04.12
2006

AIDE: Host-basiertes IDS

Was ist Aide:
Eindringlinge an ihren Spuren erkennen – das ist das Ziel des Advanced Intrusion Detection Environment. In einer Datenbank hinterlegt AIDE die Attribute und kryptographischen Prüfsummen wichtiger Files und Verzeichnisse. So bemerkt es jede nicht autorisierte Ã„nderung und schlägt Alarm.

Eine Konfigurationsdatei bestimmt, welche Datei- und Ordner-Attribute AIDE in seiner Datenbank speichern soll. Diese Datenbank legt den Soll-Zustand fest.Ausserdem berechnet das System kryptographische Checksummen der zu überprüfenden Objekte und speichert diese ebenfalls. Die Soll-Datenbank muss einen sicheren Zustand beschreiben. Das gelingt am ehesten bei einer frischen Betriebssysteminstallation, deren Files aus einer vertrauenswürdigen Quelle stammen.

Der Admin kann in der Folgezeit AIDE beliebig häufig aufrufen und den Ist-Zustand mit der Soll-Datenbank vergleichen lassen. Nach einem Einbruch installieren Angreifer häufig so genannte Rootkits, die ihnen uneingeschränkten Zugang zum System geben und sicherstellen, dass sie jederzeit erneut einbrechen können. Dazu ersetzen oder manipulieren Rootkits vorhandene Dateien. Ohne IDS fällt dieser Eingriff kaum auf, da die Ersatzprogramme äusserlich dem Original meist exakt gleichen. Ihre Zusatzfunktion ist gut versteckt und verhindert, dass Admins den Eindringling bemerken.

Vorbereitung:

Das Kommando Ã‚Â»aide –initÃ‚Â« erzeugt die Soll-Datenbank und schreibt sie in das Verzeichnis Ã‚Â»/var/lib/aideÃ‚Â«. Es ist ratsam, die Datenbank sowie die Konfigurationsdatei an einen sicheren Ort zu kopieren, beispielsweise auf eine CD. Ein Angreifer darf diese Files nicht manipulieren können.
ACHTUNG: Der Report kann als “stdout” oder als “file” gespeichert werden

[aide.conf]
report_url=stdout
oder
report_url=file:/home/admin/report_aide.txt

Vergleiche anstellen:

Ist die Konfiguration erfolgreich abgeschlossen, beginnt Ã‚Â»aide –checkÃ‚Â« mit dem Ãœberprüfen des Systems. Es bietet sich an, dieses Kommando regelmässig per Cron zu starten. AIDE liest die Datenbank und vergleicht sie mit dem Ist-Zustand der Dateien und Verzeichnisse.

Pro-Linux

freiesMagazin 02/2012 erschienen 06.02.12

Die Februarausgabe von »freiesMagazin« ist mit Nachrichten und Artikeln über freie Software erschienen. […]

CuBox: Kleiner Rechenwürfel mit ARM-Prozessor 05.02.12

Der Hersteller Solid-Run möchte mit dem CuBox die Liste der kompakten, energieeffizienten Rechner um ein weiteres Modell erweitern. Der kleine Rechner in einem Würfelgehäuse aus Plastik soll Ende Februar für 99 Euro auf den Markt kommen. […]

Linux Mint 12 KDE fertiggestellt 04.02.12

Die Linux-Mint-Entwickler haben die KDE-Edition der Version 12 des beliebten Ubuntu-Abkömmlings veröffentlicht. Linux Mint gilt als sehr benutzerfreundlich und zählt laut dem News-Portal Distrowatch zu den beliebtesten Linux-Distributionen. […]

Akademy 2012 sucht nach Beiträgen 03.02.12

Die Registrierung für die Akademy, die Konferenz für KDE-Entwickler und -anwender, ist eröffnet. Außerdem wurde der Call for Papers für die Konferenz veröffentlicht. […]

Anonymisierungs-Distribution Tails 0.10.1 erschienen 03.02.12

Das Linux-Live-System Tails will den Benutzern das sichere anonyme Browsen im Web und die Verwendung von Kryptografie auf dem aktuellen Stand der Technik ermöglichen. […]

TeamViewer 7 für Linux verfügbar 03.02.12

TeamViewer, Anbieter der gleichnamigen Lösung für Fernwartung und Online-Präsentationen, hat jetzt die neue Version TeamViewer 7 für Linux veröffentlicht. In der Lösung wurden unter anderem die Remote-Support-Funktionen erweitert. Zusätzlich bietet die Anwendung auch die Möglichkeit, Online-Meetings mit bis zu 25 Teilnehmern durchzuführen. […]

LUG: Linux-Usergroup Miesbach 03.02.12

Seit Mitte 2011 gibt es ein Anwendertreffen für Linux-User im Landkreis Miesbach. Bisher handelt es sich nur eine sehr kleine User-Group. Das Treffen findet einmal im Monat am dritten Samstag in der Volkshochschule in Hausham statt. Wer einen Vortrag zu einem Thema halten will, ist gerne dazu eingeladen. Ab 17 Uhr: Linux installieren mit Anleitung für Neuein […]

www.knebler.de

AIDE: Host-basiertes IDS

Kategorien

Letzte Artikel

Pro-Linux

Anwendungen

OpenSuSE

Archive

Switch site

Meta

Blogroll