rkhunter meldungen automatisch kontrollieren

[whisper]

rkhunter meldet ja, wenn überwachte Dateien sich in der gespeicherten Checksumme verändert haben.
Wenn man immer nach einem upgrade mit apt-get upgrade ein rkhunter --propupd macht,
sollten die Warnungen ernst genommen werden.
Nun vergesse ich das manchmal. Wenn dann der nächtliche rkhunter lauf Warnungen wirft, habe ich natürlich ein Problem.
Man müsste automatisch sicherstellen das installierte dateien unverändert sind und niemand die installierten Dateien verändert hat.

Manuell mache ich dann ungefähr folgendes:

Code: Alles auswählen

grep File: /var/log/rkhunter.log |cut -d: -f4
 /usr/bin/chattr
 /usr/bin/curl
 /usr/bin/file
 /usr/bin/ldd
 /usr/bin/lsattr
 /usr/bin/wget
 /sbin/init
 /sbin/runlevel
 /bin/systemd
 /bin/systemctl
 /lib/systemd/systemd

Dann gucke ich wo die Dateien drin sind
apt-file search /usr/bin/chattr
Ergibt e2fsprogs.
Ok, ich weiß dass etliche der anderen auch im selben Paket sind und ich deshalb ziemlich sicher sein kann, dass es durch ein Upgrade passiert ist.
Andererseits schadet ein apt-get install e2fsprogs --reinstall nicht.
Aber ich würde gern mit einem Script die Sache besser machen.
Gibt es eine Möglichkeit ohne reinstall die Dateien auf ihre Integrität zu checken?
Eine Möglichkeit wäre sowas wie

Code: Alles auswählen

grep /bin/chattr /var/lib/dpkg/info/e2fsprogs.md5sums

und die checksumme mit md5sum /usr/bin/chattr vergleichen.
Zwei Stunden Arbeit und so ein Dirty Script ist fertig.
Doch gibt es vielleicht so was bereits? evtl. noch besser, oder sogar als Option in einem der vielen kleinen Debian Helper?
Kann eigentlich ja nicht sein, dass ich da als erster drauf komme, oder

[heisenberg]

Das Prüfen von Binärdateien ist einer der Schwerpunkte vieler hostbasierten Einbruchserkennungssysteme. (Host-based-IDS). Die können aber seit einiger Zeit noch viel mehr. OSSEC ist da einer der grossen Vertreter. Da ist die regelmässige Prüfung und ggf. Alarmierung mit drin.

[tobo]

Wenn man immer nach einem upgrade mit apt-get upgrade ein rkhunter --propupd macht,
sollten die Warnungen ernst genommen werden.
Nun vergesse ich das manchmal

Man könnte ein

Code: Alles auswählen

dpkg-reconfigure rkhunter

absetzen und die 3. Frage auch mit ja beantworten.

[rendegast]

Vielleicht sind die IDS entsprechend eingebunden?
aide
samhain
tripwire
suricata
---------
tiger
integrit
fcheck

ein rkhunter --propupd

vielleicht ein Arbeitsskript per
DPkg::Post-Invoke {....};
APT::Update::Post-Invoke-Success {....};
Beispiele wären needrestart und apt-show-versions.

Vorbedingung: Ein fehlerfreier Durchlauf von rkhunter vor dem kompletten Upgrade.
Das '--propupd' darf sich nur auf das gerade behandelte Paket beziehen
Problem: Ist das System vor dem Upgrade vielleicht schon befallen durch ein gutes Rootkit?
-> Den Server virtualisieren, Platte im Host mounten und entsprechend überwachen lassen.

[whisper]

Man könnte ein

Code: Alles auswählen

dpkg-reconfigure rkhunter

absetzen und die 3. Frage auch mit ja beantworten.

Jo, das ist auf jeden Fall schon mal ein Ansatz!

Ich gebe zu, auf die Idee, dass da bereits was im Paket vorbereitet ist, kam ich nicht!

...Dann verschiebe ich das Selbstbauen erst mal wieder