| View previous topic :: View next topic |
| Author |
Message |
MrPrez
n00b
Joined: 02 Sep 2003
Posts: 67
|
 Posted: Wed Jun 09, 2004 11:52 am Post subject: Brauche dringend aide.conf |
 |
|
Hab gestern auf 0.10 geupdatet und die mit der neuen Konfigurationsdatei die alte leider überschrieben. Leider werden jetzt keine Veränderungen mehr am Dateisystem entdeckt 
Wäre sehr nett wenn mir mal jemand eine funktionierende .conf posten könnte! Finde meine alte leider nirgends mehr Danke! |
|
| Back to top |
|
 |
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Wed Jun 09, 2004 2:50 pm Post subject: |
|
|
hi,
also ich hab' ungefähr 10 verschiedene...
ich kann dir auch noch 50 weitere bauen.
welche willst du denn? *gg*
das soll heissen:
du musst doch selbst wissen, welche verzeichnisse du wie kontrolliert haben willst...
also:
| Code: |
database=file:/root/aide/aide.db
database_out=file:/root/aide/aide.db.new
verbose=20
report_url=stdout
All=R+a+sha1+rmd160+tiger
Norm=s+n+b+md5+sha1+rmd160+tiger
R=p+i+n+u+g+s+m+c+md5
|
sind so allgemeine einstellungen; dann definierst du:
| Code: |
# Folgende Verzeichnisse nicht überwachen
!/dev
!/proc
[whatever]
|
verzeichnisse, die du nicht überwachen willst.
(weil sich deren inhalt im betrieb eh laufend ändert z.b.)
dann:
| Code: |
# das komplette root-Verzeichnis kontrollieren
/ R
|
definiere ich hier z.b., dass alles, was ich oben nicht explizit
ausgeschlossen habe, kontrolliert wird.
mit dem parameter R, der ganz oben definiert wird.
(könnte auch All oder Norm sein...)
btw:
es ist klug, aide statisch zu bauen, anschliessend aide zu deinstallieren, die binary, datenbank, und conf in einem spez.
verzeichnis zu haben.
aufruf dann z.b. mit:
| Code: |
[/root/aide] #./aide -c ./aide.conf --check
|
dann kannst du
/root/aide
eintarren und per
mcrypt
verschlüsseln
grund:
wenn jemand deinen rechner rootet, stellt er die anwesenheit von aide fest.
dann liest er sich deine aide.conf durch und installiert das rootkit
da, wo aide nicht kontrolliert. *grins*
mit der oben beschriebenen methode stellt ein angreifer zwar fest, dass aide installiert ist (so du nicht auch das tar versteckst...  ), er kennt aber weder den inhalt der datenbank oder der konfigurationsdatei.
auch zugriff auf die (statische) binary hat er nicht.
also kann er mein aide-binary auch nicht trojanern.
ist also sehr viel sicherer...
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
cruxnor
Tux's lil' helper
Joined: 12 Mar 2004
Posts: 133
|
| Posted: Wed Jun 09, 2004 3:05 pm Post subject: |
|
|
Hi,
und wers noch paranoida braucht der schiebt die gesamten files auf ne cd-rw und gut ist  (das cd laufwerk im server sollte natürlich read-only sein *scnr*).
ciau, cruxnor
[EDIT]
siehe auch: http://www.cs.tut.fi/~rammer/aide/manual.html#config
[/EDIT] |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Wed Jun 09, 2004 3:21 pm Post subject: |
|
|
hi nochmal,
nud was machst du, wenn der böse deine cd-rw einfach neu schreibt? *gg*
verschlüsseln wir das ganze lieber...
ach ja:
der aus deinem link muss mich kennen:
| Code: |
# Do not assume anything
# Trust no-one,nothing
# Nothing is secure
# Security is a trade-off with usability
# Paranoia is your friend
|
*hehe*
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
cruxnor
Tux's lil' helper
Joined: 12 Mar 2004
Posts: 133
|
| Posted: Wed Jun 09, 2004 3:46 pm Post subject: |
|
|
| cruxnor wrote: |
(das cd laufwerk im server sollte natürlich read-only sein *scnr*).
|
| rootshell wrote: |
nud was machst du, wenn der böse deine cd-rw einfach neu schreibt? *gg*
|
so far, cruxnor
ps: Bruce Schneier (Standardspruch): Sicherheit ist kein Produkt, sondern ein Prozess |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Wed Jun 09, 2004 3:53 pm Post subject: |
|
|
hi,
na da schau ich aber schon... 
der mann kennt bruce schneier - den crypto-gott...
wow...
Best Regards,
rootshell
p.s.
naja, [root] darf im normalfalle alles - auch eine cd+rw neu schreiben.
(auch falls sie ro gemountet ist erstmal...)
also umount /mnt/cdrom
cd neu erzeugen...
cd neu schreiben
cd ro neu mounten
fääddich...
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
cruxnor
Tux's lil' helper
Joined: 12 Mar 2004
Posts: 133
|
| Posted: Wed Jun 09, 2004 4:40 pm Post subject: |
|
|
Hi,
*räusper* ok ich hab mich vielleicht dumm ausgedrückt.
Also Server A hat nur en "normales" CD-Rom-Laufwerk (ohne Schreibfunktion, readonly!), mittels AIDE usw wird die DB erstellt und per SSH z.B. auf eine lokale Workstation B kopiert, wo sie mit all den anderen Programmdateien auf eine CD-RW gebrannt wird. Diese CD-RW wird wieder in den Server A gesteckt, welcher nur ein CD-ReadOnly-Laufwerk hat.
So läufts zumindest bei mir ab! Jederzeit möglich ein FS-Check durchzuführen + Sicherheit der Programmdaten.
ciau, cruxnor |
|
| Back to top |
|
|
MrPrez
n00b
Joined: 02 Sep 2003
Posts: 67
|
| Posted: Wed Jun 09, 2004 6:32 pm Post subject: |
|
|
| Danke schonmal für die Antworten. Klar wollte ich die an mein System anpassen, aber ne Vorlage, welche Einstellungen für die wichtigsten Verzeichnisse geeignet sind, wäre mir halt sehr lieb |
|
| Back to top |
|
|
cruxnor
Tux's lil' helper
Joined: 12 Mar 2004
Posts: 133
|
| Posted: Wed Jun 09, 2004 6:49 pm Post subject: |
|
|
| MrPrez wrote: | | Klar wollte ich die an mein System anpassen, aber ne Vorlage, welche Einstellungen für die wichtigsten Verzeichnisse geeignet sind, wäre mir halt sehr lieb |
Neija ne Vorlage, die du auch wirklich benutzen kannst, wird es nicht geben. Schließlich hast du in deinem Post nicht angegeben, ob du einen Server oder Workstation überprüfen willst. Bei einem Server würde ich / komplett überwachen und nur explizit einzelne Dateien/Verzeichnise anpassen (wie z.B. /tmp /var). Bei einer WS würde ich nur wichtige System-Binaries/Libraries überwachen. Ansonsten hast du viel arbeit/stress immer alles zu managen.
...hth...
cruxnor
[EDIT]
Oh oh mein 23. Beitrag *verwirrtgegenbaumrenn*
[/EDIT] |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Thu Jun 10, 2004 2:55 pm Post subject: |
|
|
| Quote: |
wenn jemand deinen rechner rootet, stellt er die anwesenheit von aide fest.
dann liest er sich deine aide.conf durch und installiert das rootkit
da, wo aide nicht kontrolliert. *grins*
mit der oben beschriebenen methode stellt ein angreifer zwar fest, dass aide installiert ist (so du nicht auch das tar versteckst... ), er kennt aber weder den inhalt der datenbank oder der konfigurationsdatei.
auch zugriff auf die (statische) binary hat er nicht.
also kann er mein aide-binary auch nicht trojanern.
ist also sehr viel sicherer...
|
im optimalfall machst du sowieso keine updates und steckst die aide db auf einen read-only datenträger.
und um dem ganzen kompiliergeraffel noch einen riegel vorzuschieben ist es des weiteren sinnvoll den gcc und evtl. paketmanager auf einen readonly datenträger auszulagern und neben dem server oder im safe zu lagern
das ist langsam zu paranoid
edit: ach, das mit dem readonly medium hattest du schon hab den post nur überflogen *g*
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
ruth
Retired Dev
Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER
|
| Posted: Thu Jun 10, 2004 6:20 pm Post subject: |
|
|
hi,
naja, so paranoid ist das nicht...
also ich hab zumindest /usr/[archtype] auf 0700,
/tmp und /var/tmp noexec, nodev, [blah] gemountet,
(WAS??? wie willer dann emergen??? *grins*
naja, ein mount -o remount exec /var/tmp wirkt wunder...
nach dem update entsprechend dann
mount -o remount /var/tmp - dann isser wieder dicht...)
wget, ftp, uuencode, uudecode, usw alles auf 0700
und iptables laufen bei mir eh etwas anders herum... *grins*
apache in der gentoo standard-config ist sicher auch ein grosser fehler...
und updaten sollte man schon definitiv...
(zuletzt war wohl der apache dran...
bald isses aspell (wg. pufferüberlauf)
da ist eine aide.db auf ro medium recht hinderlich...
ich hab das ding lieber verschlüsselt an einem gut versteckten
ort auf der platte...
da kommt man auch nicht ran und wenn die datei fehlt..
naja, dann weiss ich auch, dass die kacke am dampfen ist..
gruss
rootshell
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual |
|
| Back to top |
|
|
toskala
Advocate
Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany
|
| Posted: Thu Jun 10, 2004 8:02 pm Post subject: |
|
|
nunja, das größte problem hat man sowieso, wenn man lokale benutzer auf der karre hat, aber wir werden hier schon wieder off-topic ohne ende
paranoia leave me be, in diesem sinne
_________________
adopt an unanswered post
erst denken, dann posten |
|
| Back to top |
|
|
|
Deutsches Forum (German)
