich gearbeitet, damit es problemlos mit Debian läuft.
Was Du versuchen könntest:
- zu aller erst Sarge Version löschen und die Version aus etch installieren
- mit "tiger -G" und den Optionen -A/-O/-R zu Deinem System passende Signaturen erzeugen
- oder den Signaturcheck in Tiger auszuschalten und statt dessen, das von tiger empfohlene Paket chkrootkit zu verwenden
Weiter hab ich mich dann nicht damit beschäftigt. Fan es aber trotzdem recht interessant, da zu den gefundenen möglichen Schwachpunkten auch ein kurzer Text warum/weshalb stand. Sehr wahrscheinlich schau ich es mir nochmal näher an. Hab nur grad keine Zeit dafür.
SubOptimal
Ich habe nun die Etch-Version installiert und die Signaturüberprüfung mit chkrootkit durchgeführt.ich hab mir das gestern mal kurz angesehen. Folgendes ist mir bei der Sarge Version aufgefallen.
- "tiger -G" zum erzeugen von neuen Signaturen schlägt fehlt, weil mksig in der Sarge Version fehlt
- die etch Version installiert, da schlägt das anlegen der Signaturen fehlt weil als Architektur GNU/Linux ermittelt wird und mit dieser Info dann versucht wird eine temporäre Datei signature.Linux-$Kernelversion-GNU/Linux anzulegen (warum das fehl schlägt ist offensichtlich)
...
- oder den Signaturcheck in Tiger auszuschalten und statt dessen, das von tiger empfohlene Paket chkrootkit zu verwenden
...
Trotzdem habe ich hier mal eine ganz dumme Frage:
Wenn alles so auf Stabilität und Sicherheit ausgelegt ist, warum gibt es dann diese in meinen Augen doch schwerwiegenden Probleme mit "tiger".
Oder anders gefragt: Was nutzt man denn, um die Sicherheit des Systems automatisiert zu prüfen?
-
SubOptimal
- Beiträge: 1709
- Registriert: 10.01.2005 23:25:46
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: bei Frankfurt
Hi nil,
warum es anscheinend Probleme mit tiger gibt kann ich Dir auch nicht beantworten. Eine Möglichkeit wäre aber, das man es in erster Linie zum testen der Konfiguration nutzt. Um so einen Hinweis zu bekommen wo es möglicherweise eine Schwachstelle geben könnte.
Alle tools zum testen der Systemsicherheit haben prinzipbedingt einen Haken. Sie können unmögliche alle möglichen Konstellationen, die zu einer Schwachstelle führen, beachten.
Aber im groben sollte man sein System so absichern:
- testen welche Dienste laufen, am einfachsten mittels nmap von einem anderen Rechner aus
- die Dienste die man garnicht benötigt entfernen
- Dienste die man nur lokal benötigt (z.B. Cups), nur an das lokale bzw. das interne Netz binden
- Dienste die man nach außen anbindet mal mit nessus checken ob man da etwas schwerwiegendes übersehen hat
- ansonsten gilt für alle Dienste, alles verbieten und nur bestimmte Dinge zulassen, die Absicherung niemals anderes herum versuchen
- Konsolen Zugang von außer nur über eine gesicherte Verbindung, bei ssh mit Schlüssel statt nur mit Passwort arbeiten
- zum testen ob das System irgendwie manipuliert wurde sollten wohl tripwire, rkhunter, chkroot zu den Favoriten zählen, nutzt aber nur etwas, wenn man diese System unabhängig vom sonst laufenden System starten lässt
SubOptimal
warum es anscheinend Probleme mit tiger gibt kann ich Dir auch nicht beantworten. Eine Möglichkeit wäre aber, das man es in erster Linie zum testen der Konfiguration nutzt. Um so einen Hinweis zu bekommen wo es möglicherweise eine Schwachstelle geben könnte.
Alle tools zum testen der Systemsicherheit haben prinzipbedingt einen Haken. Sie können unmögliche alle möglichen Konstellationen, die zu einer Schwachstelle führen, beachten.
Aber im groben sollte man sein System so absichern:
- testen welche Dienste laufen, am einfachsten mittels nmap von einem anderen Rechner aus
- die Dienste die man garnicht benötigt entfernen
- Dienste die man nur lokal benötigt (z.B. Cups), nur an das lokale bzw. das interne Netz binden
- Dienste die man nach außen anbindet mal mit nessus checken ob man da etwas schwerwiegendes übersehen hat
- ansonsten gilt für alle Dienste, alles verbieten und nur bestimmte Dinge zulassen, die Absicherung niemals anderes herum versuchen
- Konsolen Zugang von außer nur über eine gesicherte Verbindung, bei ssh mit Schlüssel statt nur mit Passwort arbeiten
- zum testen ob das System irgendwie manipuliert wurde sollten wohl tripwire, rkhunter, chkroot zu den Favoriten zählen, nutzt aber nur etwas, wenn man diese System unabhängig vom sonst laufenden System starten lässt
SubOptimal