Patrouillengang

So analysieren Sie Ihren Linux-Server

Sicherheitsrelevante Recherchen

Bei konkreten Sicherheitsbedenken wird es nicht ausreichen, die aktuellen User und die Log-ins zu prüfen. Wichtige Hinweise liefert der Bash-Verlauf des root-Kontos („/root/.bash_history“) und eventuell weiterer Konten („/home/[user]/.bash_history“). Hier sollten keine Befehle auftauchen, die nicht von Ihnen selbst stammen. Beachten Sie, dass eine leere History oder andere leere Protokolldateien verdächtig sind: Angreifer machen sich kaum die Mühe, Protokolldateien von eigenen Einträgen zu säubern, löschen diese aber eventuell. Kontrollieren Sie ferner den Inhalt der Cron-Tabelle:

sudo crontab –l

Auch hier darf nichts stehen, was nicht von Ihnen selbst stammt. Gleiches gilt für die Konfigurationsdatei des SSH-Servers „/etc/ssh/sshd_config“, die Sie als Klartextdatei mit jedem Editor kontrollieren können. Besteht akuter Verdacht, dass ungebetene Gäste auf dem Server angemeldet sind, ist lsof (List Open Files): das geeignete Werkzeug, die aktuellen Dateizugriffe zu kontrollieren. lsof beherrscht zahlreiche Filtermöglichkeiten: So gibt der Befehl

lsof –i :22

eine auf den SSH-Standardport 22 gefilterte Liste zurück.

Zusätzliche grafische Tools

Seltene Vorteile eines grafischen Tools: Farbige Filter im gnomesystem- log („Systemprotokoll“) machen die Textwüsten der Protokolldateien wesentlich übersichtlicher.
Seltene Vorteile eines grafischen Tools: Farbige Filter im gnomesystem- log („Systemprotokoll“) machen die Textwüsten der Protokolldateien wesentlich übersichtlicher.

Dank X11-Forwarding spricht auch bei der SSH-Fernwartung eines Servers nichts dagegen, grafische Programme zu verwenden: Das Tool gnome-system-log (mit gleichnamigem Paketnamen) erscheint auf deutschsprachigen Distributionen als „Systemprotokoll“ oder „Systemprotokollbetrachter“ . Es zeigt die Protokolle „auth.log“ (Anmeldungen), „syslog“ (Kernel und Hardware), „dpkp.log“ (Installationen) sowie „xorg.0.log“ (grafischer X-Server) aus dem Verzeichnis „/var/log“, für deren Anzeige im Prinzip jeder beliebiger Editor reicht. Allerdings bietet gnome-system-log bequemen Zugriff zu den komprimierten älteren Protokolldateien, und farbige Filter erlauben gute Übersicht: Dazu vergeben Sie unter „Filter > Filter verwalten > Hinzufügen“ einen Filternamen wie „Bad Logs“ und als „Regulärer Ausdruck“ etwa „Failed password“. Geeignete Suchausdrücke für die Filter ergeben sich schnell, wenn Sie die Protokolle genauer durchforsten. Wenn Sie für den Filter „Bad Logs“ kräftige Farben definieren, sind passende Einträge sofort erkennbar.

(PC-Welt/ad)