# [Sicherheitsfrage] md5 aller binarys erstellen

## xraver

Hallo,

manchmal spurt mein rootserver nicht so wie er soll. Angriffe husten manchmal den einen oder anderen Service um.

Da ich nun ständig schiss habe, das doch mal jemand eingebrochen ist, möchte ich von allen Binarys eine md5-Summe erstellen und diese gelegendlich über alles Files laufen lassen. Gibt es da vileicht eine Möglichkeit? Automatisiert währe auch nicht verkehrt.

Also, was soll das Tool können;

-md5 aller Files (ausser var und logs) erstellen

-md5 gegen die Files checken.

-mehr Optionen - ja bitte  :Wink: 

Das erstellte File mit den md5-Summen möchte ich natürlich auf einen anderen Rechner aufbewahren.

Danke für Ideen zu diesem Thema.

Aja, ScriptKiddeis nerven total. (Aber das kennt der genervte Admin ja)

----------

## think4urs11

nimm Aide bzw. tripwire

http://www.linux-magazin.de/heft_abo/ausgaben/2004/04/hilfe_bei_der_spurensuche

http://gentoo-wiki.com/Setting_Up_Tripwire

----------

## xraver

Ah, das schaut doch schon mal interessant aus.

Danke für die Links. Da hab ich ja diese Nacht eine Menge an Dokus zu studieren.

----------

## hitachi

Es gehört zwar in die Ecke ScriptKiddeis aber es sind auch einige Ideen für generelle Einstellungen dabei.http://blinkeye.ch/mediawiki/index.php/SSH_Blocking zb  *Quote:*   

>   Root access
> 
> I strongly suggest disabling root access in /etc/ssh/sshd_config:
> 
> ```
> ...

  Man kann es ja als Gedankenanregung nutzen.

----------

## Knieper

 *xraver wrote:*   

> manchmal spurt mein rootserver nicht so wie er soll. Angriffe husten manchmal den einen oder anderen Service um.

 

Darf man fragen welche? (Es heißt übrigens "wäre" - fuer die naechsten >20 Beitraege (und "gelegentlich" und "vielleicht" und ...  :Wink: ))

 *Quote:*   

> Da ich nun ständig schiss habe, das doch mal jemand eingebrochen ist, möchte ich von allen Binarys eine md5-Summe erstellen und diese gelegendlich über alles Files laufen lassen.

 

Aber hoffentlich von einem anderen System aus. Ich erwaehne es nur sicherheitshalber, es gibt da Komiker...

----------

## manuels

nur ne kurze Anmerkung: MD5 ist nicht sicher.

Für sicherheitsrelevante Bereiche sollte SHA oder RIPE genutzt werden.

----------

## think4urs11

 *manuels wrote:*   

> Für sicherheitsrelevante Bereiche sollte SHA oder RIPE genutzt werden.

 

Dann aber bitte konsequent sein und SHA256/384/512 nutzen; auch für SHA1 sind Angriffe bekannt um eine Kollision weit schneller als mittels brute force zu finden. Aktuell sind das 2^69 (anstatt 2^80) Versuche, also ¨2000 mal schneller.

Derzeit sind diese Angriffe vielleicht noch nicht so 'leicht' wie bei md5 durchzuführen aber im Securitybereich ist ein 'noch taugts' sehr schnell ein 'ups, sch...ade'.

Weit wichtiger als die Wahl zwischen md5 oder sha ist der Tip von xraver die hashes nur auf sicheren RO-Medien zu lagern (und natürlich nur aus einer sicheren Umgebung heraus die Hashes zu erstellen, z.B. von einer Live-CD aus).

----------

## xraver

@hitachi

Danke für den Tip, jedoch hab ich sshd meiner Meinung nach Ausreichend abgedichtet. Das ist das erste was ich tue.

IMHO müsste das reichen. Was ich getan habe

[*]Anderer Port (nicht besonders sicher aber gegen Scriptkiddis schonmal gut)

[*]public-key Verfahren mit Password

[*]nur ein User / kein root Login

[*]denyhosts (sehr sensibel eingestellt)

Wer meint das Port umstellen Blödsinn ist, seid dem ich einen anderen Port verwende hat denyhosts gar nix mehr zu tun  :Smile: . Von N login versuchen am Tag runter auf 0. 

Sonstige sinnvolle Ideen sind natürlich willkommen.

 *Knieper wrote:*   

> 
> 
> Darf man fragen welche? (Es heißt übrigens "wäre" - fuer die naechsten >20 Beitraege (und "gelegentlich" und "vielleicht" und ... ))

 

Wenn ich das mal genau wüsste. Das letzte mal war es so das mein httpd so viele mysql-Aufrufe abgesetzt hat das die ganze Maschine kaum noch reagierte.

Notfall-Reset von Provider musste gestartet werden. Jedesmal wenn ich dann apache wieder gestartet habe war Minuten später wieder das gleiche los.

Dabei habe ich nur drupal und ein CGI laufen gehabt, also nix selbst geschriebenes. Da ich nun nicht wusste was nun genau los ist, auch die Logs gaben nicht viel her, entschied ich mich das System diesmal neu zu installen. Daher auch diesmal der Wunsch Checksummen aller Files zu erstellen. Hab eben Schiss das doch mal jemand einsteigt.

Aja, zur Rechtschreibung - ich verlass mich wohl da zu viel auf die Rechtschreibprüfung vom FF. Doch ich will es mir merken.

 *Knieper wrote:*   

>  *Quote:*   Da ich nun ständig schiss habe, das doch mal jemand eingebrochen ist, möchte ich von allen Binarys eine md5-Summe erstellen und diese gelegendlich über alles Files laufen lassen. 
> 
> Aber hoffentlich von einem anderen System aus. Ich erwaehne es nur sicherheitshalber, es gibt da Komiker...

 

Na sicher, sonst wäre es ja sinnlos.

 *manuels wrote:*   

> MD5 ist nicht sicher. 

 

Mh, willst du damit sagen das es für meinen Einsatzzweck nicht geeignet ist?

Würde das heißen das es jemand schaffen könnte ein File so zu manipulieren das es danach immer noch die gleiche Checksumme hat?

----------

## think4urs11

 *xraver wrote:*   

> Würde das heißen das es jemand schaffen könnte ein File so zu manipulieren das es danach immer noch die gleiche Checksumme hat?

 

Nicht manipulieren - schlicht gegen ein komplett anderes File austauschen das den gleichen md5 hash erzeugt; siehe den Link oben.

Man kann einem Hacker aber die Sache schwer bis unmöglich machen. Zum einen ist (wahrscheinlich) die Filegröße von Original und Fake unterschiedlich und zum anderen kann man ja auch statt nur eines md5 zusätzlich einen sha hash erzeugen lassen. Es dürfte in den nächsten Monaten bis Jahren relativ unwahrscheinlich sein das es jemand schafft ein Fake zu erzeugen das beide Hashes gleichzeitig 'verarscht'.

Und zum Thema SSH: Protocol 2  sshv1-logins sollte man komplett unterbinden

One time passwords wären eine weitere sehr elegante Möglichkeit.

----------

## Gibheer

Ich richte auch gerade meinen eigenen Server ein, der erste ausserhalb meiner Reichweite (ich kann nicht mehr selber Hand anlegen) und hab auch fast alles so weit abgedichtet, wie ich es einschaetzen kann.

Ich habe dazu auch dieses etwas aeltere Gentoo-Howto benutzt. Was stimmt an diesem howto noch bzw. was ist schon gnadenlos veraltet?

Waere schoen, wenn ihr da mithelfen koenntet  :Smile: 

----------

## xraver

 *Think4UrS11 wrote:*   

>  Protocol 2  sshv1-logins sollte man komplett unterbinden
> 
> 

 

Ist das nicht schon per default deaktiviert?

Ich verwende Debian (für Gentoo ist die Kiste leider zu lahm) und musste feststellen das einige Geschichten von Haus aus schon sicher eingestellt sind. Wie z.b die php-Config.

Ich wollte mich mit einiger Literatur an die Konfiguration setzen und stellte fest das alle Interessanten Sicherheitsfeatures schon gesetzt waren.

----------

## Knieper

@Gibheer: Und wir sollen nun raten, welche Dienste laufen und was Du schon gemacht hast? Ich wuerde zB. kein PAM verwenden, da es in der Vergangenheit nicht gerade durch Sicherheit glaenzte. Ansonsten gilt wie immer: alles runterschmeissen, was man nicht unbedingt braucht und vernuenftige Alternativen einsetzen - also kein bind, sendmail...

@xraver: Bei den langen Buglisten von PHP und leider inzwischen auch von Drupal, kannst Du fast sicher sein, dass es zu beiden Exploits gibt, die vorerst nur bestimmten Kreisen bekannt sind.

----------

## xraver

 *Knieper wrote:*   

> 
> 
> @xraver: Bei den langen Buglisten von PHP und leider inzwischen auch von Drupal, kannst Du fast sicher sein, dass es zu beiden Exploits gibt, die vorerst nur bestimmten Kreisen bekannt sind.

 

Jap, das kann ich mir vorstellen. Nur ich arbeite mit Drupal gerne und möchte darauf auch nicht verzichten. Ich mag Drupal eben und bin begeistert.

Vieleicht sollte ich mir mal doch andere php Alternativen ansehen als nur das Standard mod_php. Was gibt es da für Alternativen und vor allem - bringen die was?

Ich seh schon, der Thread artet zu einem allgemeinen Sicherheitsthread für Server aus und bald kommen die Mods mit der Schere.....

----------

## Gibheer

 *Knieper wrote:*   

> @Gibheer: Und wir sollen nun raten, welche Dienste laufen und was Du schon gemacht hast? Ich wuerde zB. kein PAM verwenden, da es in der Vergangenheit nicht gerade durch Sicherheit glaenzte. Ansonsten gilt wie immer: alles runterschmeissen, was man nicht unbedingt braucht und vernuenftige Alternativen einsetzen - also kein bind, sendmail...

 

Es ging mir eher weniger darum herauszufinden, was ich alles falsch eingestellt habe, sondern eher, was an diesem Howto eventuell nicht mehr aktuell ist.

@xraver: entschuldigung, dass ich deinen Thread dazu missbrauche  :Confused:  Haette mir auch aufgehen koennen.

----------

## xraver

 *Gibheer wrote:*   

> @xraver: entschuldigung, dass ich deinen Thread dazu missbrauche  Haette mir auch aufgehen koennen.

 

Och, dich meine ich ja gar nicht so. Hab ja selbst OT Fragen  :Wink: .

----------

