Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Aus dem Alltag eines Sysadmin: Whowatch & Co.<br />
Ohne Besuchsrecht<br />
Einführung 09/2013<br />
Sysadmin<br />
Ganz ohne konkreten Anlass macht Sysadmin-Kolumnist Charly ab und an einen kleinen Rundgang um seine<br />
Server und schaut nach Angreifern. Dafür hat er ein kleines Instrumentarium paratliegen. Charly Kühnast<br />
www.linux-magazin.de<br />
59<br />
Inhalt<br />
60 E-Mails bereinigen<br />
Verräterische Header von E-Mails geben<br />
unnötig viele Auskünfte übers LAN.<br />
66 <strong>Linux</strong> by Microsoft<br />
Im VM-Depot bietet der Software-Riese<br />
jede Menge <strong>Linux</strong>-Images für seine<br />
Azure-Cloud an.<br />
68 Open Stack und Hyper V<br />
Eine italienische Firma hilft Microsoft und<br />
bringt Open Stack auf Windows-Hosts.<br />
Jeder Server, der IP-mäßig im Internet<br />
steht, bekommt ungebetenen Besuch.<br />
Die üblichen Scans und skriptgesteuerten<br />
Flächenbombardements tropfen bei meinen<br />
Geräten einfach ab, etwa durch geschicktes<br />
Firewalling, Port Knocking [1]<br />
oder mit Zusatztools wie Fail2Ban [2].<br />
Damit mir darüber hinaus niemand ein<br />
Ei legt, benutze ich die beiden Rootkit-<br />
Jäger Rkhunter [3] und Chkrootkit [4].<br />
Letzterer bezichtigt meinen DHCP-Server<br />
leider der Paketschnüffelei:<br />
eth0: PACKET SNIFFER(/usr/sbin/dhcpd[28382])<br />
Das ist ein bekannter False Positive, den<br />
ich ignoriere. Als Zwischenbericht kann<br />
ich vermelden, dass meine Kammerjäger<br />
bislang ohne Beute geblieben sind.<br />
Trotzdem gehe ich gelegentlich auf Patrouille<br />
und schaue, ob sich ein Server<br />
Abbildung 1: In der Baumansicht präsentiert Whowatch alle Prozesse im System.<br />
merkwürdig benimmt. Dazu benutze ich<br />
gerne Whowatch [5]. Das Tool startet<br />
im Terminal mit einer Prozessliste, in der<br />
zweiten Spalte sehe ich deren Besitzer. In<br />
der dritten zeigt Whowatch, ob der User<br />
lokal, über SSH, Telnet oder auf andere<br />
Weise angemeldet ist. Danach folgt bei<br />
entfernten Benutzern die IP-Adresse, bei<br />
lokalen sehe ich »:0«.<br />
Steuern per Hotkey<br />
Jetzt habe ich zwei Möglichkeiten,<br />
durch die Informationen zu navigieren:<br />
Ich kann mit den Pfeiltasten einen Zeile<br />
auswählen, [Enter] drücken und erhalte<br />
eine Baumansicht mit den zugehörigen<br />
Prozessen wie Abbildung 1. Ein Druck<br />
auf [O] (Owner) blendet die Anzeige des<br />
Prozesseigentümers ein und aus, [D] (Details)<br />
erzeugt ein Fenster mit genauen<br />
Informationen über den Prozess.<br />
Als Möglichkeit zwei tippe ich [T] (Tree<br />
View) für alle laufenden Prozesse. Und<br />
auch in dieser Baumansicht bekomme<br />
ich per [D] (Details) genauere Informationen.<br />
Mit [L] (List of Signals) lasse ich<br />
mir die Steuersignale anzeigen, die ich<br />
dem Prozess schicken kann, etwa »HUP«,<br />
»INT«, »TERM« und im Notfall »KILL«.<br />
Den Status des Gesamtsystems, insbesondere<br />
was die Speicherverwaltung angeht,<br />
blende ich mit [S] (Sysinfo) ein,<br />
hierbei lässt Whowatch die Gesamtlast<br />
im Top-Stil über den Bildschirm zappeln<br />
(Abbildung 2).<br />
Gefunden habe ich bei meinen Server-<br />
Rundgängen bislang nichts, außer ein<br />
wohliges Gefühl von Sicherheit. (jk) n<br />
Infos<br />
[1] Firewall Knock Operator Fwknop:<br />
[http:// www. cipherdyne. org/ fwknop/]<br />
[2] Fail2Ban: [http:// www. fail2ban. org]<br />
[3] Rkhunter: [http:// rkhunter. sourceforge. net]<br />
[4] Chkrootkit: [http:// www. chkrootkit. org]<br />
[5] Whowatch:<br />
[http:// whowatch. sourceforge. net]<br />
Abbildung 2: Top grüßt aus der Ferne, wenn Whowatch auf den Tastendruck [S] die Gesamtlast anzeigt.<br />
Der Autor<br />
Charly Kühnast administriert<br />
Unix-Syste me im Rechenzentrum<br />
Niederrhein. Zu seinen<br />
Aufgaben gehören Sicherheit<br />
und Verfügbarkeit der<br />
Firewalls und der DMZ.