August 2011 Archive
11.08.2011 08:21
Speicherkontingente 11.08.2011
repquota -s /home /var
*** Report für user Quotas auf Gerät /dev/mapper/vg1-home Blockgnadenfrist: 7days; Inodegnadenfrist: 7days Platz Limits Dateilimits Benutzer belegt weich hart Gnade belegt weich hart Gnade ---------------------------------------------------------------------- root -- 44K 0K 0K 5 0 0 main -- 404K 100M 121M 94 0 0 test -- 28K 100M 121M 7 0 0 info -- 40K 100M 121M 11 0 0 afk -- 49232K 256M 288M 158 0 0 krr -- 29212K 256M 288M 47 0 0 mk -- 140K 81920K 100M 23 0 0 ak -- 28K 81920K 100M 8 0 0 *** Report für user Quotas auf Gerät /dev/mapper/vg1-var Blockgnadenfrist: 7days; Inodegnadenfrist: 7days Platz Limits Dateilimits Benutzer belegt weich hart Gnade belegt weich hart Gnade ---------------------------------------------------------------------- root -- 785M 0K 0K 71545 0 0 www-data -- 236K 0K 0K 20 0 0 list -- 264K 0K 0K 49 0 0 nobody -- 60K 0K 0K 15 0 0 main -- 2044K 100M 121M 10 0 0 ntp -- 8K 0K 0K 2 0 0 arpwatch -- 12K 0K 0K 3 0 0 avahi -- 36K 0K 0K 17 0 0 clamav -- 97500K 0K 0K 194 0 0 fetchmail -- 276K 0K 0K 69 0 0 xrdp -- 12K 0K 0K 3 0 0 amavis -- 33188K 0K 0K 848 0 0 radvd -- 8K 0K 0K 2 0 0 bind -- 528K 0K 0K 132 0 0 postfix -- 28K 0K 0K 5 0 0 logcheck -- 20K 0K 0K 5 0 0 nagios -- 36K 0K 0K 7 0 0 statd -- 20K 0K 0K 5 0 0 afk -- 6424K 256M 288M 41 0 0 krr -- 37224K 256M 288M 2 0 0 mk -- 1876K 81920K 100M 2 0 0 ak -- 8K 81920K 100M 2 0 0
Bei den hervorgehobenen Quotaeinträgen handelt es um die vier rechnerlokalen Benutzerkonten (Accounts) info, main, root und test sowie vier Konten aus der Domäne domo.reto für die eigentlichen Benutzer des LHS mit den Anmeldnamen afk, ak, krr und mk.
root@bluestar:~# getent passwd root main test info afk krr ak mk
root:x:0:0:root:/root:/bin/bash main:x:1000:1000:Hauptbenutzer:/home/main:/bin/bash test:x:1001:1001:Beispielbenutzer:/home/test:/bin/bash info:x:1003:1004:info:/home/info:/bin/bash afk:*:101127:100513:Anatoli Frederick Kinotabi:/home/DOMO/afk:/etc/pdmenurc krr:*:101132:100513:Krystina Rudolfinie Rafenklau:/home/DOMO/krr:/etc/pdmenurc ak:*:101135:100513:Anastasia Klimmzugteil:/home/DOMO/ak:/etc/pdmenurc mk:*:101134:100513:Monogolfia Kilifilitram:/home/DOMO/mk:/etc/pdmenurc
Die echten Namen der vier LHS-Benutzer wurden verfremdet. Jede Ähnlichkeit mit real existierenden Personen ist rein zufällig.
Weiter Einblicke in die Konfiguration der Benutzerkonten, Gruppen und Berechtigungen gibt es in einem künftige Blogbeitrag.
01.08.2011 08:22
Rootkit Hunter anpassen
Der Linux Home Server wird zeitgesteuert per cronjob regelmäßig sicherheitsüberprüft. Dabei kommt unter anderem rkhunter zum Einsatz.
Nach einer Softwareaktualisierung fand sich in den E-Mails des Systemadministrators neben anderen die folgende, hier gekürzt wiedergegebene Nachricht:
Betreff: [rkhunter] bluestar.domo.reto - Daily
report
Warnung: Dateieigenschaften haben sich geändert: Datei: /usr/bin/curl Aktueller Hash-Wert: ... Gespeicherter Hash-Wert: ... Aktueller Knoten (inode): ... Gespeicherter Knoten (inode): ... Aktuelle Zeit der letzten Dateiänderung: ... Gespeicherte Zeit der letzten Dateiänderung : ... Warnung: Dateieigenschaften haben sich geändert: Datei: /usr/bin/perl [...] Eine oder mehrere Warnungen während der System-Überprüfung gefunden. Bitte überprüfen Sie die Log-Datei (/var/log/rkhunter.log)
Die Log-Datei endet mit folgenden Zeilen:
/var/log/rkhunter.log
[07:39:51] Zusammenfassung der Systemüberprüfung [07:39:51] ===================== [07:39:51] [07:39:51] Dateieigenschaften-Überprüfung... [07:39:51] Dateien überprüft: 135 [07:39:51] Verdächtige Dateien: 2 [07:39:51] [07:39:51] Rootkit-Überprüfungen... [07:39:51] Rootkits überprüft : 248 [07:39:51] Mögliche Rootkits: 0 [07:39:51] [07:39:51] Dauer der System-Überprüfung: 1 minute and 42 seconds
Da in diesem Fall eine gewollte Softwareaktualisierung stattgefunden hat, muss nun dem RootKit Hunter mitgeteilt werden, dass die Änderung der Dateieigenschaften in Ordnung ist.
root@bluestar:~# rkhunter --propupd
/usr/bin/curl,/usr/bin/perl
[ Rootkit Hunter Version 1.3.6 ] Datei updated: gesucht nach 162 Dateien, gefunden wurden 2 von 135
Wenn man anschließend rkhunter manuell ausführt, enthält die Log-Datei keine Hinweise mehr auf verdächtige Dateien.