Juni 2011 Archive
11.06.2011 11:29
Sicherheitsprüfung
Auszugsweise Logdatei der Systemüberprüfung mit rkhunter.
[10:54:11] Running Rootkit Hunter in Version 1.3.6 auf bluestar [10:54:11] Information: Start Datum ist Sa 11. Jun 10:54:11 CEST 2011 [10:54:11] Information: Erkanntes Betriebssystem ist 'Linux' [10:54:11] Information: Name des Betriebssystems gefunden: Debian 6.0.1 [10:54:11] Information: Kommandozeile ist /usr/bin/rkhunter --cronjob --report-warnings-only --appendlog [10:54:11] Information: Umgebungsshell ist /bin/bash; rkhunter verwendet dash [10:54:11] Information: Verwende Konfigurationsdatei '/etc/rkhunter.conf' [10:54:11] Information: Verwende die Sprache 'de' ... [10:54:12] Starte System-Überprüfungen... ... [10:54:37] Überprüfe auf Rootkits... ... [10:55:38] Führe Überprüfung auf Malware aus ... [10:55:39] Führe Überprüfungen auf Backdoor-Ports aus ... [10:55:42] Führe Überprüfung des System-Boot aus ... [10:55:45] Führe Überprüfungen auf Gruppen und Konten aus ... [10:55:45] Führe Überprüfung der System-Konfigurations-Dateien aus ... [10:55:46] Dateieigenschaften-Überprüfung... [10:55:46] Dateien überprüft: 135 [10:55:46] Verdächtige Dateien: 0 ... [10:55:46] Rootkit-Überprüfungen... [10:55:46] Rootkits überprüft : 248 [10:55:46] Mögliche Rootkits: 0 ... [10:55:46] Dauer der System-Überprüfung: 1 minute and 34 seconds [10:55:46] Information: Enddatum ist Sa 11. Jun 10:55:46 CEST 2011
11.06.2011 10:45
Temperatur Harddisk
grep 'hddtemp'
/var/log/daemon.log | tail -n 12
Jun 11 10:17:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C Jun 11 10:19:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C Jun 11 10:22:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C Jun 11 10:24:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C Jun 11 10:27:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C Jun 11 10:29:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C Jun 11 10:32:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 29 C Jun 11 10:34:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 30 C Jun 11 10:37:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 31 C Jun 11 10:39:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 31 C Jun 11 10:42:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 30 C Jun 11 10:44:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 29 C
11.06.2011 08:54
Konfiguration bearbeiten
Änderungen an der Systemkonfiguration auf einem Server sind manchmal eine etwas heikle Angelegenheit. Man kommt nicht ohne sie aus, kann aber auch schnell einzelne Dienste oder gar den ganzen Server in einen nicht benutzbaren Zustand bringen. Dann ist es günstig, wenn man die Änderungen nachvollziehen und zurücknehmen kann.
Versuchen wir uns heute an einem einfachen Beispiel. Im Dienst
collectd zur
Systemüberwachung soll das zur Zeit aktive Modul ping
ausgeschaltet werden.
editor /etc/collectd/collectd.conf
Vorher:
LoadPlugin ping
Nachher:
#LoadPlugin ping
Einige Zeit darauf geht eine E-Mail ein:
Betreff: Betreff: Changed files on bluestar.domo.reto: Fri Jun 10 17:17:03 2011
Changes made to '/etc/collectd/collectd.conf' follow: @@ -80,7 +80,7 @@ #LoadPlugin openvpn #LoadPlugin perl #LoadPlugin pinba -LoadPlugin ping +#LoadPlugin ping #LoadPlugin postgresql #LoadPlugin powerdns LoadPlugin processes
Diese Meldung kommt vom Programm changetrack, welches die Konfigurationsdateien stündlich auf Änderungen überwacht und den Administrator per E-Mail informiert.
Zusätzlich speichert dieses Programm die alten Versionen der Dateien mit RCS in einem Archiv. Werfen wir einen Blick auf die wichtigsten Programme zum Umgang mit solchen Archiven:
root@bluestar:~# apropos rcs
[...] ci (1) - check in RCS revisions co (1) - check out RCS revisions [...] rcsdiff (1) - compare RCS revisions rlog (1) - print log messages and other information about RCS files
Das Changetrack-Archiv befindet sich im Verzeichnis /var/lib/changetrack. Finden wir zunächst heraus, wie viele Versionen der Datei /etc/collectd/collectd.conf bereits gespeichert wurden.
root@bluestar:~# rlog
/var/lib/changetrack/etc\:collectd\:collectd.conf
RCS file: /var/lib/changetrack/RCS/etc:collectd:collectd.conf,v Working file: /var/lib/changetrack/etc:collectd:collectd.conf head: 1.5 total revisions: 5; selected revisions: 5 description: this is "/etc/collectd/collectd.conf" ---------------------------- revision 1.5 locked by: root; date: 2011/06/10 15:17:21; author: root; state: Exp; lines: +1 -1 modification of "/etc/collectd/collectd.conf" on Fri Jun 10 17:17:03 2011 ---------------------------- revision 1.4 date: 2011/05/26 21:17:20; author: root; state: Exp; lines: +1 -1 modification of "/etc/collectd/collectd.conf" on Thu May 26 23:17:02 2011 ---------------------------- revision 1.3 date: 2011/05/26 16:17:06; author: root; state: Exp; lines: +18 -17 modification of "/etc/collectd/collectd.conf" on Thu May 26 18:17:02 2011 ---------------------------- revision 1.2 date: 2011/05/26 15:17:23; author: root; state: Exp; lines: +13 -13 modification of "/etc/collectd/collectd.conf" on Thu May 26 17:17:02 2011 ---------------------------- revision 1.1 date: 2011/05/24 06:17:16; author: root; state: Exp; modification of "/etc/collectd/collectd.conf" on Tue May 24 08:17:02 2011
Die aktuelle Fassung der Konfigurationsdatei /etc/collectd/collectd.conf ist als Version 1.5 gespeichert. Vergleichen wir sie mit der Vorgängerversion.
root@bluestar:~# rcsdiff -u -r1.5 -r1.4
/var/lib/changetrack/etc\:collectd\:collectd.conf
RCS file: /var/lib/changetrack/RCS/etc:collectd:collectd.conf,v retrieving revision 1.5 retrieving revision 1.4 diff -u -r1.5 -r1.4 --- /var/lib/changetrack/etc:collectd:collectd.conf 2011/06/10 15:17:21 1.5 +++ /var/lib/changetrack/etc:collectd:collectd.conf 2011/05/26 21:17:20 1.4 @@ -80,7 +80,7 @@ #LoadPlugin openvpn #LoadPlugin perl #LoadPlugin pinba -#LoadPlugin ping +LoadPlugin ping #LoadPlugin postgresql #LoadPlugin powerdns LoadPlugin processes
Diese Programmausgabe entspricht sinngemäß dem Inhalt der zuvor empfangenen E-Mail. In der aktuellen Fassung 1.5 ist die Zeile mit # auskommentiert worden, in der vorherigen Version 1.4. war sie dies nicht.
Als nächstes holen wir uns die vorherige Version aus dem Archiv zurück:
root@bluestar:~# co -r1.4
/var/lib/changetrack/etc\:collectd\:collectd.conf
/var/lib/changetrack/RCS/etc:collectd:collectd.conf,v --> /var/lib/changetrack/etc:collectd:collectd.conf revision 1.4 done
root@bluestar:~# cp
/var/lib/changetrack/etc\:collectd\:collectd.conf
/etc/collectd/collectd.conf
Damit haben wir die ursprüngliche Einstellung wieder hergestellt. Einige Zeit später im Posteingang E-Mails von changetrack und fcheck auftauchen, die uns über die gerade vorgenommenen Änderungen informieren.
11.06.2011 08:05
Dienstesteuerung
Wenn man auf einem Debian-System Softwarepakete installiert, die einen im Hintergrund laufenden Dienstprozess (daemon) beinhalten, so wird dieser oft automatisch gestartet.
Als Administrator mag man manche Dienste aber nur zum Ausprobieren, zu bestimmten Zeiten oder bestimmten Zwecken verwenden. Dann muss man den automatischen Start dieser Dienstprozesse beim Hochfahren des Servers verhindern. Informationen zum Ablauf und zur Steuerung des Bootvorgangs finden sich in der Debian Dokumentation.
root@bluestar:~# runlevel
N 2
Wie man sieht, bootet der Linux Home Server in den Runlvel 2, so wie in der Datei /etc/inittab festgelegt. Als nächstes werden drei Schritte durchgeführt:
- Wechseln in den Runlevel 3 mit telinit
- Ausgewählte Dienste im Runlevel 2 deaktivieren mit sysv-rc-conf
- Zurückwechseln in den Runlevel 2 mit telinit
root@bluestar:~# telinit 3
root@bluestar:~# runlevel
2 3
root@bluestar:~# sysv-rc-conf
sysv-rc-conf (8) - Run-level configuration for SysV like init script links service 1 2 3 4 5 0 6 S ---------------------------------------------------------------------------- collectd [ ] [ ] [X] [X] [X] [ ] [ ] [ ] icecast2 [ ] [ ] [X] [X] [X] [ ] [ ] [ ] nagios3 [ ] [ ] [X] [X] [X] [ ] [ ] [ ] rrdcached [ ] [ ] [X] [X] [X] [ ] [ ] [ ] rrdcollect [ ] [ ] [X] [X] [X] [ ] [ ] [ ] timidity [ ] [ ] [X] [X] [X] [ ] [ ] [ ] xfs [ ] [ ] [X] [X] [X] [ ] [ ] [ ] xfstt [ ] [ ] [X] [X] [X] [ ] [ ] [ ]
Nur die geänderten Zeilen werden angezeigt.
root@bluestar:~# telinit 2
root@bluestar:~# runlevel
3 2
Etwas später findet sich eine neue E-Mail im Posteingang.
Absender: logcheck
Betreff: bluestar.domo.reto 2011-06-10 16:02 System Events
This email is sent by logcheck. If you no longer wish to receive such mail, you can either deinstall the logcheck package or modify its configuration file (/etc/logcheck/logcheck.conf). System Events =-=-=-=-=-=-= Jun 10 15:35:41 bluestar init: Switching to runlevel: 2 Jun 10 15:35:41 bluestar nagios3: Caught SIGTERM, shutting down... Jun 10 15:35:41 bluestar collectd[25081]: Exiting normally. Jun 10 15:35:41 bluestar collectd[25081]: collectd: Stopping 5 read threads. Jun 10 15:35:41 bluestar rrdcached[25071]: caught SIGTERM Jun 10 15:35:41 bluestar rrdcached[25071]: starting shutdown Jun 10 15:35:41 bluestar xfs[25090]: terminating Jun 10 15:35:41 bluestar rrdcached[25071]: clean shutdown; all RRDs flushed Jun 10 15:35:41 bluestar rrdcached[25071]: removing journals Jun 10 15:35:41 bluestar rrdcached[25071]: goodbye Jun 10 15:35:41 bluestar collectd[25081]: ping plugin: Shutting down thread. Jun 10 15:35:41 bluestar collectd[25081]: rrdtool plugin: Shutting down the queue thread. This may take a while. Jun 10 15:35:41 bluestar nagios3: Successfully shutdown... (PID=25125) Jun 10 15:35:41 bluestar collectdmon[25080]: Info: collectd terminated with exit status 0 Jun 10 15:35:41 bluestar collectdmon[25080]: Info: shutting down collectdmon
Die E-Mail enthält eine Zusammenfassung von Meldungen aus dem Systemlog. In diesem Fall kann man den Meldungen entnehmen, dass die Dienste nagios3, collectd, rrdcached, xfs und collectdmon wie gewünscht angehalten wurden. Bis auf xfs handelt es sich dabei um Systemüberwachungsprozesse.
Die Dienste timidity und xfstt wurden beendet, ohne Meldungen im Systemlog zu hinterlassen.
Die Dienste rrdcollect und icecast2 sind ohne vorherige manuelle Konfiguration nicht lauffähig und waren daher auch in Runlevel 3 nicht aktiv.
Dienste können natürlich jederzeit manuell oder auch zeitgesteuert wieder aktiviert werden:
root@bluestar:~# /etc/init.d/collectd
start
Starting statistics collection and monitoring daemon: collectd.
root@bluestar:# at now + 24
hours
warning: commands will be executed using /bin/sh at> /etc/init.d/collectd stop at> <EOT> job 57 at Sun Jun 12 08:00:00 2011
So bekommt man eine Systemüberwachung mit collectd für 24 Stunden.
09.06.2011 19:22
Dateiüberwachung
Heute fand ich folgende E-Mail von root im Posteingang:
Betreff: ALERT: [fcheck] bluestar.domo.reto
PROGRESS: validating integrity of Files STATUS: passed... [...] PROGRESS: validating integrity of /etc/ STATUS: WARNING: [bluestar] /etc/ld.so.cache [Inodes: 24541 - 27518, Times: May 30 17:01 2011 - Jun 08 19:33 2011] [...] PROGRESS: validating integrity of /usr/bin/ STATUS: WARNING: [bluestar] /usr/bin/xmlcatalog [Inodes: 409492 - 407499, Times: May 30 17:01 2011 - Jun 08 19:33 2011, CRCs: 100a7a989ca3d2d64bc580300f4cfd5138a6416e2a72c7143c14314cfdbdffa9 - a039f557f97beb60a1365e664194884723c38b38282e52344c72f42ca9c446d6] WARNING: [bluestar] /usr/bin/xmllint [Inodes: 409491 - 407509, Times: May 30 17:01 2011 - Jun 08 19:33 2011, CRCs: 0fed3a5525aacdabbf7847f47a1c12704f8e2dc510157638c2cce9f2cf7b6056 - a37b8ee42022b97b04f941a244110ffbf1740eeca485f1f72b9ce0e120b7022e] [...] PROGRESS: validating integrity of /usr/lib/ STATUS: WARNING: [bluestar] /usr/lib/libxml2.so.2 [Inodes: 196299 - 197246, Times: Jan 02 09:50 2011 - Jun 08 19:33 2011, CRCs: SYMLINK:f303efc2b6f7255788f0823ce546fd0a6bb9e4b6730afad9c45883d6db77fc86 - SYMLINK:1f9fcebf8d9c8e05e3acd56dddd450be22f9faa9156fb22e5cc201ecb180b227] WARNING: [bluestar] /usr/lib/libxml2.so.2.7.8 [Inodes: 196299 - 197246, Times: Jan 02 09:50 2011 - Jun 08 19:33 2011, CRCs: f303efc2b6f7255788f0823ce546fd0a6bb9e4b6730afad9c45883d6db77fc86 - 1f9fcebf8d9c8e05e3acd56dddd450be22f9faa9156fb22e5cc201ecb180b227]
Die Meldung stammt vom Programm fcheck. Was tut es?
whatis fcheck
fcheck (8) - IDS filesystem baseline integrity checker
Offenbar wurden bestimmte Dateien verändert, die von fcheck in regelmäßigen Abständen geprüft werden. Dies könnte mit der Softwareaktualisierung vom gestrigen Tage zu tun haben. Eine kleine Untersuchung soll Klarheit schaffen:
root@bluestar:~# dpkg -S
/etc/ld.so.cache
dpkg: /etc/ld.so.cache nicht gefunden.
root@bluestar:~# dpkg -S
/usr/bin/xmlcatalog
libxml2-utils: /usr/bin/xmlcatalog
root@bluestar:~# dpkg -S
/usr/bin/xmllint
libxml2-utils: /usr/bin/xmllint
root@bluestar:~# dpkg -S
/usr/lib/libxml2.so.2
libxml2: /usr/lib/libxml2.so.2
root@bluestar:~# dpkg -S
/usr/lib/libxml2.so.2.7.8
libxml2: /usr/lib/libxml2.so.2.7.8Vier der Änderungen rühren also tatsächlich direkt vom Softwareupdate her. Die Änderung an der Datei /etc/ld.so.cache ist darauf zurück zu führen, dass zwei neue Bibliotheken im Ordner /usr/lib installiert wurden.
man ld.so
/etc/ld.so.cache File containing a compiled list of directories in which to search for libraries and an ordered list of candidate libraries.
08.06.2011 21:42
Softwareaktualisierung
Heute fand ich folgende E-Mail von root im Posteingang:
Betreff: 2 Debian package update(s) for bluestar.domo.reto
apticron report [Wed, 08 Jun 2011 07:36:06 +0200] ======================================================================== apticron has detected that some packages need upgrading on: bluestar.domo.reto The following packages are currently pending an upgrade: libxml2 2.7.8.dfsg-2+squeeze1 libxml2-utils 2.7.8.dfsg-2+squeeze1 ======================================================================== Package Details: Lese Changelogs... --- Änderungen für libxml2 (libxml2 libxml2-utils) --- libxml2 (2.7.8.dfsg-2+squeeze1) stable-security; urgency=low * xpath.c: Fix some potential problems on reallocation failures. Closes: #628537. ======================================================================== You can perform the upgrade by issuing the command: aptitude full-upgrade as root on bluestar.domo.reto
Brav folgte ich dem Vorschlag, meldete mich mit PuTTY per SSH als Administrator root auf dem Linux Home Server bluestar an und und gab in der Shell ein:
root@bluestar:~# aptitude
full-upgrade
Die folgenden Pakete werden aktualisiert: libxml2 libxml2-utils 2 Pakete aktualisiert, 0 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert. Ersatz für libxml2 wird entpackt ... Ersatz für libxml2-utils wird entpackt ... libxml2 (2.7.8.dfsg-2+squeeze1) wird eingerichtet ... libxml2-utils (2.7.8.dfsg-2+squeeze1) wird eingerichtet ... Aktueller Status: 0 Aktualisierungen [-2].
07.06.2011 21:10
Start der Admin-Doku
Ein neuer Artikel ist fertig: "LHS für Administratoren".
- Zugriff per Webinterface
- Zugriff per Shell/SSH
- Zugriff per Remote-Desktop
Weitere Artikel befinden sich in Vorbereitung.
07.06.2011 20:56
Aufgabenliste 07.06.2011
todo -cvs
Aufgabenliste LHS 3.(added 29.05.2011 15:25) Blog-Artikel schreiben: Betrieb des LHS ueberwachen. (logcheck, logwatch, collectd) 4.(added 07.06.2011 20:46) Datensicherung durchfuehren und dokumentieren. 5.(added 29.05.2011 15:27) Ausgewaehlte Dienste ueberpruefen. (samba, winbind, swat) 6.(added 07.06.2011 20:47) Einbindung des LHS in Domaene unter Windows 2008 darstellen.
07.06.2011 20:43
Systemsensoren 07.06.2011
sensors -A
coretemp-isa-0000 Core 0: +38.0°C (crit = +100.0°C) coretemp-isa-0002 Core 1: +38.0°C (crit = +100.0°C) w83627thf-isa-0290 +5V: +4.88 V (min = +4.51 V, max = +5.49 V) 5VSB: +4.93 V (min = +4.51 V, max = +5.49 V) Vbat: +3.28 V (min = +2.70 V, max = +3.30 V) temp1: +47.0°C (high = +96.0°C, hyst = +0.0°C) sensor = thermistor temp2: +72.0°C (high = +80.0°C, hyst = +75.0°C) sensor = thermistor temp3: +72.0°C (high = +80.0°C, hyst = +75.0°C) sensor = thermistor beep_enable:enabled
06.06.2011 14:04
Ping im LAN am 06.06.2011
ping -c 9
blackbox.domo.reto
PING blackbox.domo.reto (192.168.1.1) 56(84) bytes of data. 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=1 ttl=128 time=15.6 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=2 ttl=128 time=10.1 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=3 ttl=128 time=8.88 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=4 ttl=128 time=9.78 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=5 ttl=128 time=5.51 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=6 ttl=128 time=7.90 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=7 ttl=128 time=5.40 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=8 ttl=128 time=3.97 ms 64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=9 ttl=128 time=5.60 ms --- blackbox.domo.reto ping statistics --- 9 packets transmitted, 9 received, 0% packet loss, time 8009ms rtt min/avg/max/mdev = 3.971/8.091/15.602/3.354 ms