Linux Security
Open Source Software wird gegenüber kommerziellen Lösungen immer wichtiger. Addison-Wesley trägt dieser Entwicklung Rechnung mit den Büchern der Open Source Library. Administratoren, Entwickler und User erhalten hier professionelles Know-how, um freie Software effizient einzusetzen. Behandelt werden Themen wie Betriebssysteme, Netzwerke und Sicherheit als auch Programmierung. Eine Auswahl aus unserem Programm: Linux für den fortgeschrittenen Systemadministrator, der lernt, wie man Linux bei verteilten Netzumgebungen einsetzt. Die vierte Auflage wurde durchgehend überarbeitet, aktualisiert und erweitert. Wesentliche Neuerungen betreffen Linux-Standards, XML-Tools, Internet-Zugang mit DSL, VPNs, BIND9/dnssec. Linux-Systemadministration Jochen Hein ca. 640 Seiten EUR 49,95 [D], sFr 77,50 ISBN 3-8273-1992-7
Josef Brunner
Linux Security Sicherheit unter Linux mit Open-Source-Tools
eBook Die nicht autorisierte Weitergabe dieses eBooks an Dritte ist eine Verletzung des Urheberrechts!
An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam
Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich. Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig.
Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Produkt wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.
05 04 03 02 01 ISBN 3-8273-1999-4
© 2002 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: Marco Lindenbeck (
[email protected] ) Lektorat: Frank Eller,
[email protected] Korrektorat: Simone Meißner, Fürstenfeldbruck Herstellung: Elisabeth Egger,
[email protected] CD-Mastering: Gregor Kopietz,
[email protected] Satz: reemers publishing services gmbh, Krefeld, www.reemers.de Druck: Bercker, Kevelaer Printed in Germany
Kapitelübersicht Vorwort
IX
1
Intrusion Detection Systems
1
2
Netzwerk-Tools
3
Systemaudit
149
4
Filesystem Integrity Checker
205
5
Verschlüsselung
231
6
Tools
305
7
Remoteadministration
325
Stichwortverzeichnis
501
47
Inhaltsverzeichnis Vorwort 1
2
3
4
5
6
Intrusion Detection Systems
1
1.1
Linux Intrusion Detection System (LIDS)
1
1.2
Snort
13
Netzwerk-Tools
47
2.1
Traceroute
47
2.2
IPTraf
52
2.3
NTop
83
2.4
Tcpdump
120
Systemaudit
149
3.1
Nmap
149
3.2
Nessus
161
3.3
VPASS
202
Filesystem Integrity Checker
205
4.1
Tripwire
205
4.2
MD5Sum
230
Verschlüsselung
231
5.1
Gnu PG (GPG)
231
5.2
OpenSSH
260
Tools 6.1
7
IX
305 Superuser Do (sudo)
305
Remoteadministration
325
7.1
325
Webmin
Stichwortverzeichnis
501
Vorwort Worum es in diesem Buch geht Um zu erklären, worum es in diesem Buch geht, sollte ich Ihnen als Erstes sagen, worum es nicht geht. Das Buch beinhaltet keine detaillierte Beschreibung, wie man ein Linuxsystem sicher installiert und konfiguriert. Es vermittelt kein Wissen über die Erstellung dezidierter Sicherheitsrichtlinien oder bestimmter Policies. Es will und kann nicht perfekt sein. Es wird sicherlich nicht 100%ig ohne Fehler sein. Ich denke, es gibt genügend Bücher, die die ersten 300 Seiten damit »verschwenden« dem Leser Wissen zu vermitteln, das er bereits aus vielen anderen Büchern kennt oder das er auf Grund seiner Stellung (Administrator) kennen sollte. Ich habe dieses Buch als eine Art »ganz großes Howto« geschrieben, das die besten (oder zumindest einen kleinen Teil der besten) Sicherheitsprogramme, die unter der GPL stehen, beschreibt. Sie werden lernen, wie Sie bestimmte Tools adäquat zur Problemlösung einsetzen. Auch hier habe ich wieder versucht mich von den Konkurrenzwerken zu distanzieren, indem ich alle verfügbaren Features, Optionen, Argumente und Schlüsselwörter eines Programms aufführe, so dass der mühselige Blick in das Manual vermieden werden kann. Sie müssen aber kein Linuxprofi sein, um dieses Buch zu verstehen. Ich habe mich bemüht die Optionen der einzelnen Programme ausführlich zu besprechen, so dass auch Einsteiger und Neulinge schnell in die Materie eingeführt werden. Die Kapitel dieses Buches sind dabei so geschrieben, dass sie völlig unabhängig voneinander gelesen werden können. Das heißt, die Kapitel bauen nicht aufeinander auf. Dennoch habe ich an zwei oder drei Stellen des Buches einen Querverweis eingefügt, so dass Sie Hintergrundwissen und weitere Informationen im entsprechenden Kapitel nachlesen können. Als Zusammenfassung kann man sagen, dass dieses Buch kein Meisterwerk oder gar ein neues Referenzwerk ist. Es ging einfach nur darum, dem Leser Tools vorzustellen, mit denen er sein Linuxsystem absichern kann.
Die Website zum Buch Obwohl ich immer versucht habe ein Programm komplett zu beschreiben, kam es des Öfteren vor, dass ich gerne noch mehr Wissen vermittelt hätte. Auf Grund der eingeschränkten Seitenzahl war mir dies aber leider nicht immer möglich, also habe ich mich dazu entschlossen, ein kleines Portal zum Buch ins Netz zu stellen, welches weiterführende Informationen, Links und Downloads zu den entsprechenden Programmen bieten wird.
X
Auf der Webseite finden Sie ein Formular, das es Ihnen ermöglicht, Ihre Kritik oder vielleicht sogar Ihr Lob an mich zu senden. Über beides freue ich mich sehr. Zögern Sie auch nicht, mir Ihre Fragen zu schicken. Ich werde diese so schnell wie möglich beantworten. Sie finden die Seite zum Buch unter der Adresse: www.triblen.de
Danksagungen Als Erstes möchte ich Ihnen danken, denn ohne Sie wäre dieses Buch wohl nie zustande gekommen (Warum sollte man ein Buch schreiben, wenn es niemand liest?). Es gibt aber noch einige Personen mehr, ohne die dieses Buch nie hätte realisiert werden können. Als erstes möchte ich daher meiner Lebensgefährtin danken, die mich immer unterstützt und angetrieben hat. Ich hoffe, wir können in der nächsten Zeit mehr Zeit mit einander verbringen. Auch meinen Eltern gebührt großer Dank. Ohne deren Förderung, Engagement und finanzielle Unterstützung hätte ich es nie so weit gebracht. Als Nächstes möchte ich noch meinem Freund Andy (AJ) danken, der, obwohl er ein absoluter Windowsfan ist, mir sehr oft weitergeholfen hat (solange es sich nicht um Linux handelte) und mir immer zur Seite stand. Für die vielen ruhigen Arbeitsstunden möchte ich noch den Eltern meiner Lebensgefährtin danken, die mir ihren Ruheraum, wann immer ich ihn brauchte, zur Verfügung gestellt haben. Es gibt noch so viele Menschen da draußen denen ich für so vieles danken muss. Da ich auf keinen Fall eine Abstufung oder Bewertung vornehmen will, werde ich diese in einer Liste aufzählen: Roland Grassl (für die vielen Linuxabende), Inge (für die vielen Abende), Stefan Grossberger und Roland Russwurm, Markus, Patrick, Martin (für die Abende und die Gespräche über die Sicherheit allgemein), Meik und Christian (für mein neuestes Projekt), Stefan (Für das »Multimediahacking«), allen Bars in München und Augsburg, die mir viel Raum zum Arbeiten, Inspiration und Kraft gaben, allen Programmierern, die Linux und die freien Programme so groß gemacht haben, Geri. Josef Brunner, im Juli 2002
[email protected]
1 Intrusion Detection Systems Wie man aus dem Namen schon erkennen kann, handelt es sich bei Intrusion Detection Systemen nicht um Abwehrprogramme, die Hacker davon abhalten sollen in das System einzudringen, sondern um eine Art Last Line of Defense, die erkennen kann, ob ein Systemeinbruch stattgefunden hat, um eventuell darauf zu reagieren. Wir werden in diesem Kapitel zwei Systeme solcher Art besprechen. Zum einen werden wir das LIDS behandeln. Bei diesem Programm handelt es sich um ein hostbasierendes IDS, welches darauf beschränkt ist, alle Vorgänge, die auf dem lokalen System vor sich gehen, zu überwachen. Danach werden wir uns mit Snort beschäftigen. Dieses Tool wird als Sensor auf der Netzwerkebene eingesetzt, um entweder den ganzen Netzwerkverkehr oder Teile davon zu überwachen.
1.1
Linux Intrusion Detection System (LIDS)
Wir sind uns sicher alle einig, dass Open Source der beste Weg zur Sicherheit ist. Freunde eines anderen Betriebssystems werden an dieser Stelle anfügen, dass Mailinglisten wie Bugtraq oder ähnliche meistens nur von neuen Sicherheitslücken in Open-Source-Produkten berichten und kaum von Fehlern in kommerziellen Systemen. Natürlich vergessen Vertreter dieser Position nur zu gerne, dass zumeist auch ein Patch neben der Sicherheitslücke veröffentlicht wird und damit gewährleistet wird, dass System die von fleißigen Administratoren überwacht und betreut werden, somit fast immer auf dem neuesten Stand der Sicherheit sind. Doch leider (oder besser Gott sei Dank) sind Administratoren auch nur Menschen und haben Urlaub oder vergessen den Patch aufzuspielen. An sich wäre eine dadurch entstehende verspätete Einspielung der Bugfixes noch kein allzu großes Problem, doch der Umstand, dass auch Hacker in Mailinglisten stehen und somit auch alle sicherheitsrelevanten Meldungen bekommen, macht diese Nachlässigkeit zu einem riskanten Spiel. Falls nun ein Hacker auf seinem Streifzug im Internet ein System entdeckt, das einen Server mit einer bekannten Sicherheitslücke fährt, wird er sich wahrscheinlich an die Entwicklung eines Exploits machen oder – falls er der Atomsprache C nicht mächtig ist – eine der bekannten Seiten für solche Eindringlingsprogramme besuchen und sich dort das nötige Werkzeug beschaffen. Nachdem der Hacker seinen Angriff erfolgreich durchgeführt hat, kann es durchaus sein, dass er sich mit Rootrechten durch das infiltrierte System bewegt und ihm nun alle Möglichkeiten zur Verfügung stehen, um mit dem System zu machen, was immer er will. Um dies zu verhindern, können Sie das LIDS einsetzen.
1.1.1
Was kann ich mit LIDS schützen?
Das Filesystem Der Schutz des Filesystems ist wohl der häufigste Grund ein IDS zu installieren. Dabei kommt es aber nicht darauf an, welches Filesystem Sie haben, da das LIDS in den
2
1 Intrusion Detection Systems
VFS (Virtual File System)-Layer des Kernels eingebunden ist und deswegen nahezu alle Dateisysteme unterstützt. Um zu verstehen, wie das LIDS arbeitet, müssen Sie wissen, wie das VFS funktioniert und was hinter einigen Fachbegriffen steckt. Das VFS in Linux Das VFS in Linux ist um eine Reihe von generischen Objekttypen und Methoden, die diese Objekte aufrufen können, aufgebaut. Bei den Grundobjekten handelt es sich um Dateien, Filesystems, Inodes und Namen von Inodes. Im Folgenden werden wir auf drei dieser Objekte eingehen. Dateien Grundsätzlich ist die Eigenschaft von Dateien die, dass man sie lesen und in sie schreiben kann. Weiter können sie in den Speicher gelegt werden oder vom Speicher heraus gelesen werden. Dieses Prinzip arbeitet ähnlich dem file descriptor-Prinzip das Unix benutzt. In Linux werden Dateien durch struct file repräsentiert, welche eine bestimmte Anzahl von Methoden besitzen, die sich in struct file_operations befinden. Inodes Inodes repräsentieren ein Grundobjekt in einem Dateisystem. Diese Objekte können normale Dateien, Verzeichnisse, symbolische Links usw. sein. Das VFS macht keine großen Unterschiede zwischen den verschiedenen Objekten, sondern überlässt es dem aktuellen Dateisystem, diese angemessen zu handhaben. Außerdem liegen über dem VFS noch einige höhere Levels im Kernel, die die unterschiedlichen Objekte verschieden behandeln. Dateisysteme Ein Dateisystem ist eine Sammlung von Inodes, wobei eine davon ganz klar als Root erkennbar ist. Es ist durch einige Charakteristika gekennzeichnet, die im gesamten Dateisystem einheitlich angewandt werden. Sie kennen sicherlich schon einige dieser Merkmale. Wie zum Beispiel das READ-ONLY-Flag oder der blocksize. Jedes Dateisystem wird durch struct super_block repräsentiert und besitzt einige Methoden, die sich im struct super_operations befinden. Interaktion Grob vereinfacht könnte man sagen: Wenn ein Zugriff auf das Dateisystem erfolgt, leitet das System-Call-Interface diese Anfrage nicht direkt an das einzelne Dateisystem sondern zu dem VFS.
1.1 Linux Intrusion Detection System (LIDS)
3
Es wäre ziemlich unsinnig, jede Datei im Dateisystem zu schützen, da dies nur unnötig Rechenzeit kosten würde. Weiter müssen Sie beachten, dass Sie mit Sicherheit ein System so konfigurieren können, dass es den höchstmöglichen Grad an Sicherheit bietet, aber bedenken Sie, dass man damit auch noch arbeiten muss. Im Groben kann man die Dateien in einem Dateisystem, das von LIDS geschützt wird, in folgende Kategorien unterteilen:
Read Only File/Directory: Wie der Name schon sagt, können an diesen Dateien keine Änderungen vorgenommen werden (außer bei einem Update). Append Only File/Directory: Das sind Files, die nur wachsen dürfen. Dies erscheint bei der ersten Betrachtung sinnlos, man erkennt aber bald die Bedeutung solcher Dateien, wenn man sich zum Beispiel die Datei /var/log ansieht. Exception File/Directory: Es kann durchaus vorkommen, dass Sie in Ihrem Dateisystem einen Ordner haben, den Sie für äußerst wichtig halten, und ihn daher als Read Only definieren. Manchmal kann es aber vorkommen, dass sich in solch einem Directory eine Datei befindet, die auch beschrieben werden muss. Sie haben nun die Möglichkeit, diese Datei als eine Ausnahme für diesen Read-Only-Ordner zu definieren. Protection Mounting/Umouting Dateisystem: Wenn Sie ein Dateisystem schon beim Bootvorgang mounten, können Sie jedem User (inklusive Root) verbieten, einen umount–Befehl auszuführen und damit dieses Dateisystem abzuhängen. Sie können aber auch verhindern, dass durch das Einhängen eines weiteren Dateisystems das ursprüngliche überschnitten bzw. überschrieben wird.
Wir werden an dieser Stelle nicht tiefer in die Materie von VFS oder den Sourcecode von LIDS bzw. vom Kernel eingehen, da es in diesem Buch nicht um die Programmierung eines IDS geht, sondern um den Einsatz eines solchen Systems. Im Folgenden werden wir auf die Installation und auf die Konfiguration des LIDS im Detail eingehen und versuchen, Ihnen die Möglichkeiten dieses mächtigen Tools näher zu bringen.
1.1.2
Installation
Beschaffung Bevor man ein Programm installieren kann, muss man es sich beschaffen. Dies ist ein wichtiger Punkt, denn wer ein Programm installiert, sollte immer genau wissen, was er installiert. Achten Sie daher bitte immer darauf, Ihre Programme nur von vertrauenswürdigen Quellen (offiziellen Websites etc.) zu beziehen, und überprüfen Sie die (falls angegeben) md5sum. LIDS können Sie entweder von der Buchseite oder von der offiziellen Homepage bzw. der deutschen Mirrorseite downloaden. Deutsche Mirrorseite: http://www.de.lids/org/download Hauptseite: http://www.lids.org/download
4
1 Intrusion Detection Systems
Voraussetzungen Der wichtigste Bestandteil eines Linuxsystems ist der Kernel. LIDS funktioniert am besten mit einem 2.2.X-Kernel, kann aber auch mit der 2.4er Reihe betrieben werden. Ansonsten sind keine größeren Voraussetzungen mehr gegeben und wir können uns an die Installation machen. Installation Laden Sie sich das Programm von einer der oben angegebenen Seiten herunter und entpacken Sie es. Linux:~# wget www.de.lids.org/download/lids-0.10.2.2.19.tar.gz Linux:~# tar zxf lids-0.10.2.2.19.tar.gz Linux:~# cd lids-0.10.2.2.19.tar.gz
Nachdem Sie das Paket entpackt haben, müssen Sie noch den Kernel patchen. Linux:~# cp lids-0.10.2.2.19.patch /usr/src/linux Linux:~# cd /usr/src/linux Linux:~# patch –p1 < lids-0.10.2.2.19.patch
Bevor Sie Ihren Kernel konfigurieren, müssen Sie darauf achten, dass folgende Punkte ausgewählt sind, da Sie ansonsten die LIDS-Optionen gar nicht erst zur Auswahl erhalten. [*] Prompt for development and/or incomplete code/drivers [*] Sysctl Support
Nun können wir unseren Kernel konfigurieren. Welche Möglichkeiten Ihnen dabei offen stehen, werden Sie weiter unten erfahren. Doch zuvor möchte ich Sie bitten noch ein lokales Passwort (nächster Punkt) zu setzen, da ansonsten der nächste Reboot in einer Kernelpanic endet. Hinweis zu Version 0.9.12 Falls Sie vorhaben die Version 0.9.12 einzusetzen, beachten Sie bitte, dass Sie hierbei noch Änderungen vornehmen müssen. Sie müssen die Zeile CFLAGS= noch um den Eintrag –DLIDS_CONFIG ergänzen. Um das Konfigurationsprogramm zu übersetzen geben Sie bitte folgende Befehle ein. Linux:~# cd ~/lids-0.10.2.2.19/lidsadm-0.10 Linux:~ make && make install
1.1 Linux Intrusion Detection System (LIDS)
5
Vor dem ersten Booten: Bevor Sie das erste Mal booten, müssen Sie unbedingt noch ein LIDS-Passwort setzen, da der Bootvorgang ansonsten mit einer Kernelpanic endet. Sie brauchen dieses Passwort auch zum Deaktivieren des LIDS oder um in das LFS zu wechseln. Für das Setzen des lokalen Passwortes geben Sie bitte den folgenden Befehl ein: Linux~:# lidsadm –P Enter password: Verifying enter password: Wrote password into the files.
1.1.3
Konfiguration des Kernels
Nachdem wir ein lokales Passwort gesetzt haben, können wir uns getrost an die Konfiguration des Kernels machen. Falls Sie sich fragen, warum wir das lokale Passwort für diesen Schritt gesetzt haben, sei kurz erwähnt, dass ich früher genauso gedacht und das Passwort erst gesetzt habe, nachdem ich meinen Kernel konfiguriert habe. Aber ein Stromausfall und ein damit verbundener Reboot brachten mir viele Probleme ein. Seit diesem Zeitpunkt besitze ich auch daheim eine USV und setze das Passwort so früh wie möglich. Weiter oben haben wir bereits angesprochen dass man bei der Konfiguration des Kernels unbedingt folgende Optionen aktivieren sollte: [*] Prompt for development and/or incomplete code/drivers [*] Sysctl Support
Um den Kernel zu konfigurieren geben Sie bitte folgende Befehle ein: Linux:~# cd /usr/src/linux Linux:~# make mrproper Linux:~# make config
Da wir bei der Installation des Kernel gepatcht haben, bekommen wir nun folgende Option bei der Konfiguration angeboten: * * Linux Intrusion Detection System * Linux Intrusion Detection System support (EXPERIMENTAL) (CONFIG_LIDS) [N/y/?] (NEW) Y
Kerneloptionen Nun werden Sie einige der Kerneloptionen, die Ihnen bei der Konfiguration zur Verfügung stehen, kennen lernen. Um die folgenden Features zu aktivieren, beantworten Sie die Optionen mit »Y«.
6
1 Intrusion Detection Systems
(CONFIG_LIDS_HANGUP)
Terminal wird bei Sicherheitsverstoß geschlossen (CONFIG_LIDS_SA_EXEC_UP)
Zeigt beim Bootvorgang alle Dateien an, bevor LIDS startet. Ermöglicht es, eingeschleuste Programme, die LIDS umgehen sollten, zu finden. (CONFIG_LIDS_REMOTE_SWITCH)
Erlaubt auch Remote-Zugang, um LIDS zu aktivieren bzw. zu deaktivieren. (CONFIG_LIDS_ALLOW_SWICH)
Erlaubt das Ein- bzw. Ausschalten von LIDS–Optionen während des Betriebs mittels eines Passworts. (CONFIG_LIDS_NO_FLOOD_LOG)
Verhindert das Überfluten von /var durch wiederholende Logeinträge und gibt die Möglichkeit, die Zeitperiode festzulegen, in der ein Logeintrag nicht wiederholt werden darf. (CONFIG_LIDS_MAX_SACL)
Gibt an, wie viele ACL-Subjects maximal durch LIDS ermöglicht werden dürfen. (CONFIG_LIDS_MAX_OACL)
Gibt an, wie viele ACL-Objects maximal durch LIDS geschützt werden dürfen. (CONFIG_LIDS_EXEC_UP)
Verhindert das Booten des Systems, wenn ein nicht durch LIDS geschütztes Programm ausgeführt wird, bevor LIDS das System gesichert hat. (CONFIG_LIDS_MAX_PROTECTED_PID)
Gibt an, wie viele Prozesse maximal durch LIDS geschützt werden dürfen. (CONFIG_LIDS_MAX_INODE)
Gibt an, wie viele Objekte maximal durch LIDS geschützt werden dürfen. (CONFIG_LIDS_SA_THROUGH)
Meldungen über Verstöße können direkt durch den Kernel an andere Hosts weitergeleitet werden.
1.1 Linux Intrusion Detection System (LIDS)
7
(CONFIG_LIDS_ALLOW_PROG_SWITCH)
Gibt an, ob außer /sbin/lidsadm noch andere Programme die Schutzfunktionen von LIDS modifizieren können. (CONFIG_LIDS_RELOAD_CONF)
Gibt an, ob die Konfigurationsdatei /etc/lids.conf im laufenden Betrieb geupdatet werden kann. (CONFIG_LIDS_PORT_SCAN_DETECTION)
Integriert einen Portscandetektor direkt in den Kernel, so dass verschiedene Scantechniken erkannt werden können. Funktioniert auch, wenn raw-socket-Operationen unterbunden wurden. (CONFIG_LIDS_DEBUG)
Gibt ausführliche Debuginformationen aus Nachdem Sie den Kernel mit diesen Kerneloptionen konfiguriert haben, können Sie ihn kompilieren. Dazu geben Sie bitte folgende Befehle ein: Linux:~# Linux:~# Linux:~# Linux:~# Linux:~#
cd /usr/src/linux make dep make clean make bzImage cp arch/i386/boot/bzImage /boot/vmlinux-sec-2.2.19
Wenn Sie den neuen Kernel jetzt noch in den Bootmanager (/etc/lilo.conf) eintragen, werden Sie demnächst – dank LIDS, das Ihr System schützt – hoffentlich besser schlafen können.
1.1.4
Konfiguration von LIDS
Jetzt können wir uns endlich daran machen, unser IDS zu konfigurieren. Um neue Regeln hinzuzufügen benutzen wir das Programm lidsadm. Im Folgenden werden die Möglichkeiten, die man mit diesem Tool hat, anhand einer Befehlsübersicht verdeutlicht (Tabelle 1.1 bis Tabelle 1.3). Befehle
Beschreibung
-A
Fügt einen Eintrag hinzu
-D
Löscht einen Eintrag
-Z
Löscht alle Einträge Tabelle 1.1 Befehlsübersicht lidsadm
8
1 Intrusion Detection Systems
Befehle
Beschreibung
-U
Updatet dev/inode-Nummern
-L
Listet alle Einträge
-P
Setzen des Passwortes, um LISD zu deaktivieren
-S
Adminoperationen durchführen
-I
Wie -S, nur ohne Passwort
-h
Hilfe Tabelle 1.1 Befehlsübersicht lidsadm (Forts.)
ACL-Optionen
Beschreibung
-s Subject
Beliebiges Systemprogramm
-o Object
Verzeichnis, Datei oder Device
-o [Capability-Object] –t
Alle Capabilities
-j target
Für Objects: READ, APPEND, WRITE, IGNORE Für Capabilities: INHERIT, NO_INHERIT Tabelle 1.2 Befehlsübersicht lidsadm
Admin-Optionen
Beschreibung
-S – [+|-] LIDS
Aktiviert oder deaktiviert LIDS
-S – [+|-] Capability
Aktiviert oder deaktiviert eine Capability
-S -- +RELOAD_CONF
Übernimmt Konfigurationsänderung während des Betriebs Tabelle 1.3 Befehlsübersicht lidsadm
Welche Dateien soll ich schützen? Im Grunde können nur Sie diese Frage beantworten. Stellen Sie aber lieber eine Datei mehr unter die Fittiche von LIDS als eine zu wenig. Grundsätzlich sollten Sie alle sensitiven Dateien sowie Verzeichnisse schützen. Dateien wie /etc/shadow sollten auf jeden Fall geschützt werden, da ansonsten mit Hilfe eines Crackprogramms schnell Passwörter erraten werden können. Seien Sie bei solchen Aktionen aber vorsichtig, denn wenn Sie diese Datei vor allen Benutzern verstecken, kann sich keiner mehr am System anmelden, da auch dem Loginprogramm /bin/ login der Zugriff verwehrt wird. In diesem Fall regelt das LIDS dieses Problem für Sie, da es dem Loginprogramm die nötigen Rechte verleiht. Doch perfekt ist diese Lösung immer noch nicht, denn jetzt kann kein Benutzer mehr sein Passwort ändern, da das Tool /usr/bin/passwd auch keinen Zugriff mehr auf /etc/shadow hat. Man könnte zwar den ersten Schritt wiederholen und auch diesem Programm die nötigen Rechte geben, aber dann könnte auch Root die Passwörter ändern und
1.1 Linux Intrusion Detection System (LIDS)
9
wir wären wieder beim alten Problem. In einem solchen Fall müssen Sie ganz klar entscheiden, was für Sie wichtiger ist. Ein Schritt mehr in Richtung Sicherheit oder Komforterhaltung für die Benutzer. Sie könnten – falls Sie sich für die Sicherheit entscheiden – zwar die Passwörter immer noch ändern, indem Sie LIDS dazu beenden, aber bei einem System mit mehr als 100 Usern und gut durchdachten Passwortrichtlinien, die vorschreiben, dass das Passwort alle 4 Wochen geändert wird, gestaltet sich dieses Vorhaben als absolut indiskutabel. Wie Sie sehen, hat auch im Falle von LIDS die Medaille zwei Seiten. Das sollte Sie aber auf keinen Fall davon abhalten, wichtige Dateien oder Verzeichnisse wie zum Beispiel /boot zu schützen. Der hierfür benötigte Befehl lautet: Linux:~# lidsadm –A –o /boot –j READ
Beispiele: Linux:~# lidsadm –s /home/jbrunner/ls \ -o /home/jbrunnner \ -j READ
Diese Syntax (Ähnlichkeiten zu den IPCHAINS sind nicht zu übersehen) erlaubt meinem ls-Programm den Lesezugriff auf mein Homeverzeichnis. Linux:~# lidsadm –o /home/jbrunner \ -j DENY
Diese Syntax macht mein Homeverzeichnis für alle User unlesbar. Dies ist zwar eine ziemlich sinnlose ACL, macht aber die Verwendung der Syntax deutlich. Linux:~# lidsadm –S -- -RELOAD_CONF
Diese Syntax lädt während des Betriebs eine veränderte Konfiguration. Linux:~# lidsadm –A –o /var/log –j APPEND
Wie wir weiter oben schon gesehen haben, bietet uns die Option APPEND die Möglichkeit eine Datei wachsen zu lassen, schützt dabei aber ihren schon vorhandenen Inhalt. Dieser Befehl ist besonders wichtig, da die meisten (intelligenten) Angreifer ihre Spuren in den Logfiles verwischen wollen. Dabei sollte man aber beachten, dass das Programm logrotate nun auch keinen Schreibzugriff mehr hat und die Rotation somit nicht mehr stattfinden kann. Mit dem folgenden Befehl kann man diesen Missstand wiedergutmachen. Linux:~# lidsadm –A –s /usr/sbin/logrotate –o /var/log –j WRITE
Um den geregelten Systemablauf komplett zu gewährleisten, sollten Sie den Systemprogrammen ebenso Schreibzugriff geben. Linux:~# lidsadm -A –s /bin/login –o /var/log –j WRITE Linux:~# lidsadm –A –s /usr/sbin/sendmail –o /var/log/sendmail.st
10
–j WRITE Linux:~# Linux:~# Linux:~# Linux:~# Linux:~#
1 Intrusion Detection Systems
lidsadm lidsadm lidsadm lidsadm lidsadm
–A –A -A –A –A
–o –s –s –s –s
/etc/rc.d/init.d –j READ /etc/rc.d/init.d/halt –o /var/log –j WRITE /sbin/halt –o /var/log –j WRITE /sbin/init –o /var/log –j WRITE /bin/passwd –o /var/log j WRITE
LIDS beim Bootvorgang starten Sie sind jetzt an einem Punkt angelangt, an dem LIDS einen wirklich wichtigen und guten Part in Ihrer Verteidigung übernehmen kann. Damit es das aber auch nach jedem Bootvorgang macht, müssen wir den Startbefehl lidsadm –I in das Startskript der jeweiligen Distribution einbinden. Im Falle eines RedHat-Systems müssen Sie die Datei /etc/rc.d/rc.local editieren, um LIDS bei jedem Systemstart gleich mitzustarten. Der folgende Befehl erledigt das für Sie: Linux:~# echo lidsadm –I >> /etc/rc.d/rc.local
Bei SuSE-Systemen bereitet der nachfolgende Befehl Ihrem Leiden ein Ende: Linux:~# echo lidsadm –I >> /etc/inittab
1.1.5
Capabilities
Anfangs haben wir die grundlegende Problematik mit dem Thema »Root« kennen gelernt. Wir haben gesehen, dass ein vergessenes Update einem lesefreudigen Angreifer die Chance gibt, ein Serverprogramm zu kompromittieren und sich danach mit den Rechten des »gehackten« Servers im System zu bewegen. Nun könnten Sie an dieser Stelle natürlich anbringen, dass man bei diesem Problem schnell Abhilfe schaffen kann, indem man dem Server einfach keine Rootrechte gibt. Leider ist die Lösung nicht immer umsetzbar. Zwar könnte man mit etwas Herumbastelei die meisten Privilegien, die ein Programm braucht, auch ohne Rootrechte verfügbar machen, doch mit herkömmlichen Bordmitteln scheitert dieses Vorhaben meistens an der Belegung des Ports. So brauchen Programme, die unter dem Port 1024 laufen müssen, Rootrechte, um dies zu realisieren. Ein Heilmittel gegen die hier erwähnte Krankheit bieten die Capabilities. Mit Hilfe von Capabilities kann man einem Programm die nötigen Privilegien geben, ohne ihm dabei Rootrechte geben zu müssen. Man könnte quasi sagen, man spaltet die Rootrechte auf, wirft sie in einen Topf und gibt jedem Programm die Rechte, die es benötigt, um reibungslos zu funktionieren. Beim oben erwähnten Problem gibt man dem Programm beispielsweise das Recht einen Port unter 1024 zu belegen. Dabei ist zu beachten, dass der Standardlinuxkernel nur laufenden Prozessen Capabilities geben kann. Doch dies tangiert uns eher weniger, da unser Kernel mit den LIDS-Funktionen erweitert wurde.
1.1 Linux Intrusion Detection System (LIDS)
11
Der folgende Befehl zeigt, wie man einem Programm namens dr.brunner die nötigen Rechte gibt, so dass es auch unter der magischen Portgrenze von 1024 eingesetzt werden kann. Linux:~# lidsadm –s /home/jbrunner/dr.brunner \ -i -1 –o CAP_NET_BIND_SERVICE \ -j GRANT
Mit den Capabilities kann man noch viel mehr bewerkstelligen. Eine komplette Liste aller Capabilities finden Sie unter /usr/include/linux/capabilities.h. Natürlich wollen wir diesen Punkt nicht ohne ein Beispiel abschließen. Im folgenden Listing finden Sie den Befehl, der Prozesse in Ihrem System vor Programmen wie ps oder top versteckt. Linux:~# lidsadm –s /home/jbrunner/ls \ -i –1 –o GRANT
CAP_HIDDEN \ -j
Eine weitere nützliche Konfigurationsdatei für Capabilities ist /etc/lids/lids.cap. In diesem File sind alle Capabilities aufgelistet, die per Default verfügbar sind diejenigen, die hier nicht aufgeführt sind, können nur durch Sonderregelungen in den ACLs vergeben werden. Um Capabilities verfügbar zu machen muss am Anfang der Zeile ein + stehen und für die Deaktivierung ein -. Noch ein Hinweis zum Schluss: Falls einige der Befehle auf Ihrem System nicht funktionieren sollten, liegt das daran, dass sich die Befehlssyntax zwischen den einzelnen LIDS-Versionen unterscheiden kann. Werfen Sie im Zweifelsfall doch einfach einen Blick in die manpages. Im Folgenden finden Sie einige Beispiele zu Capabilities. Die vollständige Liste finden Sie in der Datei /usr/include/linux/capabilities.h. Verfügbare Capabilities
Kurzbeschreibung
CAP_CHOWN
Chown(2), chgrp(2)
CAP_DEC_OVERRIDE
Dac access
CAP_DAC_READ_SEARCH
DAC read
CAP_FOWNER
Owner ID ungleich User ID
CAP_FSETID
Effective User ID ungleich Owner ID
CAP_KILL
Reale/Effective ID ungleich Process ID
CAP_SETGID
Setgid(2) Tabelle 1.4 Beispiele zu Capabilities
12
1.1.6
1 Intrusion Detection Systems
Das System anpassen
Wir haben weiter oben schon gesehen, dass es beim Einsatz von LIDS zu Problemen kommen kann, da die meisten Verzeichnisse geschützt sind, so dass einige Programme keine Schreibrechte mehr haben und deswegen eventuell ihren Job nicht mehr verrichten können, was wiederum das System bremsen oder sogar stoppen kann. Um dies zu verhindern muss man sein System genau anpassen. Da das von der Distribution abhängt, können wir an dieser Stelle schlecht auf diese Fehlersuche eingehen. Deshalb bitten wir Sie bei Problemen mit LIDS einen Blick auf die Website des Buchs zu werfen oder schreiben Sie mir einfach eine E-Mail.
1.1.7
LIDS außer Kraft setzen
Nachdem nun das LIDS installiert und konfiguriert ist, haben Sie möglichen Angreifern das Leben wirklich erschwert. Doch nicht nur Hacker leiden unter den von Ihnen vorgenommenen Veränderungen, auch Sie werden sie ab und zu zu spüren bekommen. Denn trotz aller Sicherheit, bleibt ein System lebendig und bedarf einer Menge Pflege und Administration. Mit einem LIDS an Bord sind die Zeiten des fröhlichen Administrierens vorbei. Wie ganz am Anfang schon erwähnt ist es das Ziel eines IDS, die Privilegien von Root einzuschränken, um den Schaden an Ihrem System möglichst gering zu halten, falls es tatsächlich einmal zu einem erfolgreichen Einbruch kommen sollte. Aber nicht nur Angreifer werden gehindert bestimmte Dateien zu editieren, auch Sie als Administrator können nicht mehr wie gewohnt agieren. Doch auch hier bietet das LIDS eine Lösung. Sie haben die Möglichkeit mit Hilfe des LIDS-Passwortes einen Terminal von LIDS »zu befreien« und können dort anschließend wie gewohnt arbeiten. Sie befinden sich dann in der LIDS Free Session (LFS). Der Befehl hierfür lautet: Linux:~# lidsadm –S -- -LIDS
Für einfachere Administrationsaufgaben ist diese Methode sicherlich am besten geeignet, doch stößt sie bei komplexeren Arbeiten schnell an ihre Grenze. Einige Aufgaben bedingen das Verlassen der aktuellen Shell (z.B. Service neu starten, Reboot … .) und verlassen damit auch das LFS. Um dieses Problem zu lösen bleibt Ihnen nichts anderes übrig als das LIDS zu deaktivieren. Dies erreichen Sie mit dem folgenden Kommando: Linux:~# lidsadm –S -- -LIDS_GLOBAL
Jetzt haben Sie die Möglichkeit so zu arbeiten, wie Sie es aus LIDS-losen Zeiten gewohnt sind.
1.2 Snort
1.1.8
13
Wenn nichts mehr geht
Es kann durchaus einmal vorkommen, dass man sich verkonfiguriert. Es soll auch schon Administratoren gegeben haben, die ihr System so sicher gemacht haben, dass nicht mal mehr sie selbst Zugriff darauf hatten. Falls Ihnen das einmal mit LIDS passieren sollte, ist dies noch kein Beinbruch. Natürlich gibt es auch hierfür die passende Syntax. Geben Sie in einem solchen Fall einfach Ihrem Bootmanager (lilo) folgende Parameter: Security=0
Danach sollten Sie ohne Probleme in Ihr System kommen um das Missgeschick wiedergutzumachen.
1.2
Snort
Snort ist ein Network Intrusion Detection System (NIDS) und fungiert – wie der Name schon erkennen lässt – im Netzwerk. Die Größe des Netzwerks kann dabei vom kleinen SOHO bis zum mittelgroßen Firmennetzwerk variieren. Wichtiger als die Größe des Netzwerks ist die Positionierung. Grundsätzlich hat man dabei die Wahl, das NIDS vor oder hinter der Firewall zu installieren. Falls Sie jetzt nicht wissen, wo Sie Snort gerne einsetzen würden, wägen Sie doch einfach die Vor- und Nachteile ab. Vor der Firewall bekommt Ihr NIDS alle Angriffe gegen Ihr Netzwerk voll mit. Dies hat aber auch den Nachteil, dass ein Hacker direkt das IDS angreifen kann. Falls Sie Snort hinter der Firewall einrichten, ist es vor direkten Angriffen zwar geschützt, bekommt aber nur die Angriffsversuche mit, die durch die Firewall hindurch kommen. Außerdem können Sie – bei einem internen Einsatz – zusätzlich noch den Netzwerkverkehr überwachen, was immer wichtiger wird, da ca. 80 % aller Angriffe aus dem internen Netz kommen.
1.2.1
Funktionsweise
Um zu erklären, wie Snort funktioniert, sollten wir als Erstes einmal einen Blick auf die Möglichkeiten werfen, die wir mit Snort haben. Dieses mächtige Tool vereint mehrere praktische Werkzeuge in sich. Zum einen kann es als Paketsniffer fungieren (ähnlich zu tcpdump). Des Weiteren haben Sie mit diesem NIDS einen Paketlogger zur Verfügung, der Ihnen bei der Analysierung Ihres Netzwerkverkehrs enorm weiterhelfen kann. Natürlich ist Snort aber auch ein hervorragendes Network Intrusion Detection System, das sich bestens eignet, um Angriffe zu erkennen.
14
1 Intrusion Detection Systems
Um solche Angriffe zu erkennen, vergleicht Snort mögliche Angriffe mit einem gespeicherten Muster und schreibt erkannte Angriffe dann in ein Logfile. Dabei bietet Snort eine durchaus sehenswerte Bandbreite an Angriffsarten an, die es erkennen kann. So werden Sie zum Beispiel über mögliche CGI-Angriffe, Bufferoverflow-Attacken oder versteckte Scans durch eine Zeile im Logfile informiert. Wie Sie erkennen können, werden Sie nicht direkt von Snort selbst benachrichtigt, wenn ein Angriff stattgefunden hat. Dies ist ein Missstand den man unbedingt beseitigen sollte, da der Administrator stets über Gefahren, die sein Netzwerk betreffen, informiert werden sollte. Da wir aber alle mit einem vernünftigen Betriebssystem arbeiten (nämlich Linux), sollte dies kein Problem sein. Es gibt für dieses Problem mehrere Lösungen. Den ersten Lösungsansatz bietet uns Snort selbst. Bei der Erstellung des Programms könnten wir zum Beispiel die Option –enable-smbalerts aktivieren und gäben Snort somit die Möglichkeit Nachrichten über SMB zu verschicken Da diese Methode aber sehr unsicher ist, wollen wir an dieser Stelle nicht weiter darauf eingehen. Das Beste ist, Sie basteln sich eine hausgemachte Lösung. Bevor Sie sich aber an die Implementierung einer solchen Lösung machen, müssen Sie sich erst über einen kleinen Nachteil von Snort klar werden. Da bei diesem NIDS der Sensor und die Detection-Routine fest miteinander verbunden sind, muss auf jedem Host, der es betreibt und damit einen Teil des Netzwerks überwacht, ein unabhängiges Snortsystem installiert sein. Womit ein weiteres Problem ins Spiel kommt. Wie wir schon gesehen haben, kann Snort Sie nicht direkt alarmieren, falls ein möglicher Angriff im Gange ist, sondern schreibt diese Nachricht in ein Logfile. Da Sie aber bei größeren Netzwerken (zum Beispiel mit Switches) mehrere Systeme am Laufen haben, haben Sie gleichzeitig auch mehrere Logfiles zu überwachen. Das zweite Problem können Sie lösen, indem Sie einen zentralen Logfileserver anlegen, dem alle NIDS ihre Meldungen erstatten. Nun bleibt aber immer noch das erste Problem der fehlenden Benachrichtigung. Zur Beseitigung dieses Problems stellt uns die Open-Source-Gemeinde einige brauchbare Tools zur Verfügung. So können Sie zum Beispiel mit einem Logfile-Analyseprogramm die gesammelten Nachrichten auswerten und Ihnen dann über ein Pagerprogramm (zum Beispiel yet another pager software) eine SMS mit bestimmten Daten über den Angriff auf Ihr Handy schicken lassen. Sobald Sie dies nach Ihren Bedürfnissen erledigt haben, steht Ihnen mit Snort ein mächtiges NIDS zur Verfügung, das dazu auch noch unglaublich stabil läuft und leicht zu konfigurieren ist.
1.2.2
Installation
Im Gegensatz zu LIDS beinhalten die meisten Distributionen Snort. Die einfachste Möglichkeit Ihr System mit einem NIDS auszustatten ist daher, den Installationsassistenten Ihrer Distribution aufzurufen und das Paket snort zu installieren. Der Nachteil hierbei ist, dass es durchaus vorkommen kann, auf diesem Weg eine veraltete Version von Snort zu bekommen, die eventuell einige Sicherheits-
1.2 Snort
15
lücken aufweist. Es gibt drei Wege, um sicherzustellen, dass Ihr System auf dem neuesten Stand ist. Der erste Weg führt Sie in das Internet, dort besuchen Sie die Seite www.snort.org und erkundigen sich nach der Aktualität Ihrer Version. Der zweite führt Sie auf die Seite www.securityfocus.com. Dort überprüfen Sie, ob für die von Ihnen verwendete Version Bugs bekannt sind und installieren gegebenenfalls den Patch dafür. Die dritte Anlaufstelle ist die offizielle Website Ihrer Distribution, wo Sie sich ebenfalls über die Aktualität und Sicherheit Ihrer Version erkundigen können. Falls aber Ihre Distribution Snort nicht mitführt, dann sollten Sie sich die aktuelle stabile Version von der offiziellen Seite www.snort.org oder von der Buchseite downloaden. Sollten Sie das Pakete über den Installationsassistenten oder über den Paketmanager installieren, können Sie diesen Punkt überspringen. Im Falle des Downloads befolgende Sie bitte folgende Anweisung für die Installation: Da die Macher von Snort Weitblick besitzen, haben sie sich entschlossen, Ihr Sicherheitsprogramm plattformunabhängig zu schreiben. Um dies zu realisieren wurde als Basis für Snort ein systemunabhängiges Interface von der Network Research Group des Lawrence Berkeley National Laboratory namens libpcap benutzt. Damit Snort also auf Ihrem System funktioniert, müssen Sie als Erstes libpcap installieren. Linux:~# wget ftp://ftp.ee.lbl.gov/libpcap.tar.Z Linux:~# tar zxf lip Linux:~# cd li Linux:~# make Linux:~# make install Linux:~# mkdir /usr/local/include Linux:~# mkdir /usr/local/include/net Linux:~# make install-incl Linux:~# wget www.snort.org/releases/snort-1.8.3.tar.gz Linux:~# tar zxf snort-1.8.3.tar.gz Linux:~# cd snort-1.8.3 Linux:~#./configure Linux:~# make Linux:~# make install
Optionen Wenn Sie die Seite www.snort.org/releases besuchen, werden Sie feststellen, dass es eine Reihe von Zusatzprogrammen, Zusatzlibs und Zusatzoptionen gibt. Wir werden an dieser Stelle nicht auf diese Programme und Optionen eingehen, da sich die meisten noch nicht bewährt haben oder (wie im Falle der SMB–Benachrichtigung) nicht sicher sind. Falls Sie dennoch einige Optionen bei der Erstellung des Programms aktivieren wollen, so installieren Sie bitte noch die dazugehörige Lib. Die nötigen Informationen dazu finden Sie unter der oben angegebenen Internetadresse.
16
1.2.3
1 Intrusion Detection Systems
Optionen
Snort ist ein kommandozeilenorientiertes Programm und ist deswegen sehr leicht zu konfigurieren. Es bietet eine Menge Optionen, die Sie benutzen können, um Ihr System korrekt und nach Ihren Bedürfnissen zu konfigurieren. In Tabelle 1.5 sehen Sie die verschiedenen Befehle für Snort. Option
Beschreibung
-A [alert mode]
Bei Snort stehen insgesamt sechs alert-Modi zur Verfügung. Vier davon kann man über diese Option aktivieren: fast – Dieser Modus erzeugt einen einfachen Eintrag in das spezifizierte Logfile. (der Eintrag besteht aus: timestamp, Alarmnachricht, Quell- und Ziel IP/Ports full – Dies ist der Defaultmodus und schreibt den Paketheader und dessen Beschreibung in das spezifizierte Logfile none – Keine Benachrichtigung unsock – Dieser Modus sendet die Nachricht an einen Unix-Socket, auf den ein anderes Programm »horchen« kann. Die beiden anderen Modi syslog und smb kann man über diese Option nicht aktivieren.
-a
Hierbei handelt es sich um die Funktion, die auch Address Resolution Protocol-Pakete anzeigt (ARP).
-b
Diese Option ermöglicht es ohne Probleme auch Netzwerke mit großer Bandbreite (zum Beispiel 100 Mbps) abzuhören, da hierbei die gesammelten Daten nicht mehr von ihrer binären Form in das ASCII-Format umgewandelt werden, sondern ähnlich zu tcpdump gespeichert werden. Diese Option erhört die Performance merkbar.
-c [rules]
Nach dem Optionsparameter -c muss hier eine Datei folgen, in der Filterregeln angegeben sind.
-C
Hierbei werden alle Hexadezimalinformationen in einem Paket ignoriert und nur die Textinformationen angezeigt.
-d
Daten werden auf Applikationsebene gespeichert.
-D
Verwendet man diese Option, läuft Snort als Daemon im Hintergrund und speichert die Alertmeldungen in der Datei /var/log/snort.alert.
-e
Zeigt und protokolliert Pakete, die auf der zweiten Schicht agieren (Ethernet-Paket-Header)
-F [bpf]
Mit dieser Option werden die BPF-Filter aus der Datei, die nach der Option -F angegeben wird, gelesen.
-g [gname]
Falls Sie Snort keine Rootrechte geben wollen, können Sie es mit dieser Option in eine andere Gruppe verfrachten. Snort läuft dann unter der Gruppe, die Sie nach dem -g angeben.
-h [hn]
Benutzen Sie diesen Befehl, wenn Sie das interne Netzwerk (hn = home network), in dem Snort laufen soll, angeben wollen. Tabelle 1.5 Befehle Snort
1.2 Snort
17
Option
Beschreibung
-i [if]
Geben Sie hier das Netzwerkinterface an, das Snort in die Überwachung mit einbeziehen soll.
-l [ld]
Hier können Sie ein Verzeichnis spezifizieren, das Snort als Logverzeichnis verwenden wird, um dort zukünftig alle Nachrichten für Sie zu hinterlassen. Als Defaultverzeichnis benutzt Snort /var/log/snort.
-N
Wenn Sie diese Option verwenden, wird Snort nicht mehr protokollieren. Die Alarmnachrichten funktionieren aber weiterhin.
-o
Um die Reihenfolge, in der Pakete die Regeln durchlaufen, von Alert-PassLog auf irgendeine andere zu ändern, benutzen Sie diesen Befehl.
-O
Falls Sie die Absicht haben, die IP-Adressen durch xxx.xxx.xxx.xxx zu ersetzen, können Sie das mit dieser Option tun. Falls Sie aber nur die internen Adressen ersetzen wollen, verwenden Sie dazu bitte zusätzlich die Option -h, denn dadurch bleiben die externen IP-Adressen unberührt.
-p
Promiscuous-mode wird im Sniffer deaktiviert.
-q
Mit dieser Option erreichen Sie, dass beim Start keine Banner und Statusreports angezeigt werden.
-r [tf]
Benutzen Sie diese Option um ein tcpdump File einzulesen.
-s
Nachdem Sie diese Option aktiviert haben, wird Snort alle Alert-Nachrichten in die normalen Systemlogfiles schreiben.
-S [n=v]
Diese Option wird der Wert von n in den Wert von v verwandelt.
-t [chrt]
Ändert das Rootverzeichnis von Snort in das angegebene Verzeichnis.
-u [uname]
Ähnlich zu der Option -g wird auch hier Snort der Rootstatus nicht vergönnt. Mit dieser Option können Sie die User ID ändern, unter der Snort in Zukunft laufen soll.
-v
Man sollte diese Option nur zu Testzwecken verwenden, da hierbei alle Pakete auf die Standardausgabe (zumeist der Monitor) ausgegeben werden und dies führt zu enormen Performanceeinbußen, die wiederum verursachen können, dass einige Pakete verloren gehen.
-V
Gibt die Versionsnummer an
-?
Ruft die Hilfefunktion auf
-M [smb]
Falls man bei der Erstellung des Programms die Option –enable-smbalerts aktiviert hat, so kann man mit dieser Option eine Datei übergeben, aus der alle Rechnernamen gelesen werden, die über WinPopup über eventuelle Zwischenfälle informiert werden sollen.
-n [count]
Sobald die Zahl, die Sie hinter dieser Option angeben, erreicht wird, sprich sobald n Pakete angekommen sind, wird Snort deaktiviert. Tabelle 1.5 Befehle Snort (Forts.)
18
1 Intrusion Detection Systems
Beispiele: Linux:~# snort –c snort.conf –l ./log –s –h 192.168.1.0/24
Mit dieser Option schreibt Snort die gesammelten Daten in die Defaulteinstellung und schickt Alarmnachrichten zu den regulären Systemlogdateien. Linux:~# snort –b –A fast –c snort.conf
Dies ist ein möglicher Snortaufruf, wenn Sie ein sehr schnelles Netz (100 Mbps) überwachen wollen. Die gesammelten Daten werden hierbei einem Format ähnlich zu tcpdump gespeichert. Linux:~# snort –d –h 192.168.1.0/24 –l ./log –c snort.conf –o
Mit dieser Option erreichen Sie, dass sich die Reihenfolge, in der Pakete die Regeln durchlaufen, von Alert-Pass-Log auf Pass-Alert-Log ändert.
1.2.4
Regeln entwerfen
Wie ist eine Regel formatiert? Wie wir wissen, ist Snort kommandozeilenorientiert. Das beinhaltet auch, dass die Regeln über die Konsole eingegeben werden. Natürlich muss man dafür ein bestimmtes Format einhalten, da Snort sonst die Regeln nicht anerkennt und sie verwirft. Achten Sie also immer darauf, dass die Formatierung stimmt. Grundsätzlich sollte man eine Regel in einer Zeile verfassen, da ansonsten die Gefahr besteht, dass man sich durch die Zeilenumbrüche mit der Formatierung »vertut« und somit die Regel nicht anerkannt wird. Falls man eine Regel über mehrere Zeilen eingeben will, so muss man am Ende einer Zeile einen Backslash anbringen. Aber seien Sie vorsichtig, Sie können Regeln nur über mehrere Zeilen eingeben, wenn Sie eine Version von Snort besitzen, die jünger als 1.8 ist. Falls Sie einen Version benutzen wollen (aus welchen Gründen auch immer), die vor 1.8 erschienen ist, so müssen Sie die Regeln in einer Zeile abgehandelt haben. Welche Bestandteile besitzt eine Regel? Zuerst einmal sollten wir an dieser Stelle erklären, wofür eine Regel gebraucht wird. Eingangs haben wir festgestellt, dass Snort mögliche Angriffe anhand eines Mustervergleichs erkennt. Das heißt, Snort vergleicht alle einkommenden Pakete mit den Filterregeln in seiner Datenbank und sucht nach Übereinstimmungen. Falls es eine solche Übereinstimmung gefunden hat, kann man davon ausgehen, dass ein Angriff stattfindet. Sie können nun mit der Eingabe neuer Regeln erreichen, dass Snort mit jeder neuen Regel, die Sie eingeben, klüger wird und immer mehr Angriffsarten erkennen kann. Dabei entscheiden Sie, was Sie als Spielerei einiger Jugendlicher sehen und was als ernsthaften Angriff. Snort trifft dann diese Unterscheidung anhand Ihrer Filterregeln.
1.2 Snort
19
Um die Bestandteile einer solchen Regel herauszufinden, schauen wir uns am besten eine von Martin Roesch erstellte Beispielregel an und zerlegen diese in Einzelteile: alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg:"mountd access";)
An dieser Beispielregel lassen sich zwei essentielle Bestandteile einer Filterregel erkennen. Der Teil alert tcp any any -> 192.168.1.0/24 111 entspricht dem Header und der Teil (content_"|00 01 86 a5|"; msg:"mountd access";) stellt den Optionsbereich dar. Dabei sollte man beachten, dass man den Optionsbereich nicht unbedingt braucht, damit eine Regel konform ist und von Snort akzeptiert wird. Genaueres dazu werden wir später noch erfahren. Im Folgenden werden Sie alle möglichen Bestandteile einer Regel inklusive einer kurzen Beschreibung kennen lernen. Dabei bedienen wir uns der Beispiele und Ausführungen von Martin Roesch, dem ich hiermit danken möchte. Der Header Der erste Bestandteil eines Headers ist die Regelaktion. Insgesamt hat man dabei fünf davon zur Auswahl:
alert: Generiert einen Alarm nach der vordefinierten Warnmeldung und
schreibt das Paket dann schließlich in das entsprechende Logfile log – Loggt das Paket pass – Ignoriert das Paket activate – Schlägt Alarm und aktiviert danach eine andere dynamische Regel dynamic – Bleibt untätig, bis es von einer aktivierten Regel aktiviert wird, und fungiert dann als Logregel
Mit Snort haben Sie aber auch die Möglichkeit Ihre eigenen Regeltypen zu definieren und diese dann mit einem oder mehreren Outputplugins zu verbinden. Danach können Sie diese als Regelaktionen in Snortregeln verwenden. Hierzu einige Beispiele von Martin Roesch: Das erste Beispiel wird einen Typ definieren, der nur in tcpdump loggt. ruletype suspicious { type log output log_tcpdump: suspicious.log }
20
1 Intrusion Detection Systems
Das zweite Beispiel wird einen Typ definieren, welcher in die regulären Systemlogdateien und in eine MySql-Datenbank loggen wird. rulytype redalert { type alert output alert_syslog: LOG_AUTH LOG_ALERT output database: log, mysql, user=snort dbname=snort host=localhost }
Das Protokoll Das nächste Feld beschreibt das Protokoll. Zurzeit stehen uns für dieses Feld vier Protokolle zur Verfügung: tcp, udp, icmp, ip. Aber schon bald werden Sie auch Protokolle wie: ARP, IGRP, GRE, OSPF, RIP, IPX in dieses Feld mit aufnehmen können. IP-Adressen und Ports Im darauf folgenden Feld werden die IP-Adressen und Ports beschrieben, man kann hier für die Gesamtheit aller IP-Adressen das Schlüsselwort any setzen. Bitte geben Sie immer eine IP-Adresse an und niemals den dazugehörigen Hostnamen, da Snort einen CDIR-Block benutzt, um die Netmask zu beschreiben. Verwenden Sie also für Klasse C Netzwerke /24, für Klasse B Netzwerke /16 und für einzelne Hosts /32. Snort verfügt außerdem noch über einen !-Operator, der es Ihnen ermöglicht, bestimmte IP-Adressen von der Überwachung auszuschließen. Im vorangegangenen Abschnitt haben wir gesehen, dass die Formatierung der Snortregeln Wildcards zulässt. So können Sie zum Beispiel any angeben, wenn Sie alle IP-Adressen oder Ports einbinden wollen. Falls Sie eine bestimmte Range angeben wollen, benutzen Sie bitte den :-Operator (Formatierung x : y). Der Richtungsoperator gibt die Richtung des jeweiligen Netzwerkes an, so bedeutet ->, dass auf der linken Seite die Quellinformationen (IP-Adressen und Ports) und auf der gegenüberliegenden Seite die Zielinformationen zu finden sind. Man kann auch beide Richtungen mit einbinden, indem man den <> Operator verwendet. Optionsbereich Ein weiterer Bestandteil (vielleicht sogar der mächtigste) ist der Optionsbereich. Im Folgenden werden wir dieses Schmuckstück von Snort kennen, und verstehen lernen. Zuvor sei an dieser Stelle aber noch kurz die Formatierung des Optionsbereichs erklärt. Alle unten aufgeführten Optionen werden durch ein Semikolon voneinander getrennt. Wenn Sie die Optionen von ihren zugehörigen Argumenten trennen wollen, benutzen Sie bitte einen Doppelpunkt. Die verfügbaren Optionen finden Sie in Tabelle 1.6.
1.2 Snort
21
Optionen
Beschreibung
Msg
Schreibt eine Nachricht in die Alarm- und Paketlogdateien
Logto
Loggt das Paket in eine vom User spezifizierte Datei anstatt ins Standardoutputfile.
Ttl
Testet den TTL-Wert des IP-Headers
Tos
Testet den TOS-Wert des IP-Headers
Id
Hierbei wird die Fragment-ID des IP-Headers auf einen bestimmten Wert hin überprüft.
Ipoption
Sucht in den IP-Optionsfeldern nach einem bestimmten Code.
Fragbits
Überprüft die Fragmentations-Bits des IP-Headers
Dsize
Testet die Größe eines Pakets anhand eines bestimmten Werts
Flags
Testet die TCP-Flags auf bestimmte Werte
Seq
Testet die TCP-Sequenznummer auf einen bestimmten Wert
Ack
Testet das TCP-ACK-Feld auf einen bestimmten Wert
Itype
Testet das ICMP-Typefeld anhand eines bestimmten Werts
Icode
Testet das ICMP-Codefeld anhand eines bestimmten Werts
Icmp_ip
Testet das ICMP_ECHO_ID-Feld anhand eines bestimmten Werts
Icmp_seq
Testet die ICMP_ECHO-Sequenznummer anhand eines bestimmten Werts
Content
Durchsucht den Inhalt eines Pakets nach einem bestimmten Muster
Content_list
Sucht nach einer bestimmten Musterfolge im Inhalt eines Pakets
Offset
Eine Modifikation der content-Option in Hinblick auf den Beginn der Suche
Depth
Eine Modifikation der content-Option in Hinblick auf das vorzeitige Ende der Suche
Nocase
Deaktiviert case-sensitiv und unterscheidet daher keine Groß- und Kleinschreibung mehr
Session
Schreibt aus einem gegebenen Grund bestimmte Eingaben im Application Layer mit
Rpc
Überwacht RPC-Dienste auf bestimmte Application/Precedure-Calls
Resp
Aktive Antwort (zum Beispiel: Verbindung beenden)
React
Aktive Antwort (zum Beispiel: Webseiten blocken)
Reference
Externe Angriffsreferenz
Sid
Snort Regel-ID
Rev
Regelkorrekturnummer
Classtype
Identifiziert die Klassifikation der Regel
Priority
Identifiziert die Strenge der Regel Tabelle 1.6 Verfügbare Optionen
22
1 Intrusion Detection Systems
Optionen
Beschreibung
Uricontent
Sucht nach einem Muster in einem Teil einer URL
Tag
Fortgeschrittene Loggingaktionen für Regeln
Ip_proto
IP-Header Protokollwert
Sameip
Überprüft, ob die Quell-IP-Adresse mit der Ziel-IP-Adresse übereinstimmt
Stateless
Gültig, egal was der Streamstatus sagt
Regex
Wildcard für Mustererkennung Tabelle 1.6 Verfügbare Optionen (Forts.)
Nachdem Sie die möglichen Optionen kurz anhand einer Tabelle einsehen konnten, werden wir uns jetzt an die Beschreibung der einzelnen Optionen machen und einige Beispiele dazu sehen.
Mit der msg-Option können Sie den String ändern, den Snort bei Nachrichten in die Logfiles schreibt. msg: "
";
Mit der Logto-Option kann man für jede betreffende Regel ein eigenes Logfile angeben. Diese Option funktioniert nicht, wenn Snort im Binarymodus loggt. logto: "";
Anhand der ttl-Option kann man einen bestimmten Time-To-Live-Wert setzen, auf den dann die Pakete überprüft werden. Diese Option ist nur erfolgreich, wenn der TTL-Wert exakt mit dem aus dem Paket übereinstimmt. ttl: "<Time-To-Live-Wert>";
Mit der tto-Option kann man den IP-Header auf einen bestimmten TOS-Wert überprüfen, der wiederum nur bei exakter Übereinstimmung anschlägt. tos: "";
Die id-Option einen Test bezüglich des Fragment-ID-Feldes im IP-Header durchzuführen. Da viele »Hacker« Standardtools verwenden, die frei im Internet erhältlich sind, wird diese Option – wenn sie zum Beispiel auf einen bekannten Wert wie 31337 gesetzt wird – oft anschlagen. id: "<Wert>";
1.2 Snort
23
Falls in einem Paket IP-Optionen gesetzt sind, kann man mit dieser Option nach bestimmten Argumenten suchen. Eine lohnende Option ist zum Beispiel »Loose source routing«. Einige dieser Argumente sind im Folgenden aufgeführt. Ipoption: ;
rr – Recorded Route eol – End of List nop – No Op ts – Time Stamp sec – IP security Option lsrr – Loose source routing ssrr – Strict source routing satid – Stream identifier
Die fragbits-Option untersucht die fragment bits und die reserved bits im IPHeader. Dabei kann man zum Beispiel nach einem reserved bit (RB), more fragment bit (MF) oder nach einem don`t fragment bit (DF) suchen. Um diese Bits anzuzeigen benutzen Sie bitte die folgenden Größen:
*R – Reserved bit *D – Don’t fragment bit *M – More fragment bit
Für diese Option stehen Ihnen zusätzlich noch einige Operatoren zur Verfügung: *+ – All Flag – Schlägt an, wenn das angegebene und mehr Bits gesetzt sind. ** – Any Flag – Trifft zu, wenn irgendeines der angegebenen Bits gesetzt ist. *! – No Flag – Schlägt an, wenn keines der angegebenen Bits gesetzt ist.
fragbits: "";
Da diese Option etwas komplexer zu handhaben ist, werden wir uns die Syntax anhand einer Beispielregel verdeutlichen. alert tcp !$HOME_NET any -> $HOME_NET any (fragbits: R+; msg: "Reserved Bit ist gesetzt";)
Die dsize-Option erlaubt es einem, die Größe eines Pakets zu prüfen. Auch hier kann man – zum Beispiel um bestimmte Bereiche und Grenzen zu setzen – bestimmte Operatoren wie < und > setzen. Diese Option kann sehr nützlich sein, wenn Sie Bufferoverflow-Attacken erkennen wollen. Dazu müssen Sie lediglich die Puffergröße des anfälligen Programms kennen und können nun die Option auf diesen Wert setzen, um rechtzeitig einen Angriff zu erkennen. Zwar könnte
24
1 Intrusion Detection Systems
man dies auch mit der content-Option erreichen, doch bietet die dsize-Option eine wesentlich höhere Performance. dsize: "[<|>] <Wert>";
Die content-Option stellt eine der wichtigeren Optionen von Snort dar. Mit ihrer Hilfe kann man den Inhalt eines Paketes nach bestimmten – vom User angegebenen – Werten durchsuchen. Snort antwortet dann aufgrund dieser Daten. Wenn die Suche erfolgreich ist – das heißt, wenn der vom User angegebene String irgendwo im Paket zu finden war, dann wird der Rest der Suche gestartet. Dabei müssen Sie unbedingt auf Groß- und Kleinschreibung achten, wobei das zu suchende Muster Textstrings oder aber auch binäre Daten sein können. Falls Sie nach binären Daten suchen wollen, müssen Sie diese in Byteform angeben und zwischen zwei Pipes einschließen. Auch hier ist wieder eine Negierung durch den !-Operator möglich. Versuchen Sie sich die Syntax dieser Option anhand des folgenden Beispiels zu verdeutlichen. content: [!] ""; alert tcp any any -> 192.168.1.0/24 143 (content: "|90C8 C0FF FFFF|/bin/sh"; msg: "IMAP Bufferoverflow";)
Ein weiteres Beispiel soll Ihnen den Negierungsfaktor näher bringen. alert tcp any any -> 192.168.1.0/24 21 (content: !"|GET"; depth: 3; nocase; dsize: > 100; msg: "Long Non-FTP-GET Befehl";)
Die offset-Option ist eine Modifikation, die Sie bei Regeln benutzen können, in denen Sie die content-Option nutzen. Sie können diese Möglichkeit sinnvoll nutzen, wenn Sie zum Beispiel CGI-scans erkennen wollen, da sich diese Angriffe niemals in den 4 Bytes erkennen lassen. Daher ist es sinnvoll, dass Sie die offset-Option benutzen, um der content-Option beizubringen, dass sie diesen Bereich nicht scannen soll. offset: "<Wert>";
Die nächste Erweiterung der content-Option stellt depth dar. Bei der offsetOption haben wir gesehen, dass Sie den Startpunkt verändern können, depth bietet Ihnen nun die Möglichkeit den vorzeitigen Endpunkt der Suche anzugeben. Dies erscheint besonders sinnvoll, wenn Sie ein Paket nach dem String »cgi-bin/phf« durchsuchen, da es bei einer solchen Suche nicht nötig ist selbige nach den ersten 20 Bytes fortzusetzen. Wieder werden wir diese Option anhand eines Beispiels illustriert sehen. depth: "<Wert>"; alert tcp any any -> 192.168.1.0/24 8080 (content: "cgi-bin/phf"; offset: 3; depth: 22; msg "CGI-PHP Angriff";)
1.2 Snort
25
Die nocase-Option ermöglicht Ihnen das Abschalten des case-sensitiv in der content-Option. Das heißt, dass nicht mehr zwischen Groß- und Kleinschreibung unterschieden wird. nocase;
Die flag-Option erlaubt es Ihnen, die TCP-Flags zu testen. Zurzeit können Sie diesen Test anhand von neun Flags mit Snort starten.
F – FIN (LSB in TCP Flag Byte) S – Syn R – RST P – PSH A – ACK U – URG 2 – Reserved bit 2 1 – Reserved bit 1 (MSB in TCP Flag Byte) 0 – No TCP Flags set
Auch hier haben Sie wieder die Möglichkeit Ihre Suche mit Operatoren zu verfeinern.
+ – All-Flag, trifft auf alle Flags und andere zu * – Any-Flag, trifft auf irgendeine der spezifizierten Flags zu ! – Not-Flag, trifft zu, wenn keine der spezifizierten Flags gesetzt ist
Die reserved Bits können genutzt werden um ungewöhnliches Verhalten, wie zum Beispiel IP Stack Fingerprints oder Ähnliche zu entdecken. flags: ;
Natürlich führen wir auch hier ein Beispiel an. alert any any -> 192.168.1.0/24 any (flags: SF; msg: "Moeglicher SYN FIN Scan";)
Die seq-Option ist dafür da, um die TCP-Sequenznummer mit einem vorgegebenen Wert zu vergleichen (Spoofing-erfahrene Menschen wissen, dass man diese Flag manchmal gut gebrauchen kann). seq: <Wert>;
Die ack-Option ist für die Überprüfung des Acknowledge-Feld im TCP-Header implementiert worden. Um ein praxisnahes Beispiel aufzuführen, bedienen wir uns des Nmap-Ping-Beispiels. Bei einem Nmap-TCP-Scan wird dieses Feld auf Null gesetzt. ack: <Wert>; alert any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "Nmap TCP Ping";)
26
1 Intrusion Detection Systems
Mit der itype-Option können Sie den Wert des ICMP-Type-Feldes testen. Um dies zu erreichen wird der numerische Wert dieses Feldes gesetzt. Falls Sie eine vollständige Liste aller möglichen Werte einsehen wollen, werfen Sie einen Blick in die Datei decode.h, die bei Snort geliefert wird. Um Denial-of-Service-Attacken oder Floodings zu erkennen, kann man diesen Wert auch außerhalb der üblichen Spezifikationen ansetzen. itype: <Wert>;
Die icode-Option ist der itype-Option sehr ähnlich, nur dass hierbei der Code des ICMP-Pakets überprüft wird. Natürlich kann für die Angriffserkennung auch hier der Wert außerhalb der Spezifikationen liegen. icode: <Wert>;
Die session-Option kann dazu benutzt werden, um vom User eingegebene Daten einer TCP-Verbindung (Telnet, FTP, rlogin oder Web) abzufangen und auszuwerten. Dabei kann man zwei Modi verwenden: printable und all. Beim ersten Modus (printable) werden nur die Daten aufgezeichnet, die der User auch wirklich eingeben oder sehen kann. Der all-Modus arbeitet anders. Er zeichnet alles auf, auch die Daten, die der User nicht sehen kann. Man sollte hierbei aber sehr vorsichtig sein, da dieser Modus sehr an der Performance nagt. Außerdem sollte man hierbei die log-Dateien im tcpdump-Format beschreiben lassen, da die Daten in hexadezimaler Form geschrieben werden. Session: [printable|all];
Das folgende Beispiel zeigt einen Filter, der alle Eingaben einer FTP-Verbindung mitloggt. log tcp any any <> 192.168.1.0/24 21 (session: printable;)
Mit der icmp_id-Option kann man die ICMP_ID eines ICMP-Echo-Pakets auf einen bestimmten Wert hin überprüfen. Dies kann äußerst hilfreich sein um dDistributed-Denial-of-Service-Attacken zu erkennen. icmp_id: <Wert>;
Im Grunde ist die icmp_seq-Option identisch mit der icmp_id-Option, ich werde daher nicht näher auf sie eingehen. icmp_seq: <Wert>;
Die rcp-Option überwacht RPC-Anwendungen. Die Überwachung kann durch drei Variablen stattfinden (application, procedure, version), und wenn diese Variablen anschlagen, zeigt uns Snort dies an. Wildcards sind für procedure und version möglich und werden mit einem »*« dargestellt. rpc: <Wert, [Wert|*], [Wert|*]>;
1.2 Snort
27
Wir werden die Syntax noch anhand einiger Beispiele besser verstehen lernen. alert tcp msg: "RPC alert udp msg: "RPC alert udp msg: "RPC alert udp msg: "RPC
any any -> 192.168.1.0/24 getport (TCP)";) any any -> 192.168.1.0/24 getport (UDP)";) any any -> 192.168.1.0/24 ttdb";) any any -> 192.168.1.0/24 sadmin";)
111 (rpc: 100000,*,3; 111 (rpc: 100000,*,3; 111 (rpc: 100083,*,*; 111 (rpc: 100232,*,*;
Mit resp können Sie gezielte Aktionen ausführen, falls eine Ihrer Filterregeln zutraf. Sie können diese Argumente auch kombinieren, dazu müssen Sie diese lediglich mit einem Komma trennen. Beachten Sie aber bitte dabei, dass Sie diese Möglichkeit nur nutzen können, wenn Sie bereits bei der Installation von Snort das Argument –enable-flexresp übergeben. Nachfolgend werden Sie die möglichen Argumente, die Sie dabei übergeben, kennen lernen. resp: ;
rst_snd – sendet TCP-RST-Pakete zum sendenden Socket rst_rcv – sendet TCP-RST-Pakete an den Empfängersocket rst_all – sendet TCP-RST-Pakete zum Empfänger- und Sendersocket icmp_net – sendet ein ICMP-NET-UNREACH-Paket an den Sender icmp_host – sendet ein ICMP-HOST_UNREACH-Paket an den Sender icmp_port – sendet ein ICMP-PORT-UNREACH-Paket an den Sender icmp_all – sendet alle ICMP-UNREACH-Pakete an den Sender
Doch seien Sie mit dem Umgang und der Verwendung dieser Methode äußerst vorsichtig. Wir werden anhand einiger Beispiele sehen, wozu es führen kann, wenn man sich bei dieser Option verkonfiguriert. alert tcp any any -> 192.168.1.0/24 any (msg: "aiee!"; resp: rst_all;)
Sollten Sie diese Regel verwenden, definieren Sie damit eine Endlosschleife. Also Vorsicht! Die Option content-list erlaubt es nach mehreren Strings im Inhalt eines Pakets zu suchen. Es ist wichtig, dass Sie im Content-File jedem String eine einzelne Zeile widmen. Im Folgenden sehen Sie ein Beispiel für eine solche Datei: "hacking" "cracking" "session hijacking" .
28
1 Intrusion Detection Systems
. . content-list: [!] "";
Sie können auch bei dieser Option den »!«-Operator benutzen, um die Regel zutreffen zu lassen, falls die Suche auf kein angegebenes Suchmuster passt. Die react-Option basiert auf Flex Resp. Eine der Hauptfunktionen dabei ist das Blocken einiger Websites, die von Usern angefordert werden. Dabei erlaubt der Flex-Resp-Code Snort, aktiv Verbindungen zu beenden und/oder eine sichtbare Nachricht an den Browser zu schicken (bald wird Snort auch die Möglichkeit bieten Warnmeldungen zu verschicken). Die dabei verschickten Nachrichten können auch Kommentare von Ihnen enthalten. Die folgenden Argumente können für diese Option benutzt werden.
block – Verbindung beenden und sichtbare Nachricht verschicken warn – versendet sichtbare Warnnachricht (bald verfügbar)
Diese Argumente kann man zusätzlich noch mit den folgenden verknüpfen (die jetzt aufgeführten können aber nicht alleine stehen, sondern brauchen die Grundargumente, die wir zuvor kennen gelernt haben).
msg – enthält die Nachricht, die Sie verschicken möchten proxy: – Diese Option verwendet den Proxyport um die Nach-
richt zu versenden (noch nicht verfügbar, wird aber bald implementiert sein) Falls Sie dabei wieder mehrere Argumente in einer Regel aufführen möchten, trennen Sie diese bitte mit einem Komma. Diese Option sollte am Ende einer Regel stehen. react: ; alert tcp any any <> 192.168.1.0/24 80 (content-list: "hacking"; msg: "You should not hurt my network!!!"; react: block,msg);
Mit der references-Option kann man externe attack-identification-Systeme in Snortregeln mit einbinden. Neben speziellen Systemen kann man auch eigene URLs einbinden. Folgende Systeme werden zurzeit unterstützt. System
Adresse
Bugtraq
www.securityfocus.com/bid
CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=
Arachnids
http://www.whitehats.com/info/IDS
McAfee
http://vil.nai.com/vil/dispVirus.asp?virus_k=
URL
http:// Tabelle 1.7 Unterstützte Systeme
1.2 Snort
29
reference:,; [reference: ,;] alert TCP any any -> any 7070 (msg: "IDS411/dos-realaudio"; flags: AP; content: "|fff4 fffd 06|"; reference: arachNIDS,IDS411;) alert TCP any any -> any 21 (msg: "IDS287/ftp-wuftp260-venglinlinux"; flags: AP; content: "|31c031db 31c9b046 cd80 31c031db|"; reference: arachNIDS,IDS287; reference: bugtraq,1387; reference: cve,CAN-2000-1574; )
Die sid-Option erlaubt es, einzigartige Snortregeln zu erkennen. Die Bereiche, die dabei benutzt werden, sehen so aus:
<100, Die Regeln, die in diesem Bereich liegen, sind reserviert. 100 – 1.000.000, Hier finden Sie die Regeln, die Snort schon mitbringt. >1.000.000, Dieser Bereich wird für lokale Regeln verwendet.
sid: <snort rules id>; alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS File permission canonicalization"; uricontent:"/scripts/..%c1%9c../"; flags: A+; nocase; sid:983; rev:1;)
Die classtype-Option kategorisiert alerts zu Angriffsklassen. Dabei kann der User angeben, welche Priorität eine Regelklassifikation hat. Regeln, die eine Klassifikation haben, besitzen eine Default-Priorität. Classtype: ;
Die Regelklassifikationen stehen in der Datei classification.config und können mit der folgenden Syntax editiert werden. config classification: ,,<default priority>
In der folgenden Tabelle können Sie alle Standardklassifikationen einsehen.
Klassenname
Beschreibung
DefaultPriorität
Not-suspicious
Kein ungewöhnlicher Traffic
0
Unknown
Unbekannter Traffic
1
Bad-unknown
Potentiell bösartiger Traffic
2
Attempted-recon
Versuch Informationsloch auszunützen
3
Successful-recon-limited
Informationsloch ausgenützt
4
Tabelle 1.8 Standardklassifikationen
30
1 Intrusion Detection Systems
Klassenname
Beschreibung
DefaultPriorität
Successful-recon-largescale
Sehr großes Informationsloch ausgenützt
5
Attempted-dos
DOS Versuch
6
Successful-dos
Denial of Service gelungen
7
Attempted-user
Versuch Userinformationen zu ergattern
8
Unsuccessful-user
Userinformationen nicht bekommen
7
Successful-user
Userinformationen bekommen
9
Attempted-admin
Versuch Rootinformationen zu bekommen
10
Successful-admin
Rootinformationen bekommen
11
Tabelle 1.8 Standardklassifikationen (Forts.)
Hierzu noch einige Beispiele: alert TCP any any -> any 80 (msg: "EXPLOIT ntpdx overflow"; dsize: > 128; classtype:attempted-admin; priority:10 ); alert TCP any any -> any 25 (msg:"SMTP expn root"; flags:A+; content:"expn root"; nocase; classtype:attempted-recon;)
Das priority–Tag stellt einen Sicherheitslevel für Regeln dar. Mit Hilfe dieses Tags kann man die Default-Priorität der Klassentypen überschreiben. Anhand der Syntax und eines Beispiels werden wir dies verdeutlichen. priority: <priority integer>; alert TCP any any -> any 80 (msg: "WEB-MISC phf attempt"; flags:A+; content: "/cgi-bin/bash"; priority:10;)
Mit Hilfe der uricontent-Option kann man Regeln so gestalten, dass sie allein aufgrund dieser Option zutreffen. Somit ist es möglich, nur den request-Teil eines Angriffs zu durchsuchen. uricontent: [!] "";
Man kann die tag-Option dazu nutzen, um mehr zu loggen, als nur das Paket, das eine Regel betrifft. Sobald ein Paket auf eine Regel zutrifft, wird der komplette Netzwerkverkehr des Quellhosts »angehängt«. Dieser »angehängte« Traffic wird mitgeloggt. Das kann äußerst praktisch sein, wenn man Angriffe, die nach dem ursprünglichen (ersten) Angriff stattfinden, erkennen und analysieren will. Wie wir jetzt sehen werden, ist bei dieser Option die Syntax sehr umfangreich. tag: , , <metric>, [direction] type
1.2 Snort
31
session
Loggt die Pakete in der session, die die Regel an die Regel angehängt.
host
Dieses Argument veranlasst das Loggen des Pakets, das den tag aktiviert hat. count
Count gibt die Anzahl der units an, welche im metric-Feld spezifiziert werden. metric
packets
Wie viele Pakete sollen zusätzlich mitgeloggt werden?
seconds
Wie viele Sekunden soll zusätzlich geloggt werden? direction
Die Verwendung dieses Arguments ist nur sinnvoll im Zusammenhang mit dem host-tag. Benutzen Sie src und dst um festzulegen, welche IP-Adresse des Pakets das Anhängen des Alarms verursacht hat. Zum besseren Verständnis werfen Sie einen Blick auf die folgenden Beispiele. alert tcp !$HOME_NET any -> $HOME_NET 143 (flags: A+; content: "|e8 c0ff ffff|/bin/sh"; tag: host, 300, packets, src; msg: "IMAP Buffer overflow, tagging!";) alert tcp !$HOME_NET any -> $HOME_NET 23 (flags: S; tag: session, 10, seconds; msg: "incoming telnet session";)
Die ip_proto-Option erlaubt es, Pakete bezüglich ihres Protokolls zu überprüfen. Um eine vollständige Liste aller Protokolle zu bekommen, können Sie die Datei /etc/protocols zu Rate ziehen. Wie immer werden wir auch hier ein Beispiel und die korrekte Syntax aufführen. ip_proto: [!] ; alert ip !$HOME_NET any -> $HOME_NET any (msg: "IGMP traffic detected"; ip_proto: igmp; )
Mit der sameip-Option können Sie überprüfen, ob die Quell-IP der Ziel-IP entspricht. Zur Verwendung benutzen Sie bitte diese Syntax: sameip; alert ip $HOME_NET any -> $HOME_NET any (msg: "SRC IP == DST IP"; sameip;)
32
1 Intrusion Detection Systems
Das stateless-Argument erlaubt – in Verbindung mit dem Stream4 Preprozessor – das Zutreffen einer Regel unabhängig vom Status der Verbindung. stateless; alert tcp !$HOME_NET 0 -> $HOME_NET 0 (msg: "Port 0 TCP traffic"; stateless;)
Die regex-Option erlaubt content-Optionen Wildcardoptionen zu definieren. Mögliche Wildcards sind dabei »*« und »?«. Auch hier können Sie sich die Verwendung anhand der Syntax und eines Beispieles verdeutlichen. regex; alert tcp any any -> $HOME_NET any (flags: A+; content: "|c08f e4ff ffff|/bin/*sh"; regex; msg: "buffer overflow!"; sid: 2341239; rev: 1;)
1.2.5
Preprocessors
Seit der Version 1.5 haben Programmierer und User die Möglichkeit Snort mit neuen Funktionen auszustatten. Diese neuen Module oder Plugins werden gestartet, nachdem die Pakete dekodiert sind, jedoch bevor die Detection-Routine von Snort ihre Arbeit beginnt. Damit kann man vor der eigentlichen Auswertung der Pakete noch andere Funktionen vorschalten. Zur Konfiguration und Aktivierung benutzt man das Schlüsselwort preprocessor. preprocessor :
Nachdem Sie nun die allgemeine Syntax des Preprocessors beherrschen, werden wir im Folgenden alle erhältlichen Module dafür besprechen. Minfrag Wir werden dieses Modul an dieser Stelle nicht ansprechen, da es ab der Version 1.8 von dem Stream4 Modul abgelöst wurde. HTTP Decode HTTP Decode verarbeitet HTTP-URI-Zeichenketten und konvertiert diese Daten in besser verständlichen ACSII-Code. Sie können diese Methode zum Beispiel zur Abwehr von Netz-URL-Scannern oder Angreifern einsetzen, die ansonsten den Contentanalysestrings, die den HTTP-Verkehr nach feindseligen Aktivitäten durchsuchen, ausweichen könnten. Wie das folgende Beispiel zeigt, übergibt man dazu die HTTP-Portnummer (getrennt durch ein Leerzeichen) an das Modul. http_decode: <port list> [ -unicode ] [ -cginull ] preprocessor http_decode: 80 8080 -unicode -cginull
1.2 Snort
33
Portscan Detector Der Portscan Detector von Patrick Mullen erledigt folgende Aufgaben:
Er schreibt den Start und das Ende eines von einer einzelnen IP-Adresse ausgehenden Portscans in die dafür vorgesehene Standardlogdatei. Falls man dafür eine spezielle Logdatei vorsieht, loggt er auch die Ziel-IP, den Zielport und die Art des Scans.
Dabei kann dieses Modul eine ganze Reihe von Portscans entdecken (Stealth, XMas usw.). Zu diesem Zwecke kann man folgende Argumente übergeben:
Das zu überwachende Netzwerk Die Anzahl der Ports, auf denen innerhalb einer bestimmten Zeit Verbindungsversuche erfolgen müssen, damit es als Portscan erkannt wird Den Zeitraum, in dem Verbindungsversuche auf einen bestimmten Port auf einen Portscan deuten lassen Die Logdatei, in der die Daten über Portscans festgehalten werden sollen
Als Nächstes werden wir uns kurz die Syntax und ein Beispiel dazu ansehen: portscan: <monitor network> <detection period> preprocessor portscan: 192.168.1.0/24 5 7 /var/log/portscan.log
Portscan Ignorehosts Wie man aus dem Namen schon schließen kann, bietet dieses Modul die Möglichkeit einige Hosts (NTP, NFS und DNS) aus der Überwachung (auf Portscans) auszuschließen. Die Syntax dazu lautet wie folgt: portscan-ignorehosts: preprocessor portscan-ignorehosts: 192.168.1.5/32 192.168.3.0/24
Defrag Dieses Modul ermöglicht eine komplette IP-Defragmention, die es Hackern erschwert, die Sicherheitsmaßnahmen eines Systems zu umgehen. Wie wir gleich sehen werden, ist der Gebrauch dieses Moduls sehr einfach. Dazu muss man nur die Preprozessordirektive in der Configdatei angeben. defrag preprocessor defrag
Frag2 Frag2 stellt die Ablöse für Defrag dar, wobei dieses Modul wesentlich ressourcenfreundlicher ist. So bietet es zum Beispiel die Möglichkeit an den Speichergebrauch zu konfigurieren und »fragment timeouts« zu setzen. Falls man dem Modul keine Argumente übergibt, verwendet es das Defaultspeicherlimit von 4194304 Bytes (4 MB) und einen Timeout von 60 Sekunden.
34
1 Intrusion Detection Systems
preprocessor frag2: [Speicherkapazität <xxx>], [timeout <xx>] preprocessor frag2: 16777216, 30
Stream Auch hier muss ich Ihnen mitteilen, dass wir dieses Modul nicht besprechen werden, da es – ebenso wie minfrag – von der Zeit eingeholt wurde und in den neueren Versionen von Snort nicht mehr implementiert ist. Stream4 Mit diesem Modul haben die Schöpfer von Snort den Administratoren im Kampf gegen einige böswillige Hacker eine mächtige Waffe an die Hand gegeben. Die Systemverantwortlichen haben damit die Möglichkeit TCP-Streams wieder zusammenzuführen und genauestens zu analysieren. Sie können damit 256 TCPStreams aufzeichnen und mit bis zu 65.000 TCP-Verbindungen fertig werden. Stream4 bietet dabei zwei konfigurierbare Module: den stream4 preprocessor und das damit verbundene stream4 reassembly Plugin. Die damit verfügbaren Optionen finden Sie unter der jetzt aufgeführten Syntax. Stream4: preprocessor stream4: [noinspect], [keepstats], [timeout <seconds>], [memcap ], [detect_scans], [detect state_problems] noinspect
»stateful inspection« deaktivieren
keepstats
schreibt Zusammenfassung der Sitzung in /session.log
timeout <Sekunden>
Gibt an, wie lange ein inaktiver Stream im »state table« gehalten werden soll. Sessions, die schon gelöscht wurden, werden automatisch wieder aufgenommen, falls mehr Aktivität zu sehen ist. Der Defaultwert liegt dabei bei 30 Sekunden.
memcap
Gibt an, wo die Speicherkapazität anzusetzen ist. Wenn das Limit erreicht ist, werden inaktive Sessions gewaltsam hinausgeschmissen. Der Defaultwert liegt bei 8 MB.
detect_scans
Aktiviert Alarm für Portscan-Events
1.2 Snort
35
detect_state_problems
Aktiviert Alarm für stream-Events (zum Beispiel ausweichende RST-Pakete, Daten in einem SYN-Paket und Sequenznummern, die außerhalb eines Bereichs liegen).
Stream4_Reassembly: preprocessor stream4_reassemble: [clientonly], [serveronly], [noalerts], [ports <portlist>] clientonly
Ermöglicht Reassembly nur für die Clientseite einer Verbindung.
serveronly
Ermöglicht Reassembly nur für die Serverseite einer Verbindung.
noalerts
Deaktiviert Alarm für Events, die möglicherweise »insertion« oder »evasion attacks« sind.
ports
<portlist> – Die Portliste gibt an, für welche Ports Reassembly aktiviert werden soll. Für diese Funktion stehen zwei vordefinierte Variablen zur Verfügung: »All« aktiviert Reassembly für alle Ports und »default« für die Ports 21 23 25 53 80 110 111 143 und 513. Die Ports sind mit einem Leerzeichen zu trennen.
Bemerkungen zu diesem Modul: Falls man die beiden Optionen (stream4 und stream4_Reassembly) ohne Argumente in der Konfigurationsdatei snort.conf aktiviert, werden sie mit folgenden Defaultwerten gestartet. Argument
Defaultwert
Session Timeout
30 Sekunden
Speicherkapazität einer Session
8388608 Bytes
Stateful Inspection
Aktiviert
Stream Stats
Nicht aktiviert
State Problem Alerts
Nicht aktiviert
Portscan Alerts
Nicht aktiviert Tabelle 1.9 Stream4-Defaultwerte
36
1 Intrusion Detection Systems
Argument
Defaultwert
Reassembly Client
Aktiviert
Reassembly Server
Nicht aktiviert
Reassembly Ports
21 23 25 53 80 143 110 111 513
Reassembly Alerts
Aktiviert
Tabelle 1.10 Stream4_Reassembly-Defaultwerte
Mit stream4 führt Snort einen neuen Kommandozeilenswitch ein: -z. Dieser Switch kann mit zwei Argumenten aufgerufen werden: est und all, wobei all den Defaultwert darstellt und Snort übergibt, das es normal alarmieren soll. Das Argument est hingegen bewirkt, dass Snort nur bei TCP-Streams, die durch einen Drei-Wege-Handshake etabliert wurden, und bei Streams, bei denen eine bidirektionale Aktivität beobachtet werden konnte (wie zum Beispiel auf ein Paket, das als Antwort kein RST oder FIN zurückschickt), Alarm schlägt. Falls man den -z-Switch benutzt, ignoriert Snort TCP-basierende stick/snot-Angriffe. Man hat diesen Switch aus wohlüberlegten Gründen eingeführt. Stellen Sie sich vor, Sie haben ein Subnetwork oder ein Network, wo einige IP-Pakete mit einer ungültigen Checksumme »umherschwirren«. Unter Umständen werden diese den Switch oder den Router niemals passieren. Falls man Snort jetzt die Aufgabe stellt, diese Pakete auch zu untersuchen, verschenkt man wertvolle Rechenzeit (diese Aufgabe erledigt ein Subsystem in Snort). Deshalb hat man den Administratoren mit dem -zSwitch die Möglichkeit gegeben das für die Überprüfung zuständige Subsystem abzuschalten (oder es zu modifizieren) ohne dafür eigenen Code schreiben zu müssen. Diese Neuerung ist aber nicht die einzige. Mit dem -k-Switch hat man die Möglichkeit das im vorherigen Abschnitt erwähnte Problem mit den Checksummer auf eine elegantere Art zu lösen. Anstatt das komplette Subsystem (das für die Überprüfung zuständig ist) abzuschalten, kann man es mit diesem Switch für seine Zwecke modifizieren. Folgende Optionen sind für den -k-Switch verfügbar: Optionen
Beschreibung
Noip
Schaltet IP-Checksummenüberprüfung ab
Notcp
Schaltet TCP-Checksummenüberprüfung ab
Noupd
Schaltet UDP-Checksummenüberprüfung ab
Noicmp
Schaltet ICMP-Checksummenüberprüfung ab
None
Schaltet alle Checksummenüberprüfungen ab Tabelle 1.11 Verfügbare Optionen für den »-k«-Switch
1.2 Snort
1.2.6
37
Output-Module
Seit der Version 1.6 hat man auch unter Snort die Möglichkeit, die Formatierung und die Präsentation des Outputs wesentlich flexibler zu gestalten. Die Outputmodule von Snort starten, wenn die Alarm- und Loggingsubsysteme aufgerufen werden, aber nach dem Preprozessor und nach der Detectionengine. Dabei ist das Format im Regelfile sehr ähnlich dem des Preprozessors. Man kann für diesen Zweck mehrere Output-Plugins in der Konfigurationsdatei spezifizieren. Falls dabei mehrere Plugins desselben Typs aufgeführt werden (alert, log), werden diese in Reihe ausgeführt, falls ein Event auftritt. Genauso wie die Standard-Logging- und Alarmsysteme senden Output-Plugins ihre Daten in die Standardlogdatei /var/log/snort oder in ein vom User angegebenes File (zu spezifizieren mit der -l-Option). Output-Module werden durch die Spezifizierung der Output-Option im Regelfile zur runtime geladen. output : output alert_syslog: LOG_AUTH LOG_ALERT
In den folgenden Abschnitten werden wir die zurzeit verfügbaren Module kennen lernen. Alert_syslog Dieses Modul schreibt Alarmbenachrichtigungen in die vom System vorgegebene Logdatei (ähnlich zum -s-Switch). Man kann aber auch selbst das Logfile (Facilities) angeben, außerdem ist es möglich, Prioritäten innerhalb der Regeldatei zu vergeben. In der folgenden Auflistung finden Sie eine Aufstellung der verfügbaren Argumente für dieses Modul. Options
LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID
Facilities
LOG_AUTH LOG_AUTHPRIV LOG_DAEMON LOG_LOCAL0 LOG_LOCAL1
38
1 Intrusion Detection Systems
LOG_LOCAL2 LOG_LOCAL3 LOG_LOCAL4 LOG_LOCAL5 LOG_LOCAL6 LOG_LOCAL7 LOG_USER
Priorities
LOG_EMERG LOG_ALERT LOG_CRIT LOG_ERR LOG_WARNING LOG_NOTICE LOG_INFO LOG_DEBUG
Die dazu passende Syntax sieht folgendermaßen aus: alert_syslog: <priority>
Alert_fast Dieses Modul schreibt die Alarmnachrichten innerhalb einer Zeile in das Outputfile. Diese Methode ist schneller als das Alert_full-Modul, da es nicht den kompletten Header in die Output-Datei schreibt. Wie immer werden Sie hier die Syntax und ein dazu passendes Beispiel kennen lernen. alert_fast: output alert_fast: alert.fast
Alert_full Wie wir bei der Erklärung des Alert_fast-Moduls schon gesehen haben, schreibt Snort bei dieser Methode den gesamten Header in die Loggingdatei (/var/ log/snort oder in die vom User spezifizierte Datei). Da Snort bei dieser Option noch einige Dateien für die Dekodierung der Pakete, die den Alarm ausgelöst haben, anlegt, sollte man diese Option nur verwenden, wenn man eine genaue Analyse seines Netzwerkverkehrs braucht und/oder ein sehr langsames Netz hat. alert_full: output alert_full: alert.full
1.2 Snort
39
Alert_smb Wir haben am Anfang gesehen, dass Snort nicht die Möglichkeit besitzt den Administrator zu benachrichtigen. Dieses Problem haben wir gefixt, indem wir ein Pagerprogramm wie YAPS eingesetzt haben. Dabei haben wir aber gesehen, dass es die Möglichkeit der SMB-Benachrichtigung gibt, aber wir diese aufgrund der Sicherheitsbedenken nicht einsetzen wollen. Außerdem handelt dieses Buch von Linux-Security und in einem solchem Werk sollten NETBIOS Tools und Ähnliches meiner Meinung nach nicht beschrieben werden. Ich bitte Sie also an dieser Stelle, diese Möglichkeit nicht zu nutzen, und werde sie auch nicht näher beschreiben (wie gesagt dürfte es die meisten Leser sowieso nicht betreffen, da diese ein Serversystem ohne Windows fahren). Falls es aber aus irgendwelchen Gründen für Sie doch notwendig sein sollte, dieses Modul zu starten, können Sie dies anhand folgender Syntax bewerkstelligen. alert_smb: output alert_smb: workstation.list
Alert_unisock Obwohl dieses Modul noch in der Experimentalphase steckt, wollen wir es an dieser Stelle aufführen, da es eine gute Alternative zu SMB ist und im Allgemeinen eine gewisse Möglichkeit der Benachrichtigung in einem Netzwerk darstellt. Man hat hierbei die Möglichkeit Alarmbenachrichtigungen auf einen Unixdomainsocket zu schicken. Andere Programme können nun auf diesen Socket »horchen« und diese Nachrichten oder auch Paketdaten in Echtzeit empfangen. alert_unixsock output alert_unixsock
Log_tcpdump Obwohl wir schon andere Möglichkeiten kennen gelernt haben, um die Loggingdaten im tcpdump-Format zu erhalten, wollen wir auch einen Blick auf das Output-Modul werfen, das uns dies ermöglicht. Um eine unnötige Wiederholung zu vermeiden, werde ich an dieser Stelle die Vorteile dieses Formats nicht noch einmal besprechen und gleich zur Syntax übergehen. log_tcpdump: output log_tcpdump: snort.log
XML XML dürfte mittlerweile für jeden, der in der IT-Branche progressiv arbeitet, ein Begriff sein. Auch Snort führt nun ein XML-Plugin mit, welches es ermöglicht, in SNML (simple network markup language alias snort markup language) in eine Datei oder über das Netzwerk zu loggen. Wir haben bei der allgemeinen Besprechung von Snort schon gesehen, dass es manchmal notwendig und sinnvoll ist, in eine zentrale Logdatei zu schreiben. Mit diesem Plugin ist es nun möglich, einen
40
1 Intrusion Detection Systems
oder mehrere Sensoren im Netzwerk dazu zu bringen, in eine solche zentrale Datenbank zu loggen. Außerdem erlaubt es dieses Modul, automatisch Alarmbenachrichtigungen an das CERT Coordination Center zu senden. Selbstverständlich ist diese Erweiterung von Snort ein phantastisches Hilfsmittel bei der Administration, aber Sie sollten dennoch bedenken, dass sich dieses Modul noch in der Entwicklungsphase befindet und daher noch nicht voll einsatzfähig ist. Den aktuellen Stand dieses Projekts können Sie (und sollten Sie) stets unter der Adresse http://www.cert.org/DTD/snml-1.0.dtd erfragen. Die dazugehörige Syntax und die verfügbaren Parameter werden Sie im nächsten Abschnitt erfahren. output xml: [log | alert], [Parameterliste]
Verfügbare Parameter: [log | alert]
Spezifiziert log oder alert, um den XML-Plugin mit der log- oder alertFacility zu verbinden.
Parameterliste
Die Parameterliste enthält key/value-Paare, welche jeweils mit einem Leerzeichen zu trennen sind (Format: key=value). file: Falls dies der einzige Parameter ist, wird in eine Datei auf dem lokalen System geloggt. Ansonsten (falls http oder https eingebunden ist) stellt file das Script dar, das auf einem Remotesystem ausgeführt werden soll. protocol: Die möglichen Werte (values) für dieses Feld können Sie Tabelle 1.12
entnehmen. Werte (values)
Beschreibung
http
Sendet einen POST über http zu einem Webserver (benötigt einen [file]-Parameter)
https
Ähnlich zu http, mit dem Unterschied der SSL-Verschlüsselung (benötigt einen [file]-, [cert]- oder [key]-Parameter)
tcp
Eine einfach TCP-Verbindung. Dazu benötigen Sie ein Programm, das auf einen bestimmten Port horcht. (benötigt einen [port]-Parameter)
iap
Dies stellt eine (noch nicht funktionierende) Implementierung eines Intrusion Alert Protocols dar. Tabelle 1.12 Values für Protocol
host: Gibt den Port auf dem Remoterechner an, zu dem die Logs gesendet werden. Die Defaultwerte können Sie Tabelle 1.13 entnehmen.
1.2 Snort
41
Protokoll
Defaultports
http
80
https
443
Icp
9000
Iap
9000 Tabelle 1.13 Defaulports für host
cert: Nur jemand, der https einsetzt, muss diese Aufgabe bewältigen. Wir
könnten über die Option seitenweise diskutieren und damit sicherlich auch einiges lernen. Doch dies soll eine Kurzbesprechung einiger Optionen werden. Zuerst sollten Sie die Option kennen lernen, die es Ihnen ermöglicht, einen Schlüssel (mit dem X.509 Zertifikat) zu erstellen: % openssl x509 -subject -in <server certificate>
Der folgende Abschnitt soll Ihnen die Konfiguration innerhalb eines Snortsenors anhand des sanatize-Arguments näher bringen. Ein wichtiges Argument innerhalb eines Snortsensors ist sanatize. Dieses Argument ist eine Kombination aus dem Netzwerk und der Netzwerkmaske. Jede IPAdresse innerhalb eines Bereichs, den Sie durch dieses Argument spezifizieren, wird durch xxx.xxx.xxx.xxx repräsentiert. Sie können auch Alarme mit diesem Argument definieren, dann wird kein Anhang eines Pakets mitgeloggt. Sie können dieses Argument mehrfach nutzen, um mehrere IP-Bereich anzugeben. Sie können die Logdaten leider nur in binärer Form aufzeichnen, da es zurzeit keinen Standardweg gibt, um diese in ASCII umzuwandeln. Welche binäre Form für Sie am besten geeignet ist, können Sie aus den folgenden Punkten entnehmen.
hex: Sie können die binären Daten als HEX anzeigen lassen (Dies stellt die
Defaulteinstellung dar). Die für Sie verfügbaren Optionen hierbei finden Sie in Tabelle 1.14.
Option
Kommentar
storage requirements
2x Größe von binären Daten
Searchability
Empfehlenswert
human readability
Sehr schwer zu lesen, benötigt post processing Tabelle 1.14 Optionen zu hex
base64: Daten werden in base64 Strings dargestellt. Hier wird Ihnen die
dazugehörige Tabelle 1.15 weiterhelfen.
42
1 Intrusion Detection Systems
Option
Kommentar
storage requirements
1.3x Größe von binären Daten
Searchability
Ohne post processing unmöglich
Human readability
Sehr schwer zu lesen, benötigt post processing Tabelle 1.15 Optionen zu base64
ascii: Hierbei werden die Daten im ASCII-Format dargestellt. Seien Sie aber sehr vorsichtig damit, denn dies ist die einzige Option, bei der Sie tatsächlich Daten verlieren. Nicht-ASCII-Zeichen werden als ».« dargestellt. Falls Sie sich für diese Option entscheiden, sollten Sie wissen, dass es keinen Sinn macht, Daten für IP- und TCP-Daten in ASCII darzustellen, deshalb werden sie auch in HEX dargestellt. Wie bei den beiden vorhergegangenen Punkten werden Sie zum besseren Verständnis auch hier eine Tabelle mit den Optionen und Martin-Roesch-Kommentaren dazu finden (Tabelle 1.16).
Option
Kommentar
Storage requirements
Nur ein bisschen größer als binäre Daten, da einige Charakter mit Sonderzeichen versehen sind.
Searchability
Sehr brauchbar, falls Sie nach Textstrings suchen, die Suche nach binären Stings stellt sich als unmöglich dar.
Human readability
Sehr gut Tabelle 1.16 Optionen zu ascii
detail: Diese Option erweist sich als sehr brauchbar, wenn Sie sehr viele
Daten von Snort bekommen. Hierbei können Sie angeben, wie viele Details Sie gerne gespeichert hätten.
Optionen
Beschreibung
Fast
Bei dieser Option speichern Sie nur ein Minimum der Daten, dies kann die Analyse zwar sehr einschränken, bietet sich aber dennoch als beste Lösung für einige Applikationen an. Die folgenden Felder werden geloggt. Timestamp Signature Quell-IP-Adresse Ziel-IP-Adresse Zielport Quellport TCP Flags Protokoll
Full
Loggt die gesamten Daten des Pakets, welches den Alarm ausgelöst hat Tabelle 1.17 Optionen zu detail
1.2 Snort
43
Sollten Sie diesen Abschnitt nicht sofort verstanden haben, ist dies nicht weiter schlimm. Wir haben es hier mit einer durchaus komplexen und sehr umfangreichen Option zu tun, die man unmöglich bis ins kleinste Detail beschreiben kann, wenn man den Rahmen des Kapitels in einem vernünftigen Maße halten will. Die hier aufgeführten Daten beruhen zum Großteil auf den Schriften von Martin Roesch und sollten Ihnen (mit Hilfe der Manpages) einen kompletten Eindruck über die Funktionsmöglichkeiten von Snort geben. Zum Abschluss dieses Abschnittes werden wir einen Blick auf die Syntax werfen, welche die besprochene Theorie etwas verdeutlichen sollte. xml: output xml: log, file=output output xml: log, protocol=https host=air.cert.org file=alert.snort cert=mycert.crt key=mykey.pem ca=ca.crt server=srv_list.lst
Database Dieses Output-Modul von Jed Pickel ermöglicht es, Daten an eine SQL-Datenbank zu schicken. Die zu übergebenden Argumente dafür sind die Datenbank, in die geloggt werden soll, und die Parameterliste (Format: Parameter = Argument). Werfen Sie dazu einen Blick auf die Syntax, gefolgt von der Beschreibung der verfügbaren Parameter. database: , , <parameter list>
Verfügbare Parameter:
host: Dieser Parameter gibt den Host an, mit dem eine Verbindung initialisiert
werden soll. Falls Sie keinen Hostnamen übergeben, wird sich Snort mit Hilfe eines lokalen Unix Domain Sockets verbinden port: Spezifiziert den Port auf dem Serversystem, auf dem die Verbindung zu Stande kommen soll. Kann aber auch die Socket Filename Extension der Unix Domain Verbindungen angeben. dbname: Datenbankname und Username für die Datenbank password: Gibt das Passwort für die Datenbank an, falls die Datenbank da-
nach verlangen sollte.
sensor_name: Mit diesem Parameter können Sie Ihrem Snortsenor einen eige-
detail: Die Beschreibung zu Detail ist identisch mit der Detailbeschreibung
nen Namen geben. Falls Sie aber keinen Namen angeben, wird Snort automatisch einen Namen dafür generieren. Auch hierbei müssen wir wieder ein Wort zur Kodierung verlieren. Da Snort keinen Standard vorgibt, können Sie wieder auswählen, welcher für Sie der geeignete ist. Betrachten Sie dazu Tabelle 1.14 bis Tabelle 1.16. des XML-Moduls.
44
1 Intrusion Detection Systems
Bitte beachten Sie bei diesem Modul die Option »log«. Denn zurzeit unterstützt Snort vier Datenbanken, die Sie mit dieser Option definieren. 1. MySQL 2. PostgreSQL 3. Oracle 4. Unix-ODBC-kompatible Datenbanken 5. Die genaue Syntax dazu lautet: output database: log, mysql, dbname=snort user=snort host=localhost password=snort
CSV Dieses Modul erlaubt es, Alarmnachrichten in einem Format zu loggen, welches leicht in Datenbanken importiert werden kann. Dieses Plugin benötigt zwei Argumente: die Pfadangaben für die Logdatei und das Format. In der folgenden Auflistung können Sie erkennen, welche Formatierungen Ihnen hierbei zur Verfügung stehen:
timestamp msg proto src srcport dst dsport ethsrc ethdst ethlen tcpflags tcpseq tcpack tcplen tcpwindow ttl tos id dgmlen
1.2 Snort
45
iplen icmptype icmpcode icmpid icmpseq
Um dieses Plugin nutzen zu können, verwenden Sie bitte folgende Syntax: output CSV: output CSV: /var/log/alert.csv default output CSV: /var/log/alert.csv timestamp, msg
Unified Dieses Plugin stellt den schnellstmöglichen Weg dar, um in Snort Daten zu loggen. Dabei loggt es in ein Alarmfile und in ein Paketlogfile. Das Alarmfile enthält dabei die High-Level-Details eines Events (ips, protocol, port, message id), das Paketlogfile hingegen enthält detaillierte Informationen über ein Paket und die entsprechende message-id. Beide Dateien enthalten binäre Daten. Die Beschreibung zum Format dieser Daten können Sie der Datei spo_unified.h entnehmen. Auch hier haben Sie die Möglichkeit die Verwendung dieses Moduls anhand der Syntax und eines Beispiels zu erlernen. output output output output
alert_unified: log_unified: alert_unified: snort.alert log_unified: snort.log
SNMP Trap Mit Hilfe dieses Moduls können Sie Alarmnachrichten an eine Network-Management-Station schicken. Zur Verwendung benutzen Sie bitte folgende Syntax. trap_snmp: : alert, <sensorID>, {trap | inform}, [SnmpOptions] , <snmptrapdAddress>,
Verfügbare Optionen:
alert: Gibt an, welche Alarmtypen an die NMS weitergeleitet werden sollen senorID: Bezeichnet die Sensor-ID, um verschiedene Systeme zu unterschei-
den trap: Bei Angabe dieser Option wird SNMP v2 traps verwendet inform: Verwendet SNMP v2 informs SNMPOptions: Die verfügbaren Optionen finden Sie in Tabelle 1.18.
46
1 Intrusion Detection Systems
Option
Beschreibung
-v 2c
SNMP v2 c community
-p
Remoteportnummer für Empfänger Tabelle 1.18 Verfügbare Optionen zu SNMPOptions
snmptrapdAddress: Netzwerkadresse für SNMP-Empfänger community: SNMP community String
Ein passendes Beispiel dazu könnte folgendermaßen aussehen: trap_snmp: alert, internal, trap, 192.168.1.10, private
Log Null Es kann durchaus in einigen Fällen nützlich sein, über einen Alarm informiert zu werden, ohne dass dies gleich einen Logfileeintrag zur Folge hat. Das können Sie mit diesem Plugin (und dem »-n« Kommando) bewerkstelligen. output log_null
Sie können damit aber auch einen eigenen Regeltypen erstellen (wir haben dies ja bereits kennen gelernt):
ruletype info { type alert output alert_fast: info.alert output log_null }
Dies ist ein Regeltyp, der zwar über einen Alarm informiert, aber keinen Logfileeintrag hervorruft.
1.2.7
Fazit
Wie Sie gesehen haben, ist Snort ein unglaublich mächtiges Werkzeug und bietet eine Vielzahl von Optionen. Wenn Sie dieses Kapitel gründlich gelesen und die aufgeführten Beispiele ausprobiert haben, sollten Sie fit genug sein, um Ihr eigenes sicheres Snortsystem aufzuziehen, und damit wieder etwas an Boden gegenüber Angreifern gewonnen haben. An dieser Stelle möchte ich mich aber noch kurz entschuldigen, dass einige Optionen, Argumente, Module oder Parameter etwas zu kurz kamen. Aber es ist einfach nicht möglich, alle Informationen ausführlich aufzuführen, da dies mit Sicherheit den Rahmen des Buchs sprengen würde.
2 Netzwerk-Tools Ich muss gestehen, ich war mir nicht sicher, ob ich dieses Kapitel ins Buch mit aufnehmen sollte, da es vielleicht auf den ersten Blick keinen direkten Bezug zur ITSecurity unter Linux aufweisen kann. Doch das ist ein reines Definierungsproblem. Wer ein sicheres Linuxsystem auf die Beine stellen will, der wird sein Ziel nicht erreichen, wenn er nur so genannte »reinrassige« Security-Tools verwendet. Denn es werden Situationen aufkommen, in denen ein Administrator bestimmte Vorgänge in seinem Netzwerk nicht versteht und ein ihm noch nicht bekanntes Problem lösen muss. Es wäre möglich, dass die Lösung eines solchen Problems in einem Sicherheitstool zu finden ist. Aber welches Programm man für die Beseitigung des Missstandes einsetzen muss, das ist bei der Problementdeckung natürlich noch nicht klar. Um nun einer solchen Situation Herr zu werden, muss man das Problem zerlegen. Man muss Schritt für Schritt analysieren, an welchem Punkt sich (zum Beispiel) Pakete abnorm verhalten oder an welcher Stelle ein Signal verloren geht. Damit man eine solche Fehlersuche durchführen kann, benötigt man wiederum Programme, die einem dabei helfen. Und genau diese Tools möchte ich Ihnen in diesem Kapitel näher bringen.
2.1
Traceroute
Obwohl ich mir sicher bin, dass bereits die meisten Leser dieses Utility kennen, werde ich es an dieser Stelle trotzdem ansprechen, da es einfach ein unverzichtbares Programm in der Bekämpfung der Netzwerkgeräte ist, die Pakete verwerfen. Wir alle wissen, dass das Internet alles andere ist als ein perfekt geplantes und gut strukturiertes Netzwerk. Es ist ein riesengroßes, ständig wachsendes Gebilde an Rechnern, Routern und ähnlichen Netzwerkgeräten, die weltweit miteinander verbunden sind und versuchen Daten auszutauschen. Jetzt hat man bereits versucht den anhaltenden Paketverlusten im Internet mit der Implementierung der TCP/IP-Protokollsuite entgegenzuwirken, doch leider müssen geplagte Admins wie wir täglich feststellen, dass auch das beste verbindungsorientierte Protokoll nichts gegen den Paketverlust anrichten kann, den wir täglich erleiden müssen. Richtig schlimm ist es jedoch, wenn man merkt, dass sich jetzt auch ein solcher Bug in das hauseigene Netzwerk eingeschlichen hat und auf mysteriöse Weise einige Pakete nie ihr Ziel erreichen. Oftmals haben wir nur ein kleines Netz und es stehen keine Ausweichrouten wie im Internet zur Verfügung und falls doch, geht unser Durchsatz merklich in den Keller. Was bleibt uns also anderes übrig als Pakete bis zu ihrem Verschwinden zu verfolgen und somit den Übeltäter, der unsere Daten verschlingt, zu entlarven und dem ein jähes Ende zu bereiten. Genau dafür hat man uns Administratoren Traceroute geschenkt. Dieses Tool erlaubt es, unseren Plan der Paketverfolgung bis zum Verschwinden durchzuführen, und gibt uns somit die Möglichkeit schnell an die Wurzel des Problems zu gelangen.
48
2 Netzwerk-Tools
An sich ist es ein sehr einfach gehaltenes Programm, das eigentlich nur ein Argument braucht, um zu funktionieren und seinen Dienst zu tun (die IP-Adresse oder den Hostnamen). Nachdem man das Programm installiert hat (sollte bei jeder Distribution mitgeliefert werden und falls nicht, ist es überall im Internet erhältlich), kann man sofort damit beginnen, die Paketwege nachzeichnen zu lassen. Dazu ruft man das Programm auf und übergibt die IP-Adresse oder den Rechnernamen, der das Paket erhalten soll, es aber leider nie bekommt, da es irgendwo auf dem Weg dorthin verloren geht. Die Syntax dafür sieht logischerweise so aus: Traceroute 10.209.100.1
Das folgende Listing zeigt Ihnen eine Beispiel-Paketverfolgung mit Traceroute: traceroute to 62.54.19.249 (62.54.19.249), 30 hops max, 40 byte packets 1 cishelios2.helios.de (193.141.98.1) 3 ms 2 ms 2 ms 2 pop9.pop-hannover.de (193.98.1.212) 5 ms 5 ms 5 ms 3 popcore.pop-hannover.de (193.98.1.213) 4 ms 4 ms 4 ms 4 ffmcore.pop-hannover.net (62.48.66.58) 43 ms 24 ms 24 ms 5 62.67.32.137 (62.67.32.137) 24 ms 24 ms 24 ms 6 unknown.Level3.net (195.122.136.45) 24 ms 24 ms 24 ms 7 rdcx-frnk-de01.mediaways.net (194.31.232.89) 24 ms 24 ms 24 ms 8 rmws-frnk-de01-ln5-6-0.nw.mediaways.net (213.20.255.237) 25 ms 25 ms 25 ms 9 rmws-stgt-de01-pp3-3-3.nw.mediaways.net (195.71.254.126) 29 ms 29 ms 29 ms 10 rmws-mnch-de01-pp3-5-0-0.nw.mediaways.net (195.71.254.78) 48 ms 41 ms 33 ms 11 srv48.mnc2.mediaWays.net (62.53.207.94) 33 ms 35 ms 33 ms 12 mnc2-3e3613f9.pool.mediaWays.net (62.54.19.249) 288 ms 260 ms 258 ms
So sieht eine Tracerouteausgabe aus, wenn Sie keine weiteren Parameter angeben. Um die Ausgabe zu verändern oder andere Schwerpunkte zu legen, können Sie einen der folgenden Parameter zur Spezifizierung nutzen.
2.1.1
Optionen
Optionen
Beschreibung
-l
Zeigt den TTL-Wert des Antwortpaketes an. Dies kann sehr nützlich sein, falls Sie asymmetrisches Routing überprüfen wollen.
-m max_ttl
Diese Option gibt an, wie hoch der maximale time-to-live-Wert in ausgehenden Paketen sein darf. Der Defaultwert hierbei liegt bei 30 Hops. Tabelle 2.1 Verfügbare Argumente für Traceroute
2.1 Traceroute
49
Optionen
Beschreibung
-n
Diese Option verändert die Ausgabe Ihres Testlaufes ein wenig. Hierbei wird anstatt des Hostnamens die IP-Adresse des Gateways ausgegeben.
-p port
Damit können Sie den UDP-Port, der in den Tests verwendet wird, angeben (der Defaultwert liegt bei 33434). Sie müssen diesen Parameter eigentlich nicht ändern, außer Sie wissen, dass ein bestimmtes Programm auf einem Gateway auf diesem Port »horcht«.
-q nqueries
Diese Option gibt an, wie viele Pakete losgeschickt werden sollen. Der Defaultwert liegt bei drei.
-r
Mit dieser Option umgehen Sie die Routingtabellen und sprechen den Host direkt an.
-s src_addr
Hiermit können Sie die IP-Adresse der ausgehenden Pakete setzen (bitte beachten Sie aber dabei, dass Sie eine IP-Adresse und keinen Hostname angeben müssen). Dies ist nützlich, falls Ihr Rechner mehrere IP-Adressen belegt.
-t tos
Um den type-of-service-Wert in ausgehenden Paketen auf einen anderen Wert zu setzen (der Defaultwert liegt bei Null), können Sie diese Option benutzen. Sie können diese Option nutzen, um zu sehen, ob das Paket einen anderen Weg einschlägt, falls Sie den tos-Wert ändern.
-v
Falls Sie dieses Argument übergeben, werden alle erhaltenen ICMPPakete angezeigt (außer TIME_EXCEEDED und UNREACHABLE)
-w
Hiermit können Sie angeben, wie lange auf ein Antwortpaket gewartet wird. (Der Defaultwert liegt bei drei Sekunden). Tabelle 2.1 Verfügbare Argumente für Traceroute (Forts.)
2.1.2
Funktionsweise
Bevor wir auf die technische Seite von Traceroute eingehen, werden wir vorher noch kurz erörtern, wobei einem dieses Werkzeug behilflich sein kann. Wie wir in der Einführung schon gesehen haben, ist Traceroute ein sehr nützliches Programm um defekte Gateways in einem Netzwerk zu finden. Dies ist aber nicht die einzige Hilfestellung, die man von diesem Netzwerktool angeboten bekommt. Im Folgenden werden Sie eine Auflistung einsehen können, die Ihnen einige Situationen näher bringt, in denen Ihnen Traceroute behilflich sein kann. Einsatzmöglichkeiten
Providertest
Das Internet wächst und gedeiht. Es bringt neue Arbeitsplätze und schafft eine gute Basis für Neugründungen. Unter diesen Firmenneugründungen befinden sich auch sehr viele Internet Service Provider, die durch ihren Preis bestechen. Doch nicht nur der Preis ist bei der Providerwahl entscheidend. Neben dem Finanziellen stellt auch die zur Verfügung gestellte Bandbreite eine entscheidende Richtlinie zur Auswahl
50
2 Netzwerk-Tools
dar. Wer sich nicht auf die providereigenen Angaben über die Geschwindigkeit ins Internet verlassen will, kann diese mit Traceroute testen und entscheiden. Nachdem Sie das Preis/Leistungsverhältnis dank Traceroute einsehen konnten, stellt sich noch die Frage, ob wirklich jeder Provider sein eigener Chef ist und sein eigenes Rechenzentrum besitzt. In der Praxis ist dies nicht immer der Fall. Ein eigenes Rechenzentrum kostet enorm viel Geld, Fachwissen und Administrationsaufwand. Viele Neueinsteiger wollen anfangs natürlich die Kosten gering halten und fragen daher an, ob Sie sich vielleicht in ein anderes Rechenzentrum einmieten können. Mit Traceroute haben Sie die Möglichkeit genau festzustellen, wo dieses Rechenzentrum ist und wie schnell es erreichbar ist. Wie und ob Sie diese Information nutzen, bleibt Ihnen überlassen. Aber es ist immer besser, etwas mehr zu wissen.
Erreichbarkeit
Es kann durchaus von Vorteil sein, die Erreichbarkeit eines bestimmten Rechners oder Netzwerkes von mehreren Stellen aus zu testen oder auch zu bestimmen Tageszeiten (zum Beispiel merken es einige Internetsurfer extrem, wie ihr Datendurchsatz an Feiertagen dank der Telekom-XXL-User sinkt).
Erstellung eines Netzwerkplans
Dokumentation ist ein wichtiger Bestandteil der Aufgaben eines Administrators. Traceroute kann dabei sehr hilfreich sein, indem es zum Beispiel fast die komplette Routenplanerstellung übernimmt. Datenversand im Internet Nachdem wir nun wissen, wozu man dieses Programm nutzen kann, sollten wir uns daran machen, seine Funktionsweise zu verstehen. Um diese vollkommen zu verstehen, müssen wir als Erstes wissen, wie man im Internet Daten verschickt. Nehmen wir dazu an, dass Sie eine Datei auf einen FTP-Server schieben wollen. Das Einzige, was Sie vom Datenversand mitbekommen, ist Ihre Befehlseingabe und das Feedback des FTP-Servers: ftp www.server.de put datei quit
Das sind die einzigen Befehle (außer der Authentifizierung), die Sie angeben müssen. Den Rest erledigen das File Transport Protocol und die aufgerufene Applikation für Sie. (Dabei ist es egal, ob Sie nun eine Datei auf einen FTP-Server schieben oder eine Internetseite öffnen wollen. Das Prinzip ist immer dasselbe). Als Erstes wird Ihre Datei in kleine Stücke zerlegt, die sich alle einzeln auf den Weg zum Ziel machen. Um dieses Ziel zu erreichen müssen diese Pakete bestimmte Gateways passieren, welche die Pakete an den nächsten weiterreichen. Dieser Prozess wird so lange durchgeführt, bis das Paket am Zielort angekommen ist. Dort wird es wieder zusammengebaut und auf Fehler überprüft. Außerdem erhält der Absender eine Antwort,
2.1 Traceroute
51
dass alles gut geklappt hat. Dies war im Groben das Prinzip der Datenübertragung im Internet. Damit Sie die Funktionsweise von Traceroute aber verstehen können, müssen wir noch etwas tiefer in die Materie einsteigen. Wie Sie gesehen haben, passieren die versendeten Pakete Vermittlungsstellen (so genannte Gateways), welche die Pakete dann weiterleiten. Falls nun auf dem Weg zum Ziel ein Problem auftaucht (es könnte zum Beispiel ein Gateway nicht erreichbar sein), so wird das Paket zurückgeschickt und über einen anderen Weg weitergeleitet. Aus diesem Zurückschicken und Umleiten kann aber sehr schnell ein großes Problem mutieren. Es könnte nämlich durchaus vorkommen, dass ein Gateway (zum Beispiel ein Router) fehlerhaft arbeitet und die Pakete immer wieder zu seinem »Vordermann« zurückschickt, was wiederum zu einer Endlosschleife führen könnte. Um dies zu verhindern, hat man eine Begrenzung eingeführt, die besagt, dass maximal 255 Vermittlungsstellen passiert werden dürfen. Dies wird dadurch erreicht, dass Pakete einen bestimmten (8 Bit großen) Wert zugewiesen bekommen, der zwischen 0 und 255 liegen muss. Jeder Gateway, der passiert wird, hat nun die Aufgabe diesen Wert um 1 zu verringern. Erreicht diese Zahl den Wert 0, so wird das Paket gelöscht und der Gateway versendet eine Time exceeded in transit-Nachricht (über das Internet Control Message Protocol) an die Absendermaschine, was Ihnen diese über die Ausgabe eines time out auf Ihrem Bildschirm mitteilt. Sie brauchen sich jetzt aber keine Sorgen zu machen, dass Pakete, die einen langen Weg bis zum Ziel vor sich haben, nicht ankommen könnten, da zu viele Gateways passiert werden müssten. Das ist ausgeschlossen, da die meisten Rechner im Internet über 15 Hops (so nennt man den Sprung über einen Gateway) zu erreichen sind. Die Begrenzung für das Passieren der Gateways nennt man time-to-live-Wert (TTL) und genau hier setzt Traceroute an. Wie funktioniert Traceroute? Traceroute nutzt diesen time-to-live-Wert, um Ihnen alle passierten Hops mitzuteilen. Im Grunde ist die Funktionsweise einfach. Machen Sie sich das gerade eben verdeutlichte Modell der Datenübertragung im Internet noch einmal klar, denn genauso funktioniert Traceroute. Nachdem Sie Traceroute gestartet haben, generiert das Programm drei Pakete und setzt den time-to-live-Wert dieser Pakete auf 1. Natürlich werden diese Pakete nie beim Zielrechner ankommen (außer es liegt nur ein Gateway zwischen Sender und Empfänger), da der erste Gateway den Wert um eins verringert und die Pakete somit gelöscht werden und der Absender eine Fehlermeldung bekommt. Anhand dieser Fehlermeldung weiß Traceroute, dass das Paket angekommen ist, und erfährt gleichzeitig die IP des Gateways. Jetzt schickt das Programm wieder drei Pakete auf die Reise zum Zielrechner, doch diesmal setzt es den TTL-Wert auf 2, so dass auch der zweite Gateway erreicht wird. Dieses Spiel wird so lange wiederholt, bis die Pakete verloren gehen oder an ihrem Bestimmungsort angekommen sind.
52
2 Netzwerk-Tools
2.2
IPTraf
2.2.1
Allgemeines
Dieses von Gerard Paul Java geschriebene Programm ist eines der besten Network Statistics Utilities, die es auf dem Markt gibt. Wie Sie in der folgenden Auflistung sehen werden, erlaubt Ihnen dieses ncurses-basierende Program verschiedenste Statistiken anfertigen zu lassen. Im Laufe des Kapitels werden Sie mehr über diese Statistiken und die dazugehörigen Module erfahren. Dafür nehmen wir das offizielle Howto von Gerard Paul Java zur Hand.
TCP Info UDP Counts ICMP und OSPF Informations Ethernet Load Info Node Stats IP Checksum Errors Und so weiter
Bevor wir uns an die genaue Beschreibung dieses Netzwerk-Monitors machen, werde ich Ihnen ein kurzes Summary über dieses Programm vorstellen, damit Sie einen Überblick bekommen, was dieses Programm für Sie leisten kann. Funktionsumfang
Dieses Programm enthält einen IP-Traffic-Monitor, der Ihnen ein Bild über den IP-Datenverkehr, der sich über Ihr Netzwerk bewegt, verschafft. Dazu gehören Informationen über die TCP-Flags, Paket- und Byte-Counts. Außerdem noch Details über ICMP- und OSPF-Pakettypen. Zeigt allgemeine und detaillierte Interfacestatistiken über IP, TCP, UDP, ICMP, non-IP und andere IP-Pakete, IP-Checksummenfehler, Interfaceaktivitäten und Statistiken über die Größe der passierenden Pakete. Einen TCP- und UPD-Service-Monitor, der Ihnen anzeigt, wie viele eingehende und ausgehende Pakete gezählt wurden. Ein LAN-Statistik-Modul, das aktive Hosts sucht und deren Datentransferaktivität aufzeigt. TCP-, UDP- und andere Displayfilter, die es Ihnen ermöglichen, nur die Daten anzeigen zu lassen, die Sie auch sehen wollen. Eine Loggingfunktion Unterstützt Ethernet, FDDI, ISDN, SLIP, PPP und loopback Interfacetypen
2.2 IPTraf
53
Macht sich das build-in-raw-Interface des Linuxkernels zu Nutzen, um über eine enorm große Anzahl von verschiedenen Netzwerkkarten verfügbar zu sein. Menügesteuert
Unterstützte Protokolle
IP TCP UDP ICMP IGMP IGP IGRP OSPF ARP RARP
Nicht-IP-Packete werden einfach als »non-IP« deklariert und – in Ethernet LANS – mit der passenden Ethernetadresse versorgt. Unterstützte Schnittstellen
Local loopback All Linux-supported Ethernet interfaces All Linux-supported FDDI interfaces SLIP Asynchronous PPP Synchronous PPP over ISDN ISDN with Raw IP encapsulation ISDN with Cisco HDLC encapsulation Parallel Line IP
Nun sollten Sie oberflächlich über IPTraf Bescheid wissen und wir können uns an die Installation machen.
2.2.2
Installation
Bevor wir das Paket installieren können, müssen wir es aus einer sicheren Quelle beziehen. Da die meisten Distributionen IPTraf mitliefern, können Sie sich den Download sparen. Falls Sie aber die aktuellste Version haben wollen, werden Sie daran nicht vorbeikommen. Eine mögliche Bezugsadresse wäre: ftp://iptraf.seul.org/pub/ iptraf.
54
2 Netzwerk-Tools
Falls Sie das Paket über den Installationsmanager Ihrer Distribution installieren, können Sie diesen Punkt überspringen, falls nicht, folgen Sie bitte den Anweisungen um das Programm korrekt in Ihr System mit einzubinden. Als Erstes müssen Sie das Paket entpacken. Dazu geben Sie bitte folgende Befehle ein: Linux:~# tar zxvf iptraf-version.i386.bin.tar.gz Linux:~# cd iptraf-version Linux:~# ./Setup
Damit werden alle benötigten Ordner und Dateien erzeugt und Sie können IPTraf starten.
2.2.3
Start
IPTraf bietet Ihnen für die Arbeit ein sehr gutes Menü an. Dieses können Sie von der Konsole mit folgendem Befehl aufrufen: Linux:~# iptraf
Nachdem Sie den Befehl ausgeführt haben, erscheint das in Abbildung 2.1 gezeigte Menü.
Abbildung 2.1 Hauptmenü
Sie können IPTraf aber auch mit einigen Argumenten starten. Was diese bewirken wird Ihnen Tabelle 2.2 zeigen.
2.2 IPTraf
55
Argumente
Beschreibung
-i iface
Wenn Sie dieses Argument übergeben, zeigt Ihnen IPTraf sofort das gewünschte Interface, falls Sie -i all übergeben, werden Ihnen alle Interfaces gezeigt.
-g
Startet die allgemeinen Interface-Statistiken
-d iface
Zeigt detaillierte Statistiken für das spezifizierte Interface
-s iface
Startet den TCP/UDP Traffic-Monitor für das angegebene Interface
-z iface
Startet den Packet Size Breakdown für das angegebene Interface
-l iface
Startet den LAN Station Manager für das aufgeführte Interface. Auch hier hat man die Möglichkeit mit -l all alle Interfaces aufzeigen zu lassen.
-t timeout
Diesen Parameter finden Sie nur in der Kommandozeile; im Menümodus wird er ignoriert. Falls Sie dieses Argument zusätzlich mit einem anderen übergeben, wird die aufgerufene Option für timeout Minuten aktiv sein. Falls Sie diesen Parameter nicht angeben, wird die Option so lange laufen, bis Sie den Exitbutton betätigen.
-B
Diese Option leitet alle Ausgaben nach /dev/null (ins Nirwana), schließt die Standardeingabe und stellt das Programm in den Hintergrund. Dieses Argument kann nur zusammen mit den Optionen: -i, -g, -d, -s, -z oder -l übergeben werden.
-L Dateiname
Mit dieser Option können Sie ein eigenes Logfile spezifizieren, falls Sie keinen absoluten Pfadnamen angeben, wird ein neuer Ordner im Standardlogverzeichnis erstellt.
-q
Diesen Parameter benötigen Sie nicht mehr.
-f
Seien Sie bei der Benutzung dieses Parameters sehr vorsichtig, er bewirkt, dass IPTraf alle Einstellungen auf Null zurücksetzt und somit »denkt«, es wäre sein erster Aufruf.
-h
Ruft die Hilfefunktion auf Tabelle 2.2 Parameter für IPTraf
2.2.4
IPTraf Basics
Bevor wir auf die einzelnen Möglichkeiten, die dieses Programm bietet, eingehen, werden wir einige Basics darüber erfahren. Zahlensystem IPTraf kann Bytes und Pakete als Wert (Counts) ausgeben. Wenn diese größer werden, passt es das Programm an und stellt Ihnen eine andere Werteeinheit vor. Eine Zahl, die alleine – ohne einen Anhang – ausgegeben wird, stellt einen exakten Wert dar. In Tabelle 2.3 sehen Sie alle möglichen Einheiten, die einer Zahl vorgestellt werden können, und die passende Erklärung dazu.
56
2 Netzwerk-Tools
Anhang
Bedeutung
K
K steht für Kilo und bedeutet tausend
M
M steht für Mega und bedeutet eine Million
G
G steht für Giga und bedeutet eine Milliarde
T
T steht für Tera und bedeutet eine Billion Tabelle 2.3 Mögliche Zahlenwerte
Tabelle 2.4 enthält einige Beispiele zu diesen Zahlenwerten Beispiel
Bedeutung
18827937
18827937
1882K
Ungefähr 1882000
1882M
Ungefähr 1882000000
1882G
Ungefähr 1882000000000
1882T
Ungefähr 1882000000000000 Tabelle 2.4 Beispiele zu den Zahlenwerten
Instanzen und Logging Seit Version 2.4 ist es möglich, mehrere Instanzen eines Moduls zur selben Zeit in unterschiedlichen Prozessen laufen zu lassen (so können Sie jetzt zum Beispiel mehre IP Traffic-Monitore laufen lassen), obwohl Sie dabei unbedingt beachten müssen, dass jeweils nur eine Instanz auf ein bestimmtes Interface »lauschen« kann (oder auf alle). Wie jede Regel hat auch diese eine Ausnahme. So können Sie dieses neue Feature für alle Module anwenden bis auf das General Interface Statistics Modul, welches immer noch auf eine Instanz beschränkt ist. Diese Neuerung hat zur Folge, dass nun jede Instanz eigene Logfiles mit dem jeweiligen Instanznamen abhängig von ihrer Instanz oder vom Interface, auf dem sie lauschen generiert. Falls Sie die Loggingoption aktiviert haben, wird IPTraf Sie nach einem Dateinamen dafür fragen und Ihnen dabei auch einen Defaultnamen vorschlagen. Sie können diesen Defaultwert oder den von Ihnen spezifizierten Dateinamen mit Drücken der Eingabetaste (Enter) annehmen oder Logging mit der Tastenkombination (STRG) + (X) abschalten. Abbildung 2.2 zeigt das dazugehörige Menüfenster.
2.2 IPTraf
57
Abbildung 2.2 Dateiname für Logfile
Unterstütze Netzwerkinterfaces Tabelle 2.5 zeigt die derzeit unterstützten Netzwerkinterfacetypen. Interfacetyp
Beschreibung
Lo
lo bezeichnet das Loopbackinterface (IP-Adresse ist 127.0.0.1)
eth n
Eth bezeichnet ein Ethernetinterface, n beginnt bei 0 und erhöht sich für jedes weitere Interface um den Wert eins. So lautet das erste Ethernetinterface eines Rechners eth0, das zweite eth1 und so weiter.
Fddi n
Bezeichnet ein FDDI Interface, wobei auch hier n bei 0 beginnt.
Ppp n
Bezeichnet ein PPP Interface, auch hier startet n bei 0 und erhöht für jedes weitere Interface den Wert um 1.
sli n
Bezeichnet ein SLIP Interface, auch hier beginnt n bei 0.
ippp n
Bezeichnet ein synchrones PPP Interface, welches ISDN benützt, n startet auch hier bei 0.
isnd n
Obwohl man ISDN Interfaces willkürliche Namen geben kann, sollte man diese isdn n (n steht hier wieder für einen Wert beginnend bei 0, so dass das erste Interface den Namen isdn0, das zweite isdn1 … trägt), nennen, da nur so gewährleistet ist, dass IPTraf mit Ihren ISDN Interfaces arbeiten kann. IPTraf unterstützt neben dem oben erwähnten synchronen ISDN auch raw IP und Cisco HDLC encapsulation.
plip n
Bezeichnet plip-Interfaces, das sind Point–to–Point-Verbindungen, die über den Parallelport laufen. Tabelle 2.5 Unterstützte Netzwerkinterfacetypen
Bitte benutzen Sie die in Tabelle 2.5 aufgeführten Namen für Ihre Interfaces, da IPTraf ansonsten nicht korrekt funktionieren wird.
58
2 Netzwerk-Tools
2.2.5
IP Traffic-Monitor
Falls Sie IPTraf mit der Option –i starten oder den ersten Punkt im Menü ausführen, gelangen Sie zu dem IP Traffic-Monitor. Der IP Traffic-Monitor ist ein Echtzeit-Überwachungssystem, das alle Pakete auf den erkannten Interfaces abfängt und die Informationen darin dekodiert und anzeigt. Zusätzlich wird auch das dazugehörige Protokoll dazu ausgegeben. Der IP Traffic-Monitor besteht aus zwei Fenstern. Beide können durch den Up- und Down-Button durchgescrolled werden. Abbildung 2.3 zeigt den IP Traffic-Monitor.
Abbildung 2.3 IP Traffic Monitor
Im Folgenden werden wir sehen, welche Informationen die beiden Fenster beinhalten und wie man sie steuern kann. Das obere Fenster Dieses Fenster zeigt die aktuell erkannten TCP-Verbindungen und Informationen über die TCP-Pakete. Man kann es in folgende Unterpunkte aufteilen:
Quelladresse und Quellport Packet count Byte count Quell Mac-Adresse Packetgröße Window-Größe TCP Flag-Status Closed/Idle/Timed Out Connections Sortieren der TCP-Einträge
2.2 IPTraf
59
Quelladresse und Quellport Wie der Name schon sagt, kann man hier die Quelladresse und den Quellport eines Pakets – dargestellt durch address:port – ersehen. Packet count Zeigt die Anzahl der bei dieser TCP-Verbindungen angekommenen Pakete. Byte count Dieses Feld zeigt die Anzahl, der Bytes, die bei dieser TCP-Verbindung angekommen sind. Die Summe dabei errechnet sich aus dem kompletten IP bzw. TCP Header und den aktuellen Daten, Data Link Header werden dabei nicht mit eingerechnet. Quell Mac-Adresse Gibt die Mac-Adresse des Host in Ihrem LAN an, der das Paket übergeben hat. Dies kann man durch Drücken der M-Taste ersehen, falls man Source MAC addrs in traffic monitor im Configure…- Menü aktiviert hat. Paketgröße Dieses Feld gibt die Größe des zuletzt angekommenen Pakets an, wobei auch hier der Data Link Header nicht mit eingerechnet ist. Wie auch schon das Feld zuvor können Sie dieses durch Drücken der M-Taste für mehr TCP-Informationen einsehen. Window-Größe Durch Drücken der M-Taste können Sie bei diesem Feld die Window-Größe des zuletzt angekommenen Paketes einsehen. TCP Flag-Status Dieses Feld zeigt Ihnen die Flags des zuletzt angekommenen Pakets an. Mögliche Optionen hierbei könnten sein: Flag
Erklärung
S
Beschreibt ein SYN Flag. Um eine Verbindung vorzubereiten, wird hierbei eine Synchronisation vorgenommen. Falls nur ein S (S--) vorhanden ist, will der Quellhost eine Verbindung initialisieren. Falls auch ein A vorhanden ist (S-A-), handelt es sich um ein Acknowledgement als Antwort auf eine bereits gestellte Verbindungsanfrage.
A
ACK. Hierbei handelt es sich wie bereits beschrieben um ein Acknowledgement auf ein empfangenes Paket.
P
PSH beschreibt eine Anfrage alle Daten an die Spitze der Warteschlange zu stellen.
U
URG besagt, dass das Paket wichtige Daten enthält.
RESET
Ein RST Flag besagt, dass der Quellhost die Verbindung beendet.
DONE
Alle Daten der Verbindung und ein FIN-Paket wurden gesendet, um die Verbindung zu beenden. Der andere beteiligte Host hat dem aber noch nicht zugestimmt. Tabelle 2.6 Mögliche Optionen für Flag-Status
60
2 Netzwerk-Tools
Flag
Erklärung
CLOSED
Hierbei wurde das FIN-Paket durch den anderen Host mit einem angenommen und zugestimmt (acknowledged).
-
Es ist kein Flag gesetzt. Tabelle 2.6 Mögliche Optionen für Flag-Status (Forts.)
Closed/Idle/Timed Out Connections Ein TCP-Verbindungseintrag, der geschlossen wird, wird zurückgesetzt oder bleibt untätig, bis er durch neue Verbindungen ersetzt wird. Falls diese aber zu häufig vorkommen, kann es zu Fehlern kommen. IPTraf kann auch hier Abhilfe schaffen. Es kann so konfiguriert werden, dass es automatisch alle geschlossenen, zurückgesetzten oder untätigen Verbindungen löscht (dies erreichen Sie durch die TCP closed/idle persistence-Konfigurationsoption oder durch Drücken der Taste (F)). Sortieren der TCP-Einträge IPTraf bietet die Möglichkeit TCP-Einträge mit Hilfe von einigen setzbaren Kriterien zu sortieren. Das Fenster mit den verfügbaren Sortierungskriterien erreichen Sie durch Drücken der Taste (S). Falls Sie die Einträge nach packet counts sortieren wollen, benützen Sie die Taste (P), für ein Sortieren nach byte counts die Taste B. Falls Sie eine andere Taste betätigen, wird das Fenster geschlossen und die Aktion abgebrochen.
Abbildung 2.4 TCP-Einträge nach bestimmten Kriterien sortieren
2.2 IPTraf
61
Das untere Fenster Dieses Fenster bringt Ihnen ebenfalls einige Informationen über den Datenverkehr in Ihrem Netzwerk näher. Im Folgenden sehen Sie eine Auflistung der hier erkannten Protokolle:
User Datagram Protocol (UDP) Internet Control Message Protocol (ICMP) Open Shortest-Path First (OSPF) Interior Gateway Routing Protocol (IGRP) Interior Gateway Protocol (IGP) Internet Group Management Protocol (IGMP) General Routing Encapsulation (GRE) Address Resolution Protocol (ARP) Reverse Address Resolution Protocol (RARP)
Von allen Paketen werden Sie hier nur das erste IP-Fragment aufgezeigt finden. Damit Sie die Protokolle leichter erkennen können, hat man sich dazu entschlossen, jedem einen bestimmten Farbcode zuzuteilen. Tabelle 2.7 zeigt zu jedem Protokoll die dazugehörigen Farben. Protokoll
Farbschema
UDP
Rot auf Weiß
ICMP
Gelb auf Blau
OSPF
Schwarz auf Zyan
IGRP
Helles Weiß auf Zyan
IGP
Rot auf Zyan
IGMP
Hellgrün auf Blau
GRE
Blau auf Weiß
ARP
Helles Weiß auf Rot
RARP
Helles Weiß auf Rot
Anderes IP
Gelb auf Rot
Non IP
Gelb auf Rot Tabelle 2.7 Farbschemata zu den dazugehörigen Protokollen
Sie können auch hier durch die möglichen 512 Einträge mit den Up- und DownTasten scrollen. Außerdem scrollt IPTraf automatisch jedes Mal, wenn ein neuer Eintrag hinzukommt. Falls mehr als 512 Einträge in der Liste sind und neue dazukommen, werden die alten gelöscht.
62
2 Netzwerk-Tools
Bei Paketen, die von einem Host im LAN geschickt wurden, wird zusätzlich noch die MAC-Adresse des Absenders angezeigt (Sie können dies durch das Aktivieren der Source MAC addrs in traffic monitor-Option im Konfigurationsmenü erreichen). Grundsätzlich enthält ein Eintrag im unteren Fenster das Protokoll des Pakets, die IP Datagrammgröße, die Quell- und Zieladresse und das Interface, an dem das Paket angekommen ist. Bei bestimmten Protokollen ist es jedoch der Fall, dass mehr Informationen angezeigt werden. Für welche Protokolle dies gilt und welche zusätzlichen Informationen angezeigt werden, können Sie im Folgenden ersehen. ICMP ICMP-Einträge haben folgendes Format: ICMP type (subtype) (size bytes) from source to destination [(src HWaddr srcMACaddress)] on interface
Tabelle 2.8 zeigt mögliche Werte für das Argument type. Werte
Beschreibung
echo req, echo rply
ICMP echo request und reply. Normalerweise von Ping und anderen Netzwerkdiagnoseprogrammen genutzt.
dest unrch
ICMP destination unreachable. Ein Fehler ist aufgetreten, so dass das Ziel nicht erreicht werden konnte.
redirect
ICMP redirect. Normalerweise werden diese Nachrichten von einem Router generiert, um den Host mitzuteilen, dass ein besserer Gateway zur Verfügung steht.
src qnch
Das ICMP source quench ist eine Art von Flowcontrole-Mechanismus, der dem Host dazu bringt, nichts mehr zu übermitteln.
time excd
Zeigt TTL-Werte derjenigen Pakete an, die ihr Ziel nicht erreicht haben. Meistens liegt das daran, dass das Ziel zu weit entfernt oder nicht erreichbar ist.
router adv
ICMP router advertisement
router sol
ICMP router solicitation
timestmp req
ICMP timestamp request
timestmp rep
ICMP timestamp reply
info req
ICMP information request
info rep
ICMP information reply
addr mask req
ICMP address mask request
addr mask rep
ICMP address mask reply
param prob
ICMP parameter problem
bad/unknown
Ein nicht bekanntes oder beschädigtes ICMP-Paket wurde empfangen. Tabelle 2.8 Mögliche Wert für type
2.2 IPTraf
63
Auch Destination Unreachable enthält weiterführende Informationen. Die möglichen Argumente hierfür finden Sie in Tabelle 2.9. Argumente
Erklärung
ntwk
Netzwerk nicht erreichbar
host
Host nicht erreichbar
proto
Protokoll nicht erreichbar
port
Port nicht erreichbar
pkt fltrd
Paket gefiltert (normalerweise bei einer ACL auf einer Firewall oder auf einem Router)
DF set
Das Paket muss an irgendeiner Stelle geteilt werden, doch das don’t fragment bit ist gesetzt.
src rte fail
Quellroute ist fehlgeschlagen
src isltd
Quelle ist isoliert (nicht mehr in Gebrauch)
net comm denied
Network communication denied
nost comm denied
Host communication denied
net unrch for TOS
Das Netzwerk ist für den spezifizierten type-of-service-Wert nicht erreichbar.
host unrch for TOS
Der Host ist für den spezifizierten type-of-service-Wert nicht erreichbar.
prec violtn
Precedence violation (Verletzung der Priorität)
prec cutoff
Precedence cutoff
dest net unkn
Zielnetzwerk nicht bekannt
dest hots unkn
Zielhost nicht bekannt Tabelle 2.9 Argumente für Destination Unreachable
OSPF Auch das OSPF-Protokoll schenkt uns mehr Informationen. Das Format hierfür sieht folgendermaßen aus: OSPF type (a=area r=router) (size bytes) from source to destination [(src HWaddr srcMACaddress)] on interface
Tabelle 2.10 zeigt mögliche Werte für das Argument type. Wert
Beschreibung
hlo
OSPF hello. Diese Nachrichten bauen OSPF-Verbindungen auf und halten Router über die Verfügbarkeit auf dem Laufenden.
DB desc
OSPF Database Description
LSR
OSPF Link State Request Tabelle 2.10 Mögliche Werte für type
64
2 Netzwerk-Tools
Wert
Beschreibung
LSU
OSPF Link State Update. Diese Nachrichten zeigen den Status eines Netzwerklinks.
LSA
OSPF Link State Acknowledgement Tabelle 2.10 Mögliche Werte für type (Forts.)
2.2.6
General Interface Statistics
Die zweite Menüoption, die uns IPTraf bietet, gibt uns die Möglichkeit eine Auflistung aller verbundenen Netzwerkschnittstellen und einige allgemeine Informationen über Paket Counts zu erhalten. Wie Sie aus Abbildung 2.5 ersehen können, werden ein- und ausgehende Pakete gezählt und in drei Bereiche aufgeteilt: 1. IP 2. Non IP 3. Bad IP (für IP Checksummenfehler) 4. Außerdem enthält dieses Menüfenster ein Activityfeld, welches uns über den Netzwerkverkehr auf dem Interface unterrichtet (Sie können zwischen kbits/ s und k/bytes im Activity Mode im Konfigurationsmenü wechseln).
Abbildung 2.5 General Interface Statistics
Falls Sie direkt von der Konsole in dieses Menüfenster gelangen wollen, geben Sie bitte folgenden Befehl ein: Linux:~# iptraf –g
Um von diesem Menüpunkt wieder zurück ins Hauptmenü zu kommen, drücken Sie bitte die Tasten (X) oder (Q).
2.2 IPTraf
2.2.7
65
Detailed Interface Statistics
Dieser dritte Menüpunkt ist dem General Interface Statistics Menüpunkt sehr ähnlich, gibt uns aber – wie Sie der nächsten Auflistung entnehmen können – wesentlich mehr Informationen aus:
IP packet und byte counts TCP packet und byte counts UDP packet und byte count ICMP packet und byte counts Andere IP-Typen packet und byte counts Non-IP packet und byte counts Checksummenfehler count Interface-Aktivität
Wie Sie anhand von Abbildung 2.6 sehen können, beinhaltet der obere Teil des Menüfensters byte und packet counts für abgefangenen IP- und Non-IP-Pakete. Den unteren Teil bildet die Gesamtheit alle eingehenden und ausgehenden Datenraten. Auch hier können Sie im Konfigurationsmenü wieder bestimmen, in welcher Einheit (kbits/s oder kbytes/s) die Raten angezeigt werden sollen. Falls Sie diesen Menüpunkt direkt von der Konsole aus aufrufen wollen, geben Sie bitte folgenden Befehl ein: Linux:~# iptraf –d eth0
Diese Syntax wird das Menü aufrufen und es veranlassen auf dem Interface eth0 zu lauschen. Welches Interface Sie bei diesem Befehl übergeben, bleibt Ihnen überlassen, Sie sollten jedoch darauf achten, dass Sie eines angeben, da IPTraf ansonsten nicht starten wird.
Abbildung 2.6 Detailed Interface Statistics
66
2.2.8
2 Netzwerk-Tools
Statistical Breakdowns
Statistical Breakdown: Packet Sizes Falls Sie IPTraf schon länger benutzen, werden Sie sich vielleicht daran erinnern, dass dieses Modul früher in detailed interface statistics eingebettet war. Doch nun hat man sich entschlossen daraus einen eigenen Menüpunkt zu machen, der die Aufgabe hat, die Maximum Transmission Unit (MTU) der Schnittstelle in 20 Teile aufzusplittern, wobei jeder Teil einen bestimmten Bereich umfasst. In Abbildung 2.7 können Sie diesen Menüpunkt betrachten.
Abbildung 2.7 Statistical Breakdown: Packet Sizes
Natürlich können Sie auch diesen Punkt direkt von der Konsole aufrufen. Geben Sie dazu folgenden Befehl ein: Linux:~# iptraf –z interface
Beachten Sie dabei, dass Sie ein Interface (zum Beispiel eth0) angeben, da IPTraf ansonsten nicht starten wird. Falls Sie Logging aktiviert haben, so finden Sie die Logdateien für diesen Punkt unter folgendem Namen: packet_size-interface.log
Statistical Breakdown: TCP and UDP Traffic Statistics Dieser Menüpunkt generiert TCP- und UDP-Statistiken und zeigt Ihnen dabei alle Counts an, die als Ziel oder als Quelle einen Port haben, der unter 1024 liegt (well-known Ports). Natürlich gibt es aber auch Applikationen, die Ports über dieser Grenze benutzen. Falls diese für Sie interessant sind, können, Sie sie über
2.2 IPTraf
67
den Menüpunkt Configure/Additional port... ebenfalls der Überwachung durch IPTraf unterstellen. Wie Sie anhand von Abbildung 2.8 sehen können enthält dieses Fenster folgende Informationen:
Protokoll (TCP oder UDP) Portnummer Die Anzahl der Counts (Pakete und Bytes), die diese spezielle Port/Protokoll Kombination aufweisen Die Anzahl der Counts, die für eine bestimmte Port/Protokoll-Kombination bestimmt waren Die Anzahl der Counts, die von dieser Port/Protokoll Kombination kommen
Beachten Sie dabei bitte, dass auch hierbei der Data Link Header nicht zu den Bytes dazugerechnet wird.
Abbildung 2.8 Statistical Breakdown: TCP and UDP Traffic Statistics
Wie Sie weiter aus Abbildung 2.8 ersehen können, sind Einträge, die das UDP betreffen, grün unterlegt und TCP-Einträge gelb. Die Standardlogdatei finden Sie unter folgendem Namen: tcp_udp_services-interface.log
TCP/UDP Einträge sortieren Auch hier haben wir wieder die Möglichkeit unsere Einträge nach bestimmten Kriterien sortieren zu lassen. Um das Fenster mit den möglichen Optionen dazu zu öffnen drücken Sie bitte die (S)-Taste und es wird das in Abbildung 2.9 gezeigte Fenster erscheinen, welches Ihnen einige Optionen für das Sortieren zur Auswahl stellt.
68
2 Netzwerk-Tools
Abbildung 2.9 Sortierungsfunktion
Um diesen Menüpunkt direkt von der Shell aufzurufen benötigen Sie folgenden Befehl: Linux:~# iptraf –s interface
2.2.9
LAN Station Statistics
Wie Sie aus Abbildung 2.10 erkennen können, steht vor jeder Statistikzeile eine gelbe Zeile, die die Mac-Adresse und den LAN Type (Ethernet, PLIP, FDDI) aufzeigt. Die darunter liegende Zeile beinhaltet dahingegen sehr viel mehr Informationen. Welche das genau sind, erfahren Sie im Folgenden:
Gesamtsumme aller eingehenden Pakete Gesamtsumme aller eingehenden IP-Pakete Gesamtsumme der eingehenden Bytes Eingangsrate Gesamtsumme aller ausgehenden Pakete Gesamtsumme aller ausgehenden IP-Pakete Gesamtsumme der ausgehenden Bytes Ausgangsrate (Sie können auch hier die Raten im Activity mode des Konfigurationsmenüs – kbits/s oder kbytes/s – ändern) Bitte beachten Sie dabei, dass bei der Data Link Header diesmal in den Bytes eingerechnet ist. Die Standardloggingdatei für dieses Modul heißt lan_ statistics-n.log, wobei n für die jeweilige Instanz steht.
2.2 IPTraf
69
Abbildung 2.10 LAN Station-Monitor
Sortieren der Einträge An dieser Stelle des Kapitels werden Sie sicherlich nicht mehr überrascht sein, dass uns die Option zur Verfügung steht, und Sie werden inzwischen auch eine gewisse Intuition für deren Bedienung entwickelt haben. Nichtsdestotrotz wollen wir auch jetzt wieder auf die Sortierungsoption eingehen und werfen dazu einen Blick auf Abbildung 2.11, wo wir erkennen können, dass diese Option mit der Taste (S) aufgerufen wird. Die weiteren Tastenkombinationen werde ich nicht mehr ansprechen, da Sie sie ja aus der Abbildung ablesen können.
Abbildung 2.11 Sortierungsfunktion des LAN Station-Monitors
70
2 Netzwerk-Tools
2.2.10 Anzeigefilter Dieses Modul ist kein Überwachungsmonitor oder Ähnliches, es gibt uns vielmehr die Möglichkeit die von IPTraf angezeigten Informationen so zu filtern, dass aus dieser unglaublich großen Menge an Daten die für uns wichtigen auf dem Monitor sichtbar werden. Solche Filter wirken sich auch auf die Logeinträge aus. Abbildung 2.12 zeigt Ihnen, wie Sie diesen Menüpunkt erreichen.
Abbildung 2.12 Anzeigefilter
Wie Sie dort erkennen können, erreichen Sie das Managementsystem der Anzeigefilter durch das Submenü FILTERS... . Dort haben wir die Auswahl zwischen folgenden Filtern, die wir sogleich genauer besprechen werden:
TCP UDP Other IP ARP RARP Non IP
TCP-Filter Aus Abbildung 2.13 können Sie erkennen, dass – falls Sie die TCP-Filter-Option ausgewählt haben – ein neues Popupfenster aufspringt, welches Ihnen einige Optionen bietet, um die Ausgabe bestimmter TCP-Verbindungen zu unterbinden oder zu verändern.
2.2 IPTraf
71
Abbildung 2.13 TCP-Filter-Option
Define new filter… Die erste Option, die uns vom Popupfenster zur Verfügung gestellt wird, ist nach einer Neuinstallation von IPTraf sicherlich die interessanteste, da IPTraf an dieser Stelle noch keine Filter kennt. Wenn Sie diesen Punkt ausführen, wird das in Abbildung 2.14 gezeigte Fenster aufgehen und Sie nach einer Beschreibung für den neuen Filter fragen. Geben Sie dort bitte einen passenden Namen ein und bestätigen Sie Ihre Eingabe.
Abbildung 2.14 Define new filter
72
2 Netzwerk-Tools
Wenn Sie eine Beschreibung für Ihren neuen Filter angegeben haben, wird das in Abbildung 2.15 gezeigte Fenster aufspringen und Sie wieder nach einigen Informationen fragen.
Abbildung 2.15 Informationen für TCP-Filter
Füllen Sie als Erstes das Feld HOST NAME / IP ADDRESS aus. Um in das nächste Feld zu hüpfen, benutzen Sie bitte die Tab–Taste. Falls Sie sich fragen, warum Sie an dieser Stelle zwei Felder für die Angabe einer IP-Adresse finden, müssen Sie sich nur kurz ins Gedächtnis rufen, dass eine TCP-Verbindung einen End- und einen Startpunkt hat, und genau diese beiden Punkte geben Sie in den Feldern an. Dabei ist es egal, in welcher Reihenfolge Sie die Punkte angeben (ob zuerst Startoder Endpunkt). Danach kommen Sie in das Feld WILDCARD MASK. Diese Maske ist der Subnetmask sehr ähnlich, aber auf keinen Fall dasselbe. Sie benutzen diese Option, um bestimmte Bits zu ignorieren. Setzen Sie eine 1 unter ein Bit, das Sie erkennen wollen, und eine 0 unter diejenigen, die ignoriert werden sollen. Im Folgenden sind einige Beispiele aufgeführt, die Ihnen helfen die Wildcard mask zu verstehen. Um den Host 207.0.115.44 zu erkennen Enter IP address:207.0.115.44 Wildcard mask: 255.255.255.255 Um alle Host, die zum Netzwerk 202.47.132.x gehören, zu erkennen Enter IP address: 202.47.132.0 Wildcard mask: 255.255.255.0 Um jeden Host mit egal welcher IP-Adresse zu erkennen
2.2 IPTraf
73
Enter IP address: Wildcard mask
0.0.0.0 0.0.0.0
Das nächste auszufüllende Feld ist das PORT–Feld. Über dieses Feld gibt es nicht viel zu sagen, nur dass Sie mit der Angabe einer 0 den Filter dazu bringen, dieses Feld zu ignorieren. Außerdem sei noch gesagt, dass Sie ein größeres Augenmerk auf den Zielport legen sollten, da die Quellports nach Belieben verändert werden können. Das letzte Feld ist das INCLUDE/EXCLUDE-Feld, das es Ihnen erlaubt, Pakete, die dem Filter entsprechen, entweder ein (I)- oder auszuschließen (E). Nachdem Sie alle Angaben nochmals überprüft haben, können Sie diese mit der Eingabetaste bestätigen und Sie werden eine weitere Maske erhalten. Sie können so viele Masken ausfüllen, wie Sie wollen. Falls Sie mit Ihrer Filterdefinition jedoch fertig sind, so können Sie mit (STRG)+(X) diesen Menüpunkt verlassen. Im Folgenden sehen Sie einige Beispiele, die Sie mit der oben beschriebenen Filteroption realisieren können. Benutzen Sie dieses Beispiel, um den gesamten Netzwerkverkehr von Host 202.47.132.1 nach 207.0.115.44 zu sehen ohne dabei den TCP Port zu beachten. Host name/IP address 202.47.132.2 Wildcard mask 255.255.255.255 Port 0 Include/Exclude I
207.0.115.44 255.255.255.255 0
Falls Sie die Werte dieses Beispiels übernehmen, so werden Sie den gesamten Netzwerkverkehr von 207.0.115.44 zum Netzwerk 202.47.32.0 sehen. Host name/IP address 207.0.115.44 Wildcard mask 255.255.255.255 Port 0 Include/Exclude I
202.47.132.0 255.255.255.0 0
Um den gesamten Webverkehr zu sehen, ohne dabei auf den Ziel- oder Quellhost einzugehen, müssen Sie diese Einstellungen vornehmen. Host name/IP address 0.0.0.0 Wildcard mask 0.0.0.0 Port 80 Include/Exclude I
0.0.0.0 0.0.0.0 0
Um den Mailverkehr von irgendwoher zu einem bestimmten Host (202.47.132.2) zu sehen, sind diese Einstellungen zu gebrauchen. Host name/IP address 202.47.132.2 Wildcard mask 255.255.255.255 Port 25 Include/Exclude I
0.0.0.0 0.0.0.0 0
74
2 Netzwerk-Tools
Um den gesamten Traffic von Host triblen.de zu books.triblen.de zu sehen, können Sie das folgende Beispiel benutzen. Host name/IP address triblen.de Wildcard mask 255.255.255.255 Port 0 0 Include/Exclude I
books.triblen.de 255.255.255.255
Um den Netzwerkverkehr von 140.66.5.x nach irgendwo zu ignorieren, ist dieses Listing für Sie geeignet. Host name/IP address Wildcard mask Port Include/Exclude
140.66.5.x 255.255.255.0 0 E
0.0.0.0 0.0.0.0 0
Das nächste Beispiel wird Ihnen zeigen, wie Sie den gesamten Netzwerkverkehr mit einigen Ausnahmen (SMTP, Web und Netzwerkverkehr von/nach 207.0.115.44) betrachten können. Das ist wichtig, da Filter normalerweise nur das anzeigen, was auch genau einem Filter entspricht. Host name/IP address Wildcard mask Port Include/Exclude
0.0.0.0 0.0.0.0 25 E
0.0.0.0 0.0.0.0 0
Host name/IP address Wildcard mask Port Include/Exclude
0.0.0.0 0.0.0.0 80 E
0.0.0.0 0.0.0.0 0
Host name/IP address Wildcard mask Port Include/Exclude
207.0.115.44 255.255.255.255 0 E
0.0.0.0 0.0.0.0 0
Host name/IP address Wildcard mask Port Include/Exclude
0.0.0.0 0.0.0.0 0 I
0.0.0.0 0.0.0.0 0
Wie Sie sehen können, ist der Mailverkehr (Port 25), der Webverkehr (Port 80) und der gesamte Verkehr von Host 207.0.115.44 mit einem E (ausschließen) gekennzeichnet, wohingegen der gesamte Restverkehr durch ein I (einschließen) vertreten ist. Apply-Filter Der zweite Punkt in der Liste für TCP Filter-Optionen erlaubt es Ihnen, die Filter, die Sie im Menüpunkt DEFINE NEW FILTER ... erstellt haben, anzuwenden. Diese Filter bleiben so lange aktiv, bis Sie sie wieder deaktivieren.
2.2 IPTraf
75
Detach-Filter Dieser Punkt deaktiviert von Ihnen ausgewählte Filter wieder. Edit-Filter Um einen Filter zu verändern brauchen Sie diese Option. Wenn Sie sie aktiviert haben, wird das in Abbildung 2.16 gezeigte Fenster mit allen von Ihnen spezifizierten Filtern erscheinen, durch das Sie mit den Pfeiltasten scrollen können, um dann mit der Eingabetaste den gewünschten Filter zu aktivieren und im darauf folgenden Dialogfeld zu editieren. Beachten Sie dabei bitte, dass Sie den editierten Filter wieder neu aufnehmen müssen (APPLY FILTER-Punkt).
Abbildung 2.16 Edit-Filter
Delete-Filter Diese Option gibt Ihnen die Möglichkeit bestimmte Filter zu löschen. UDP-Filter Um Wiederholungen zu vermeiden werden wir an dieser Stelle nicht weiter auf die Erstellung/Änderung etc. eingehen, da die Handhabung sehr der von den TCP-Filtern ähnelt. Weitere IP Protokoll-Filter Seit Version 2.5 haben Sie die Möglichkeit über den Menüpunkt FILTERS.../OTHER IP Filter für nicht TCP und nicht UDP zu definieren. Wie aus Abbildung 2.17 hervorgeht, ist der Anfangsdialog, den man erhält, wenn man die Option DEFINE NEW FILTER wählt, derselbe, den man auch bei Filtern für TCP bzw. UDP erhält. Wir können daraus schließen, dass auch die restliche Bedienung annähernd gleich ist. Alle Abweichungen hierfür werden wir im Folgenden genauestens besprechen.
76
2 Netzwerk-Tools
Abbildung 2.17 Verschiedene Protokoll-Filter
Wenn Sie Ihre Beschreibung mit der Eingabetaste bestätigen, kommen Sie zum nächsten Dialog, der, wie Sie der Abbildung 2.18 entnehmen können, mehr Optionen als üblich enthält.
Abbildung 2.18 Netzwerkdialog
Dieses Fenster sollte Ihnen bereits bekannt sein (siehe TCP- bzw. UDP-Filter) und die Handhabung kein Problem mehr darstellen. Die einzige Neuerung hierbei stellt das PROTOCOLS TO MATCH-Feld dar. Unter dieser Rubrik finden Sie weitere Protokollarten, auf die Ihr Filter ausgerichtet werden kann. Um ein bestimmtes
2.2 IPTraf
77
Protokoll für den Filter zu aktivieren, schreiben Sie in das weiße Feld hinter dem Protokollnamen ein Y, falls Sie wollen, dass der Filter Pakete eines Protokolls ignoriert, lassen Sie es einfach leer (Sie können auch irgendeinen anderen Buchstaben in das Feld setzen, das würde dasselbe bewirken). Wahrscheinlich werden Sie noch einen weiteren kleinen, aber feinen und wichtigen Unterschied zwischen den beiden Dialogboxen bemerkt haben. So war die Adressbezeichnung bei TCP- bzw. UDP-Dialogen first und last, hier jedoch source und destination. Dies hat zu bedeuten, dass – im Gegensatz zu den TCP- und UDP-Filtern – die Richtung der Pakete genau angegeben werden muss. Ein Paket, das von 10.207.100.1 nach 10.209.100.2 geht, wird hierbei also ignoriert, falls es von 10.207.100.2 nach 10.207.100.1 geht, bei TCP-Filtern würde es auch auf den Filter zutreffen. Der Vollständigkeit halber werden wir auch hier einige Beispiele aufführen. Um alle OSPF-, IGP- und IGRP-Packete von egal woher nach egal wohin anzuzeigen, wählen Sie bitte folgendes Beispiel: Address: Wildcard mask: Protocols to match: Include/Exclude:
0.0.0.0 0.0.0.0 OSPF: Y
IGP: Y
0.0.0.0 0.0.0.0 IGRP: Y
I
Um alle ICMP Pakete außer denjenigen, die für 207.0.115.45 bestimmt sind, anzuzeigen, hilft Ihnen das nächste Listing weiter. Erster Eintrag: Address: Wildcard mask: Protocols to match: Include/Exclude:
0.0.0.0 0.0.0.0 ICMP: Y
207.0.115.45 255.255.255.255
E
Zweiter Eintrag: Address: Wildcard mask: Protocols to match: Include/Exclude:
0.0.0.0 0.0.0.0 ICMP: Y
0.0.0.0 0.0.0.0
I
Um das Buch bzw. dieses Kapitel nicht unnötig in die Länge zu ziehen, werden wir die nächsten Optionen nicht genauer besprechen, da Sie diese bereits von den TCP- und UDP-Filtern kennen. Es werden mit Sicherheit einige kleine Unterschiede in der Handhabung auftreten, die Sie aber ohne Probleme intuitiv lösen können.
78
2 Netzwerk-Tools
2.2.11 IPTraf konfigurieren IPTraf ist ein leicht zu konfigurierendes Programm, das seine Settings in die Datei /var/local/iptraf/iptraf.cfg schreibt. Falls diese Datei nicht gefunden wird, benutzt IPTraf die Defaulteinstellungen. Abbildung 2.19 zeigt das Konfigurationsmenü.
Abbildung 2.19 Konfigurationsmenü
Reverse DNS Lookups Falls man diese Option aktiviert, wird IPTraf den passenden Host zu den Adressen in den IP-Paketen finden. Dabei startet der IP Traffic-Monitor den rvnamed dns lookup Server, der im Background die Namensauflösung übernimmt, während IPTraf weiter Pakete erfasst. Diese Option ist per Default nicht aktiviert. Sie sollten dabei beachten, dass diese Option die Performance verringern kann. TCP/UDP Service Names Diese Option gibt einem die Möglichkeit IPTraf die Servicenamen anstatt der dazugehörigen Portnummern anzeigen zu lassen (zum Beispiel: pop3 statt 110 usw.). Die Servicenamen liest IPTraf dabei aus der Datei /etc/services, falls dort für einen bestimmten Port kein Servicename aufgeführt ist, wird die Portnummer angezeigt. Diese Option ist per Default nicht aktiviert. Sie sollten dabei beachten, dass auch diese Option die Performance verringern kann.
2.2 IPTraf
79
Force promiscuous mode Mit dieser Option können Sie alle TCP-Verbindungen, die Ihr LAN-Segment passieren, sehen, auch wenn diese nicht von Ihrer Maschine kommen bzw. für Ihren Computer bestimmt sind. Falls Sie mehrere LAN-Schnittstellen haben, wird diese Neuerung für alle aktiv (zum Beispiel Ethernet und FDDI). Color Wie Sie sicher schon erahnt haben, können Sie mit dieser Option festlegen, ob IPTraf Farben benutzen soll oder nicht. Wie wir bereits gesehen haben, sind die Farbunterlegungen von bestimmten Protokollarten usw. sehr hilfreich. Sie sollten deshalb diese Option aktiviert lassen. Logging Sie erinnern sich bestimmt noch an den Anfangsdialog, nachdem wir IPTraf das erste Mal gestartet haben. Dieser Dialog hat uns nach einem Namen für das Logfile, in das es loggen soll, gefragt. Um das Logging in dieser Datei (oder in die Dateien der einzelnen Module) aber zu starten müssen Sie zuerst diese Option aktivieren. Dabei wird jeder Eintrag mit Datum und Zeit versehen. Welche Einträge der IP Traffic-Monitor genau in die Datei schreibt, werden Sie im Folgenden erfahren:
Start des IP Traffic-Monitors Empfang des ersten TCP-Paketes einer Verbindung. Falls es sich hierbei um ein SYN-Paket handelt, wird dies ebenfalls in die Datei geschrieben (Das erste empfangene Paket einer Verbindung muss nicht immer ein SYN sein, da es durchaus vorkommen kann, dass Sie IPTraf starten und schon eine Verbindung besteht, dann wird das erste Paket, das der IP Traffic-Monitor empfängt, kein SYN sein). Empfang eines FIN Das ACK eines FIN Timouts von TCP-Einträgen Alles was im unteren Fenster des IP Traffic-Monitors erscheint Beenden des IP Traffic-Monitors
Falls Sie eine Logdatei sichern oder löschen wollen, sollten Sie dies auf keinen Fall machen, wenn IPTraf noch in diese Datei loggt. Sie sollten als Erstes die Logdatei umbenennen (zum Beispiel XXX.log.sav) und danach ein USR1-Signal an den laufenden IPTraf-Prozess schicken (mit dem kill-Befehl). Das wird IPTraf dazu veranlassen, das Logging zu stoppen und eine Datei mit dem ursprünglichen Namen zu erstellen und das Logging in dieser Datei wieder aufzunehmen. Jetzt können Sie die umbenannte Datei ohne Probleme löschen oder sichern. Logging ist per Default nicht aktiviert.
80
2 Netzwerk-Tools
Activity mode Sie können mit Hilfe dieser Option bestimmte Module veranlassen zwischen kilobits per second (kbits/s) und kilobytes per second (kbytes/s) umzuschalten. Der Defaultwert liegt bei kilobits per second. Source MAC addrs in traffic monitor Wenn Sie diese Option aktivieren, wird IPTraf die Quell-MAC-Adresse für NonIP-Pakete im unteren Fenster anzeigen, falls diese auf einem Ethernet, FDDI oder PLIP Interface ankommen. Bei TCP-Verbindungen reicht es, die M-Taste zu drücken, um die MAC-Adresse zu sehen. Für Pakete, die auf Schnittstellen, die keine MAC-Adressen benutzen, (zum Beispiel PPP) ankommen, werden auch keine Informationen angezeigt. Diese Option ist per Default deaktiviert. (Falls Sie sie aktivieren, wird die MACAdresse auch in den Logfiles auftauchen). Timers… Das Timers… -Submenü erlaubt es Ihnen, die in Abbildung 2.20 aufgeführten Optionen zu verändern.
Abbildung 2.20 Timers-Submenü
TCP timeout… Mit dieser Option können Sie das Zeitintervall angeben, nach dem leere (idle) Verbindungen durch neue ersetzt werden. Sie können dies auf LANs reduzieren, die nicht mit dem Internet verbunden sind oder die sehr schnelle Verbindungen ins Internet haben. Der Defaultwert liegt bei 15 Minuten.
2.2 IPTraf
81
Logging interval… Dieser Menüpunkt bestimmt den Intervall zwischen dem Loggen von InterfaceStatistiken, TCP/UDP-Modulen und LAN Host-Statistiken. Der Defaultwert liegt bei 60 Minuten. Falls Sie Logging nicht aktiviert haben, ist dieser Punkt offensichtlich bedeutungslos. Screen Update Interval Dieser Punkt betrifft das Updaten des Bildschirms und wirkt sich auf alle Module von IPTraf aus. Der Defaultwert liegt bei 0, was bedeutet, dass der Bildschirm so schnell wie möglich aktualisiert wird. Sie können diesen Wert auch höher setzen und damit die Aktualisierungen hinauszögern. Sie sollten diese Option unbedingt in Erwägung ziehen, falls Sie IPTraf remote laufen haben (zum Beispiel über eine Telnetsitzung), da ansonsten eine enorm hohe Netzwerkbelastung entstehen könnte. TCP closed/idle persistence Sie können mit dieser Option den Zeitabstand (in Minuten) angeben, zwischen dem IPTraf das TCP-Fenster von leeren (idle), geschlossenen (closed) und timed out-Einträgen klärt. Wenn Sie dieser Option den Parameter 0 angeben, werden diese Verbindungen so lange angezeigt, bis sie durch neue ersetzt werden. Additional port Wir haben weiter oben gesehen, dass die TCP/UDP Service-Statistik-Module nur privilegierte Services (Portnummern unter 1024) in die Statistiken aufnimmt. Falls Sie einen zu überwachenden Service haben, der über dieser Grenze liegt (zum Beispiel http-proxy auf 8080), müssen Sie dies hier angeben. Sie werden dann ein Dialogfeld mit zwei Feldern sehen. Falls Sie nur einen speziellen Port (8080) in die Überwachung mit einschließen wollen, füllen Sie nur das erste aus. Falls Sie aber einen bestimmten Bereich überwachen lassen wollen, füllen Sie bitte auch das zweite Feld aus. Der Bereich geht dann vom Port im ersten Feld bis zu dem im zweiten. Sie können auf diese Weise auch mehrere Bereiche definieren. Delete port/range Falls Sie die oben spezifizierten Portbereiche wieder löschen wollen, benutzen Sie bitte diesen Menüpunkt. Ethernet/PLIP host descriptions und FDDI host descriptions Die Stations der LAN Station Statistics Monitor-Module basieren auf den dazugehörigen MAC-Adressen, da man sich diese sehr schlecht merken kann, hat man diese beiden Module hinzugefügt, die einem durch Beschreibungen helfen sollen, welche Station welche ist. Falls Sie nun eine der beiden Optionen wählen, wird sich ein neues Fenster öffnen, das Sie fragen wird, ob Sie Beschreibungen verändern, löschen oder hinzufügen wollen.
82
2 Netzwerk-Tools
Um eine neue Beschreibung hinzuzufügen wählen Sie bitte die Option Add description. Es wird sich dann ein neues Dialogfenster öffnen, das Sie nach der MAC-Adresse und der dazugehörigen Beschreibung fragen wird. Beachten Sie bei der Eingabe der MAC-Adresse unbedingt die Groß- und Kleinschreibung! Nachdem Sie Ihre Eingabe bestätigt haben, werden Sie die eingegebene Beschreibung neben der MAC-Adresse zusammen mit dem Frametypen (Ethernet, PLIP oder FDDI) im LAN Station-Monitor finden. Sie können so eingegebene bereits existierende Beschreibungen durch die Option Edit description... aber auch wieder ändern. Falls Sie diesen Punkt aktivieren, werden Sie ein Listing mit allen bereits verfassten Beschreibungen erhalten, von denen Sie dann eine bestimmte auswählen. Danach können Sie die ausgefüllten Felder nach Belieben ändern. Natürlich können Sie die gemachten Einträge auch komplett löschen. Sie müssen dafür lediglich die Option Delete description... wählen.
2.2.12 Background-Operation Nachdem Sie IPTraf nach Ihren Wünschen konfiguriert haben, können Sie das Programm so einstellen, dass es im Hintergrund läuft und nur loggt. Es wird dann aber keine Eingaben von der Tastatur erkennen oder Ausgaben auf den Bildschirm werfen. Um dies zu bewerkstelligen, müssen Sie IPTraf von der Konsole mit der Option –B aufrufen (Damit es als Daemon läuft). Das folgende Listing zeigt ein Beispiel, das Sie benutzen können, falls Sie das Programm für alle Interfaces im Hintergrund laufen lassen wollen. Linux:~# iptraf –i all –B
Um das Modul Detailed Interface Statistics für das Interface eth0 für fünf Minuten im Hintergrund laufen zu lassen, geben Sie bitte folgenden Befehl ein: Linux: ~# iptraf –d eth0 –t 5 –B
Falls Sie das Argument –t nicht übergeben, läuft IPTraf ohne Zeitbeschränkung im Hintergrund. Um es zu beenden, müssen Sie ein USR2 Signal an die Prozess ID des Programms schicken, dazu müssen Sie aber zuerst mit folgendem Befehl die pid (process id) finden: Linux:~# ps ax | egrep iptraf Linux:~# kill –USR2 pid
Wenn IPTraf im Hintergrund läuft, werden alle Fehlermeldungen in die Datei daemon.log geschrieben.
2.3 NTop
2.3
83
NTop
Nach IPTraf ist NTop das zweite hervorragende Tool, das uns Informationen über unser Netzwerk liefern kann. Die Vorteile von NTop liegen klar in der Darstellung des Traffics, der das Netzwerk durchquert. Dabei bekommt man nach dem Start eine Liste von Rechnern, die zurzeit Traffic (IP und non-IP) auf dem spezifizierten Netzwerk verursachen. NTop kann dabei in zwei verschiedenen Modi ablaufen: 1. Konsolenmodus 2. Webmodus
2.3.1
Konsolenmodus
Der erste Modus, den wir besprechen werden, ist der Konsolenmodus, da dieser einige Vorteile mit sich bringt:
Braucht weniger Ressourcen Kann auf einem System ohne X-Server laufen Ausgaben können leichter weiterverarbeitet werden NTop im Konsolenmodus lässt sich in Skripte einbauen
Syntax Die Syntax von NTop ist wieder einmal denkbar einfach gehalten: Linux:~# ntop [Optionen]
Optionen Da wir nun den allgemeinen Aufruf von NTop kennen, sollten wir uns daran machen, die verfügbaren Optionen dazu kennen zu lernen. Tabelle 2.11 enthält alle verfügbaren Optionen und gibt zu jedem aufgeführten Punkt eine kurze Beschreibung. Option
Beschreibung
-I
Diese Option erlaubt es Ihnen, NTop im interaktiven Modus zu starten. Dieses Flag ist veraltet und sollte nicht mehr benutzt werden, da sie durch das zusätzliche Netzwerk-Browser-Programm »intop« ersetzt wurde (wir werden dieses Programm im Laufe dieses Kapitels noch besprechen).
-R
Spezifiziert die Filterregeln, die von NTop genutzt werden um Alarmmeldungen oder Warnungen auszugeben, falls ein Paket (oder eine Paketfolge) dem angegebenen Filter entspricht. Wir werden, die Filterregeln von NTop weiter unten in diesem Kapitel noch ausführlicher besprechen. Tabelle 2.11 Verfügbare Optionen für NTop
84
2 Netzwerk-Tools
Option
Beschreibung
-r
Hiermit können Sie das Intervall (in Sekunden) angeben, das zwischen den einzelnen Updates der Bildschirmausgabe liegt. Seien Sie bei dieser Option aber sehr vorsichtig, da (ähnlich zu IPTraf) ein zu häufiges Update der Bildschirmausgabe dazu führen kann, dass NTop nicht den gesamten Netzwerkverkehr abfangen und bearbeiten kann. Der Defaultwert liegt bei 3 Sekunden. Falls hierzu zusätzlich das Flag »-l« benutzt wird, gibt diese Option an, wie oft Einträge in das Logfile geschrieben werden.
-f
Mit dieser Option können Sie eine Datei angeben, die Aufzeichnungen über einen Netzwerkverkehr, der von Tcpdump abgefangen wurde, enthält. NTop wird den dort aufgezeichneten Verkehr benutzen. Beachten Sie aber dabei, dass NTop kein Paket in Ihrem Netzwerk mehr abfangen wird, nachdem Sie diese Flag gesetzt haben. Wie man mit Tcpdump Netzwerkverkehr abfängt, werden wir im Laufe dieses Kapitels noch erfahren.
-N
Hiermit geben Sie an, dass NTop den Netzwerkscanner nmap nicht benutzen darf.
-M
Nachdem Sie diese Option übergeben haben, wird NTop keine Netzwerkschnittstellen mehr mischen. Das bedeutet, dass NTop für jedes einzelne Interface eine Statistik aufstellen wird.
-n
Falls Sie anstelle der gezeigten symbolischen Namen lieber IP-Adressen ausgegeben haben wollen, können Sie das mit dieser Option erreichen. Sie sollten diese Option benutzen, wenn Sie keinen DNS zur Verfügung haben oder dieser sehr ausgelastet ist. Sie können zwischen den beiden Formaten (IP-Adressen und symbolische Namen) durch das Drücken der N-Taste umschalten, während NTop läuft.
-p
Mit dieser Option geben Sie das IP-Protokoll bzw. die IP-Protokolle an, die NTop überwachen soll. Das hierbei zu verwendende Format sieht folgendermaßen aus: = [, = …]. Der Platzhalter »Label« kann von Ihnen zur Identifizierung der verschiedenen Protokolllisten dienen. Das Format des Platzhalters »Protokollliste« lautet: [|Protokoll 2] Wobei das angegebene Protokoll entweder ein Protokollname aus der Datei /etc/ services oder eine numerische Portliste sein kann (zum Beispiel: 80 oder 2000-2090). Falls Sie diese Option nicht spezifizieren, wird folgender Defaultwert verwendet: FTP=ftp|ftp-data, HTTP=http|www|https, DNS=name|domain, Telnet=telnet,login, NBios-IP=netbios-ns|netbios-dgm|netbios-ssn, Mail=pop-2|pop-3|kpop|smtp|imap|imap2, Tabelle 2.11 Verfügbare Optionen für NTop (Forts.)
2.3 NTop
Option
85
Beschreibung SNMP=snmp|snmp-trap, NEWS=nntp, NFS=mount|pcnfs|bwnfs|nfs|nfsd-status, X11=6000-6010, SSH=ssh" Falls Sie aber zum Beispiel alle Loginprogramme, die auf Ihren Rechnern laufen, überprüfen wollen und diese Liste sehr lang würde, können Sie auch eine Datei übergeben, die die Protokolllistenspezifikationen enthält. Dazu müssen Sie beim Aufruf folgenden Befehl übergeben: Linux:~# ntop -p Datei
-i
Diese Option gibt an, welches Netzwerkinterface NTop benutzen soll. Falls Sie mehrere Schnittstellen angeben wollen, müssen Sie diese mit Kommas voneinander trennen. Zum Beispiel: Linux:~# ntop -i "eth0,eth1,eth2,ipsec0" Beachten Sie dabei aber, dass (außer Sie verwenden die Option -M) die Daten dieser Schnittstellen zusammengemischt werden.
-e
Dieses Flag macht nur Sinn, falls Sie NTop im Webmodus betreiben, da Sie die maximale Anzahl von HTML-Tabellenreihen angibt, die NTop anzeigen soll.
-w
Das ist die Option, die den NTop-Webserver startet und NTop somit in den Webmodus übergehen lässt. Wir werden diese Option im Laufe dieses Kapitels noch genauer besprechen.
-W
Auch diese Option bezieht sich auf den Webmodus und wird daher später im Kapitel genauer besprochen (Diese Option ermöglicht HTTPS).
-d
Wenn Sie diese Option übergeben, wird NTop zum Daemon und arbeitet im Hintergrund.
-S
Diese Option bewirkt, dass NTop Informationen über den Netzwerkverkehr bei einem Shutdown speichern wird, so dass keine schon gewonnenen Daten während den verschiedenen NTop-Sitzungen verloren gehen. Beachten Sie dabei aber, dass Informationen über TCP-Sitzungen verloren gehen.
-P
Mit dieser Option können Sie bestimmen, wo Datenbankdateien (db-files) gesucht oder erstellt werden. Der Defaultwert ist ».« Zusätzlich wird die Variable DBPATH/html zu der Suchliste für Web-Dateien hinzugefügt.
-m
Mit diesem Flag können Sie Subnetze angeben, deren Traffic lokal betrachtet wird. Das Format hierzu ist: /<# Subnetzmasken – Bits> [Netzwerkadresse>/ <# Subnetzmasken – Bits>…] Zum Beispiel: 140.140.19.0/24, 10.0.0.0/255.0.0.0 Tabelle 2.11 Verfügbare Optionen für NTop (Forts.)
86
2 Netzwerk-Tools
Option
Beschreibung
-l
Diese Option gibt an, dass in periodischen Abständen (spezifiziert mit der -r Flag) Informationen über die Netzwerkdaten in die Datei ntop.log geschrieben werden.
-a
Per Default loggt NTop HTTP-Zugriffe in die Datei ntop.access.log im aktuellen Verzeichnis. Sie können aber den Pfad dieser Datei (und somit die Datei selbst) auch selbst übergeben.
-u
Durch diese Option können Sie den User, unter dem NTop nach dem Start laufen wird, angeben. Dieser Username muss dabei ein gültiger Username aus der Passwortdatei /etc/passwd sein oder eine gültige numerische User ID.
-t
Dieses Flag gibt an, welches Level NTop bei der Verfolgung des Programmverlaufs auf die Standardausgabe ausgeben soll. Sie müssen dieser Option einen Integerwert von 0 (keine Verfolgung) bis 5 (volle Verfolgung zu Debugzwecken) zuweisen. Der Defaultwert liegt bei 3. Je höher der Level wird, desto mehr Informationen erhalten Sie.
-F
Ähnlich wie NeTraMet spezifiziert diese Option die Netzwerk »Flows«. Ein »Flow« ist eine Folge von abgefangenen Paketen, die auf eine bestimmte Regel passen. Das Format hierzu lautet: =’’ [,=’’] Der Platzhalter »Flowlabel« wird wieder dazu genützt, um den Flow zu spezifizieren. Das Format der Regelausdrücke werden Sie im Laufe dieses Kapitels noch kennen lernen (Regeln). Für Webuser sei gesagt, dass Sie diese Statistik über den Link »List NetFlows« erreichen. Tabelle 2.11 Verfügbare Optionen für NTop (Forts.)
2.3.2
Regeln
Mit diesen Filterregeln können Sie bestimmen, welchen Traffic Sie abfangen wollen. So können Sie Pakete von einem bestimmten Host abfangen oder die Regel auf ein Protokoll anwenden. Die Möglichkeiten hierbei sind wirklich sehr groß. Falls Sie bereits fit im Umgang mit Tcpdump sind, brauchen Sie diesen Abschnitt über die Erstellung von NTop-Regeln nicht zu lesen. Ansonsten können Sie entweder diesen Abschnitt oder den Abschnitt über Tcpdump lesen, um in der Lage zu sein, solche Filterregeln erstellen zu können. Wir werden dieses Kapitel nicht so ausführlich besprechen wie den Abschnitt über Regeln bei Tcpdump, Sie sind aber nach der Lektüre dieses Abschnittes in der Lage, alle Möglichkeiten und Features von NTop-Regeln voll auszuschöpfen. Syntax Die Syntax einer NTop-Regel ist recht simpel gehalten und hat folgendes Format: Protokoll Regel-Label Regel-Optionen
2.3 NTop
87
Wir werden nun im Laufe dieses Abschnittes jedes dieser drei Felder einer Regel ausführlich besprechen, so dass Sie nach der Lektüre des Regelabschnittes in der Lage sind, effektiv und sauber NTop-Regeln zu erstellen. Protokoll NTop bietet Ihnen die Möglichkeit, die abzufangenden Pakete nach drei verschiedenen Protokollarten auszuwählen: 1. TCP 2. UDP 3. ICMP 4. Das heißt also, dass eine dieser drei aufgeführten Protokollarten das erste Feld einer Regel darstellt. Regel-Label Wie Sie das von NTop schon gewohnt sind, können Sie mit einem Label ein bestimmtes Feld oder ähnlich eindeutig identifizieren. Genauso verhält sich die Sache auch mit den Regeln bei NTop. Wählen Sie als Label ein Wort, das die betreffende Regel genau beschreibt und eindeutig zu identifizieren ist. Regel-Optionen Die Regel-Optionen unterscheiden sich von Protokoll zu Protokoll, beachten Sie dabei also bitte, dass die gewählte Option auch zu dem gewählten Protokoll passt. Es wäre ziemlich nutzlos, eine Regel zu definieren, die nach TCP-Paketen suchen soll und als Regel-Option ICMP Echo Replies spezifiziert hat. Sie werden sich sehr schwer tun, ein solches Paket in einem normalen Netzwerk zu finden. Tabelle 2.12 stellt uns die verfügbaren Regel-Optionen kurz vor und gibt uns zu jedem aufgeführten Punkt eine kurze Beschreibung. Option
Beschreibung
shost/sport dhost/ dport
Diese Option wird benutzt, um festzulegen, woher das Paket kommt bzw. wohin es geht. Bei ICMP-Paketen wird nur shost/dhost benutzt. Mögliche Werte für shost und dhost sind: any (trifft auf jeden Host zu) broadcast (eine Broadcastadresse) multicast (eine Multicastadresse) gateway (ein Rechner, den NTop als Gateway identifiziert hat, da er von anderen Rechnern für das Routen von Paketen benutzt wurde) dns (ein Rechner, den NTop als DNS identifiziert hat, da er von anderen Rechnern für Address-Mapping genutzt wurde) Tabelle 2.12 Verfügbare Regel-Optionen
88
Option
2 Netzwerk-Tools
Beschreibung Sie können diese Angaben durch den Operator "!" auch negieren (zum Beispiel !dns). Beachten Sie dabei aber, dass eine Negierung von "any" (!any) nicht zulässig ist. Zulässige Werte für sport/dport sind: any (trifft auf jeden Port) !any (trifft auf jeden Port des Zielrechners zu, egal ob der Port auch in der letzen Regel benutzt wurde) usedport (trifft auf einen Port zu, bei dem NTop Netzwerkverkehr bemerkt hat) !usedport (trifft auf einen Port zu, bei dem NTop keinen Netzwerkverkehr bemerkt hat)
flags
TCP-Pakete haben im 13. Oktett die so genannten Codebits. Dies sind 8 Flags, die das Ziel einen Pakets beschreiben. Unter NTop haben Sie die Möglichkeit Pakete nach vier verschiedenen Flags zu sortieren: F (FIN) P (PUSH) A (ACK) R (RESET). Ein Fragment aus einer Beispielregel könnte daher folgendermaßen aussehen: flags AP
ICMP Type
Hiermit können Sie den ICMP-Pakettypen einer Regel spezifizieren. Verfügbare Werte hierfür sind: ICMP_ECHOREPLY ICMP_ECHO ICMP_UNREACH ICMP_REDIRECT ICMP_ROUTERADVERT ICMP_TIMXCEED ICMP_PARAMPROB ICMP_MASKREPLY ICMP_MASKREQ ICMP_INFO_REQUEST ICMP_INFO_REPLY ICMP_TIMESTAMP ICMP_TIMESTAMPREPLY ICMP_SOURCE_QUENCH Tabelle 2.12 Verfügbare Regel-Optionen (Forts.)
2.3 NTop
89
Option
Beschreibung
type packet/fragment
Hiermit geben Sie an, ob die Regeln auf Pakete oder auf Fragmente zutreffen sollen. Falls Sie keinen Wert übergeben, wird angenommen, dass die Regeln auf Pakete zutreffen sollen.
pktsize/pktcount Operator Integerwert
Sie können mit dieser Option die Regel noch weiter einschränken. Mit dem Schlüsselwort »pktsize« können Sie die Größe des betreffenden Paketes spezifizieren. Mit »pktcount« können Sie angeben, das wievielte Paket für diese Regel zutrifft. Die Werte, die Sie dabei übergeben, müssen Integerwerte sein, welche Sie mit Hilfe der folgenden Operatoren noch weiter einschränken können: < > =
unit Sekunden
Mit dieser Option können Sie die zuletzt vorgestellte Option »pktcount« weiter einschränken. Sie können hiermit bestimmen, in welchem Zeitraum die von Ihnen angegebene Zahl von Paketen auf diese Regel zutreffen soll. Zum Beispiel: pktcount > 100 unit 60 Gibt an, dass innerhalb 1 Minute (60 Sekunden) 100 Pakete auf diese Regel zutreffen müssen.
action
Hiermit geben Sie an, was NTop machen soll, wenn ein Paket auf eine Regel zutrifft. Mögliche Werte hierfür sind: alarm (Sendet einen Alarm aus) mark (Paket wird für weitere Verarbeitung markiert)
cleans Regelname
Diese Option kann benutzt werden, um Pakete, die durch die Regel, die Sie durch das Argument »Regelname« übergeben, markiert wurde, zu reinigen. Falls Sie alle Pakete reinigen wollen, können Sie die Wildcard »all« nach dem Regelnamen benutzen.
rearm Sekunden
Hiermit können Sie angeben, für wie lange (Sekunden) eine Regel außer Kraft gesetzt sein soll. Tabelle 2.12 Verfügbare Regel-Optionen (Forts.)
Beispiele Wie Sie gesehen haben, sind die Möglichkeiten mit NTop durchaus begrenzt. Doch ich denke, dass dieses Programm für Administratoren, die sich nicht lange einarbeiten können, durchaus interessant sein kann. Außerdem bietet es eine Reihe nützlicher Features und Zusatzprogramme (Webinterface und Netzwerkbrowser). Damit Sie das eben erlangte theoretische Wissen auch praktisch umsetzen können, werden wir uns im Folgenden einige Beispiele zu den Optionen der aufgeführten Regeloptionen anschauen.
90
2 Netzwerk-Tools
Beispiel 1: Wenn ein Host ein ICMP Route Redirect-Paket von einem Rechner, der kein Gateway ist, bekommt, so wird mit der unten aufgeführten Syntax ein Alarm generiert. icmp route-advertisement alarm
ICMP_ROUTERADVERT
!gateway/any action
Beispiel 2: Hierbei wird Alarm geschlagen, wenn sich der Superuser in einen FTP-Server einloggt. tcp root-ftp any/ftp any/any contains
Beispiel 3: Wenn Sie Scans durch nmap entdecken wollen, können Sie folgende Syntax verwenden. tcp tcp-nmap-scan any/!any any/!any flags SF action alarm
2.3.3
Netzwerk-Browser (Intop)
Der Netzwerk-Browser von NTop stellt ein Netzwerkinterface dar, das Ihnen die Arbeit mit diesem Tool erheblich erleichtern kann. Befehlszeile und Initialisierung Der Netzwerk-Browser InTop stellt Ihnen eine eigene Befehlszeile zur Verfügung, die es Ihnen zum Beispiel erlaubt, Netzwerkschnittstellen zu öffnen oder Pakete abzufangen. Programm starten Um die Shell (bzw. den Netzwerk-Browser) zu starten, benutzen Sie bitte folgenden Befehl: Linux:~# intop
Danach sollten Sie folgende Bildschirmausgabe erhalten: Linux:~# intop -- intop 0.0.1 (Sep. 21 2001) -- The first interactive ntop program. (C) Copyright 2000 L. Deri and R. Carbone. All rights reserved. It allows you to control the power of ntop using fingers rather than mouse! This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by
2.3 NTop
91
the Free Software Foundation; either version 2 of the Licence, or (at your opinion) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR PARTICULAR PURPOSE. See the GNU General Public Licence for more details. Initializing ntop engine.... Please wait. Type ? for help. intop>
Netzwerkinterface öffnen Nachdem Sie nun die InTop-Shell gestartet haben, ist es an der Zeit, ein Netzwerkinterface zu öffnen. Dies können Sie mit folgendem Befehl erreichen (Sie erhalten im Laufe dieses Kapitels eine vollständige Befehlsreferenz): intop> open -i
Wenn Sie dem Programm eine zu öffnende Schnittstelle übergeben haben, sollte sich die Shell ändern. Lassen Sie uns dies anhand eines kleinen Beispieles weiter erklären. Mit folgendem Befehl öffnen Sie das Netzwerkinterface eth0: intop> open -i eth0 intop@eth0>
Wie Sie sehen können, ändert sich der Befehlsprompt und gibt nun das zu überwachende Interface wieder. Netzwerkschnittstellen auflisten Falls Sie nicht mehr genau wissen, welche Netzwerkschnittstelle Sie zur Verfügung haben (normalerweise sollten Sie dies aber wissen!), können Sie sich mit folgendem Befehl alle zur Verfügung stehenden Schnittstellen auflisten lassen: intop> lsdev
Danach erhalten Sie eine Liste mit allen verfügbaren Schnittstellen: intop> lsdev Warning: this function could not work on systems where struct ifreq has the sa_len field. Warning: I will try to fix it asap. Sorry for the inconvenience. 5 interface(s) were found on this system. The list of those suitable for using with intop is: 1. lo 2. eth0
92
2 Netzwerk-Tools
3. eth1 4. eth2 5. ipsec0 iptop>
Befehlsreferenz Da Sie nun wissen, wie Sie der InTop-Kommandozeile Befehle übergeben können, werden Sie in diesem Kapitel eine Befehlsreferenz dafür erhalten. Tabelle 2.13 stellt Ihnen alle zurzeit zur Verfügung stehenden Befehle auf und gibt zu jedem Punkt eine kurze Beschreibung. Befehl
Beschreibung
help
Nach der Übergabe dieses Befehls erhalten Sie eine kleine Übersicht aller verfügbaren Befehle. Alle Befehle, die in spitzen Klammern (< und >) eingeschlossen sind, stehen zurzeit noch nicht zur Verfügung, werden aber bald implementiert. Um eine extra Hilfefunktion für einen speziellen Befehl zu erhalten, können Sie folgendes Format verwenden: intop> help "Befehl" zum Beispiel: intop> help arp Hiermit erhalten Sie eine genauere Beschreibung des angegebenen Befehls (in unserem Beispiel über den Befehl: »arp«).
?
Dieser Befehl bewirkt exakt dasselbe wie der eben vorgestellte Befehl »help«.
arp
Zeigt den NTop ARP Cache auf und gibt Informationen über die Filter einen Benutzers aus
close
Schließt ein Netzwerkinterface
exit
Beendet das Programm
filter
Setzt den BPF-Filter verbunden mit dem Netzwerkinterface
history
Zeigt die History der Kommandozeile
hosts
Zeigt den NTop HOST Cache und gibt Hostinformationen betreffend der benutzerdefinierten Filter aus
info
Gibt detaillierte Informationen über den aktuellen Status einer Netzwerkschnittstelle aus.
lsdev
Dieser Befehl zeigt Ihnen alle Netzwerkschnittstellen, die Sie für dieses Programm benutzen können.
nbt
Gibt den NTop (Netbios over TCP/IP) Cache aus und zeigt detaillierte Hostinformationen betreffend der benutzerdefinierten Filter
open
Öffnet eine Netzwerkschnittstelle
prompt
Hiermit können Sie die Farben für den prompt ändern.
quit
Beendet das Programm Tabelle 2.13 Befehlsreferenz für InTop
2.3 NTop
93
Befehl
Beschreibung
sniff
Damit können Sie die zwei zuletzt genutzten Netzwerkschnittstellen tauschen (falls diese existieren).
top
Zeigt Netzwerkverwendung ähnlich zum UNIX-Befehl »top«.
uptime
Gibt allgemeine Informationen über alle aktivierten Netzwerkschnittstellen aus und teilt Ihnen mit, wie lange das Programm schon läuft Tabelle 2.13 Befehlsreferenz für InTop (Forts.)
Wie Sie aus den Inhalten der eben gezeigten Tabelle 2.13 entnehmen können, kann Ihnen der Netzwerk-Browser InTop einige Arbeit ersparen und ist relativ leicht und intuitiv zu handhaben. Im Folgenden werden wir aber eine noch komfortablere Möglichkeit kennen lernen, die die Überwachung Ihres Netzwerkverkehrs zum Kinderspiel macht.
2.3.4
Webmodus
Wie bereits erwähnt haben Sie die Möglichkeit NTop im Webmodus laufen zu lassen, dies bringt einige unschlagbare Vorteile mit sich:
Netzwerkstatistiken können von jedem Rechner im Netz betrachtet werden Komfortable Menüführung Darstellung ist sehr übersichtlich gehalten Sichere Datenübertragung durch SSL Mehrere User haben Zugriff auf die Netzwerkstatistiken und vieles mehr
Aufteilung der Webseite Am oberen Rand der Webseite stehen Ihnen folgende sieben Obermenüpunkte zur Auswahl:
About Data Rcvd Data Sent Stats IP Traffic IP Protos Admin Nachdem Sie einen dieser Punkte ausgewählt haben, erhalten Sie auf der linken Seite (linker Frame) eine Auswahl an weiteren Menüpunkten.
94
2 Netzwerk-Tools
Start Wenn Sie einen Blick in Tabelle 2.11 werfen, werden Sie feststellen, dass Sie zum Start von NTop im Webmodus zwei Optionen benutzen können: 1. -w (HTTP) 2. -W (HTTPS) 3. Nachdem wir dies nun wissen, wollen wir uns daran machen, den Webmodus (HTTP) zu starten. Dafür übergeben wir folgenden Befehl: Linux:~# ntop -w 90
4. Dies bewirkt, dass wir NTop nun über den Webbrowser auf Port 90 unserer Maschine (ntop.secure.de) erreichen können. 5. Sie sollten nach der Übergabe dieses Befehls folgende Bildschirmausgabe erhalten: Linux:~# ntop -w 90 26/Jul/2001:23:30:30 SSL is present but https is disabled: use -W for enabling it 26/Jul/2001:23:30:31 ntop v.1.3.2 MT (SSL) [i686-suse-linux] (09/24/01 02:43:10 AM build) 26/Jul/2001:23:30:31 Listening on [eth0] 26/Jul/2001:23:30:31 Copyright 1998-2000 by Luca Deri <[email protected] > 26/Jul/2001:23:30:31 Get the freshest ntop from http:// www.ntop.org/ 26/Jul/2001:23:30:31 Initialising... 26/Jul/2001:23:30:31 Loading plugins (if any)... 26/Jul/2001:23:30:31 Searching plugins in /usr/lib/ntop/plugins 26/Jul/2001:23:30:31 Welcome to arpWatchPlugin. (C) 1999 by Luca Deri. 26/Jul/2001:23:30:31 Welcome to icmpWatchPlugin. (C) 1999 by Luca Deri. 26/Jul/2001:23:30:31 Welcome to LastSeenWatchPlugin. (C) 1999 by Andrea Marangoni. 26/Jul/2001:23:30:31 Welcome to nfsWatchPlugin. (C) 1999 by Luca Deri. 26/Jul/2001:23:30:31 Welcome to ntop Remote Interface 26/Jul/2001:23:30:31 Loading plugin '/usr/lib/ntop/plugins/ rmonPlugin.so' [/usr/lib/ntop/plugins/rmonPlugin.so: undefined symbol: debugmsgtoken] 26/Jul/2001:23:30:31 Welcome to WAPPlugin. (C) 2000 by Luca Deri. 26/Jul/2001:23:30:31 WARNING: For security reasons it is STRONGLY recommended to 26/Jul/2001:23:30:31 run ntop as unprivileged user by using the -u option!
2.3 NTop
95
26/Jul/2001:23:30:31 Resetting traffic statistics... 26/Jul/2001:23:30:32 Thread 1026 for LSOF support started. 26/Jul/2001:23:30:32 Thread 2051 for Network Packet Capturing started (_main_ thread). 26/Jul/2001:23:30:32 Thread 3076 for Host Traffic Statistics started. 26/Jul/2001:23:30:32 Thread 4101 for Throughput Update started. 26/Jul/2001:23:30:32 Thread 5126 for Scan Idle Host started. 26/Jul/2001:23:30:32 Thread 6151 for DNS Address Resolution started. 26/Jul/2001:23:30:32 Starting plugin threads (if any)... 26/Jul/2001:23:30:32 Remote Interface started [port 92][/var/ run/ntop.sock] 26/Jul/2001:23:30:32 Waiting for HTTP connections on port 90... 26/Jul/2001:23:30:32 Sniffying... 26/Jul/2001:23:30:32 Thread 9226 for Network Packet Sniffing started (_main_ thread).
Zugriff über Webbrowser Ab jetzt können wir von jedem Client, der auf dieses Netzwerk zugreifen darf, Netzwerkstatistiken abfragen. Wir wollen im Laufe dieses Kapitels mit einem Windowsrechner auf einen Linuxserver zugreifen, auf dem NTop auf Port 90 läuft. Um eine ausführliche und detailgetreue Darstellung zu bekommen, werden wir für die Erklärung und Navigation viele Screenshots verwenden. Startseite (What’s ntop) Sie haben nun die Möglichkeit Ihre NTop-Statistiken via Web von jedem Rechner aus abzufragen. Dafür benutzen Sie als URL die IP-Adresse des Servers, auf dem NTop läuft, gefolgt vom Port, auf dem das Programm lauscht. In unserem Fall lautet die einzugebende URL also: http://10.209.100.3:90
Danach erhalten Sie die in Abbildung 2.21 gezeigte Startseite. Wie Sie sehen können ist diese Seite dieselbe, die Sie auch unter dem Menüpunkt »What’s ntop?« aus der »About« – Sparte erreichen würden. In dieser Seite bekommen Sie allgemeine Informationen über NTop (welche Protokolle werden abgefangen etc.). Für den weiteren Gebrauch wird diese Seite daher nicht sehr nützlich sein. Configuration Als Nächstes wollen wir uns den Menüpunkt »Configuration« aus demselben Oberpunkt (»About«) ansehen. Dazu werfen wir einen Blick auf Abbildung 2.22.
96
2 Netzwerk-Tools
Abbildung 2.21 Startseite
Abbildung 2.22 Config
2.3 NTop
97
Wie Sie erkennen können, bietet Ihnen diese Seite einige Informationen über den Host, auf dem das Programm, läuft an. Auch diese Seite werden Sie bei der Überwachung Ihres Netzwerkverkehrs nicht allzu oft aufrufen. Credits Hier erfahren Sie mehr über den Entwickler von NTop (Luca Deri). Außerdem werden Sie über Verbesserungen der installierten Version und weitere nützliche Fakten aufgeklärt.
Abbildung 2.23 Credits
Man Page Die letzte Seite aus dem Menüpunkt »About« bietet die erste nützliche und hilfreiche Information für einen Administrator, welcher über diesen Punkt Zugriff auf die Man Page von NTop bekommt. Dies kann in vielen Situationen sehr nützlich sein (Abbildung 2.24). Data Rcvd Nachdem wir nun alle Unterpunkte des Menüpunktes »About« ausführlich besprochen haben, werden wir uns mit dem nächsten Punkt »Data Rcvd« beschäftigen. Dieser Punkt kann Ihnen nützliche und hilfreiche Informationen über die empfangenen Daten aus Ihrem Netzwerk (die von NTop abgefangen werden konnten) ausgeben.
98
2 Netzwerk-Tools
Abbildung 2.24 Man Page
All Protocols Wie Sie aus Abbildung 2.25 ersehen können, erhalten Sie in diesem Menüpunkt nützliche Informationen darüber, welche Hosts mit welchem Protokoll wie viele Daten empfangen haben. Es werden Statistiken über folgende Protokolle zur Verfügung gestellt.
TCP UDP ICMP DLC IPX DECNET (R)ARP Apple Talk OSPF NetBios IGMP OSI
2.3 NTop
99
QNX Other
Falls Sie detaillierte Auflistungen über einen einzelnen Host wollen, klicken Sie auf die IP-Adresse des gewünschten Hosts. Für Informationen über die dargestellten Protokolle klicken Sie auf das betreffende Protokoll. Um die vorhandenen Einträge zu sortieren, können Sie den Pfeilbutton neben dem Punkt »Received« benutzen. Grundsätzlich gilt, dass ein Klick auf einen Link weitergehende nützliche Informationen über den dargestellten Punkt bringt. Scheuen Sie sich also nicht davor, dieses Feature zu nutzen.
Abbildung 2.25 All Protocols
IP Ähnlich zum Menüpunkt »All Protocols« erhalten Sie hier Informationen über die verfügbaren IP-Protokolle, den betreffenden Host und die dazugehörige Domain (Abbildung 2.26) Aufgelistete Protokolle sind:
FTP HTTP
100
2 Netzwerk-Tools
DNS Telnet NetBios-IP MAIL SNMP NEWS NFS X11 SSH andere IP-Protokolle.
Abbildung 2.26 IP
Throughput Dieser Menüpunkt gibt Ihnen Aufschluss über den erreichten Durchsatz beim Empfangen Ihrer Daten. So erhalten Sie hier zum Beispiel Informationen über den:
aktuellen Durchsatz in bps (Actual Thpt) durchschnittlichen Durchsatz in kbs (Avg Thpt) maximal erreichten Durchsatz in kbs (Peak Thpt)
2.3 NTop
101
aktuellen Paketdurchsatz in Paketen pro Sekunde (Actual Pkt Thpt) durchschnittlichen Paketdurchsatz pro Sekunde (Avg Pkt Thpt) maximal erreichten Paketdurchsatz pro Sekunde (Peak Pkt Thpt)
Für weitere Informationen werfen Sie einen Blick auf Abbildung 2.27.
Abbildung 2.27 Throughput
Host Activity Abbildung 2.28 zeigt die Seite, die Sie erhalten, wenn Sie den Menüpunkt »Host Activity« wählen. Dort erhalten Sie Informationen darüber, wann welcher Host wie stark aktiv war. NetFlows Abbildung 2.29 zeigt Ihnen den Menüpunkt »NetFlows«, der Sie über Paket- und Trafficfluss in Ihrem Netzwerk informiert. Data Sent Nachdem wir nun den Oberpunkt »Data Rcvd« abgeschlossen haben, wollen wir uns mit dem dazugehörigen Gegenstück beschäftigen – »Data Sent«. Wie der Name schon erkennen lässt, erhalten Sie durch diesen Punkt ein Menü, welches Ihnen detaillierte Statistiken über die in Ihrem Netzwerk gesendeten Daten liefern kann.
102
2 Netzwerk-Tools
Abbildung 2.28 Host Activity
Abbildung 2.29 NetFlows
2.3 NTop
103
All Protocols Der erste Menüpunkt von »Data Sent« informiert darüber, wie viele Daten über welches Protokoll verschickt wurden. Dabei werden folgende Protokolle aufgelistet:
TCP UDP ICMP DLC IPX Decnet (R)ARP Apple Talk OSPF NetBios IGMP OSI QNX und andere Protokolle
Falls Sie weitere Informationen dazu wünschen, können Sie einen Blick auf Abbildung 2.30 werfen.
Abbildung 2.30 All Protocols
104
2 Netzwerk-Tools
IP Abbildung 2.31 zeigt diesen Menüpunkt, der Ihnen Aufschluss über die gesendeten IP-Pakete gibt. Es werden für folgende Protokolle Statistiken erstellt:
FTP HTTP DNS Telnet NetBIOS IP MAIL SNMP NEWS NFS X11 SSH andere IP-Protokolle
Abbildung 2.31 IP
2.3 NTop
105
Throughput Auch der Überbegriff »Data Sent« informiert Sie über den erreichten Durchsatz beim Senden von Daten. Dabei werden folgende Statistiken angefertigt:
Aktueller Durchsatz in bps (Actual Thpt) Durchschnittlicher Durchsatz in kbs (Avg Thpt) Maximal erreichter Durchsatz in kbs (Peak Thpt) Aktueller Paketdurchsatz in Paketen pro Sekunde (Actual Pkt Thpt) Durchschnittlicher Paketdurchsatz pro Sekunde (Avg Pkt Thpt) Maximal erreichter Paketdurchsatz pro Sekunde (Peak Pkt Thpt)
Abbildung 2.32 zeigt diese Seite.
Abbildung 2.32 Throughput
Host Activity Auch im Feld »Data Sent« ist eine Statistik verfügbar, die Ihnen Aufschluss über die zeitlichen Aktivitäten Ihrer Hosts gibt. Die hier gezeigten Daten werden grafisch in einer Tabelle dargestellt, wobei jedes Tabellenfeld genau eine Stunde repräsentiert. Wenn dieses Feld leer ist, so war der Host in dieser Zeit nicht aktiv.
106
2 Netzwerk-Tools
Dies kann sehr nützlich sein, wenn Sie die Verfügbarkeit Ihrer Serversysteme feststellen müssen. Abbildung 2.33 zeigt diese Seite.
Abbildung 2.33 Host Activity
Stats Der vierte Überpunkt des Webinterfaces von NTop bietet allgemeine Statistiken an, die sich nicht auf gesendete oder empfangene Daten, sondern auf die Gesamtheit beziehen, an. Multicast Dieser Menüpunkt informiert Sie über die aktuellen Multicaststatistiken. Traffic Unter diesem Punkt finden Sie enorm viele hilfreichen Informationen über den entstandenen Netzwerkverkehr in Ihrem Netzwerk. So werden Sie hier zu Beginn über allgemeine Daten informiert: Danach bekommen Sie eine Auflistung des gesendeten und empfangenen Pakete, des Durchsatzes und der dabei verwendeten Protokolle (Abbildung 2.34).
2.3 NTop
107
Abbildung 2.34 Traffic
Hosts Hier finden Sie Informationen über die von den verschiedenen Hosts verwendete IP- und MAC-Adresse, die durchschnittliche Bandbreite, den Rechnernamen (und gegebenenfalls die Arbeitsgruppe) und noch vieles mehr. Abbildung 2.35 zeigt diese Seite. Die weiterführenden Links werden in diesem Rahmen aber nicht abgebildet, da dies definitiv den Rahmen dieses Buches sprengen würde und außerdem nicht von großem Nutzen für Sie wäre. Auch hier gilt, dass jeder zur Verfügung gestellte Link benutzt werden sollte, da die dahinter liegenden Daten durchaus interessant und nützlich sein können. Throughput Wie Sie in Abbildung 2.36 erkennen können, erhalten Sie unter diesem Punkt eine Seite, die Ihnen die durchschnittliche Bandbreite eines Tages bzw. einer Stunde mitteilt. Wenn Sie dabei auf die verschiedenen Spitzen der Grafik klicken, erhalten Sie nützliche weiterführende Informationen über den dabei entstandenen Traffic (beteiligte Rechner und so weiter).
108
2 Netzwerk-Tools
Abbildung 2.35 Hosts
Abbildung 2.36 Throughput
2.3 NTop
109
Domain Unter diesem Menüpunkt erhalten Sie Informationen und Statistiken über den aktuellen Status Ihrer Internetdomain. Plugins Wie aus Abbildung 2.37 hervorgeht, erhalten Sie unter diesem Menüpunkt Daten über die verfügbaren Plugins.
Abbildung 2.37 Plugins
Falls ein Plugin nicht aktiviert ist, hat es den Status »No«. Sie können dieses Plugin durch einen Klick auf den Link »No« aktivieren. Es erhält danach den Status »yes«. Um weiterführende Informationen über das betreffende Plugin zu bekommen, klicken Sie auf den entsprechenden Link. Abbildung 2.38 und Abbildung 2.39 zeigen zwei Seiten, die die entsprechenden Plugins beschreiben.
110
2 Netzwerk-Tools
Abbildung 2.38 arpWatch Plugin
Abbildung 2.39 ICMP Statistics Plugins
2.3 NTop
111
IP Traffic Im fünften Oberpunkt finden Sie Informationen über den entstandenen IP Traffic. Dabei können Sie zwischen drei Statistiken wählen: 1. Remote zu lokal 2. Lokal zu remote 3. Lokal zu lokal 4. Ein Klick auf die einzelnen IP-Adressen gibt weiterführende Informationen aus. So erhalten Sie dadurch zum Beispiel folgende Daten:
Allgemeine Informationen über den betreffenden Host Statistiken über den Netzwerkverkehr (zeitlich eingeteilt) TCP-Paketstatistiken IP-Protokollaufteilung
TCP UDP (R)ARP NetBIOS
Zuletzt kontaktierte Rechner IP-Sitzungshistory Aktive TCP-Sitzungen und einiges mehr
R>L Die Seite, die sich hinter diesem Link verbirgt, gibt Aufschluss über den Netzwerkverkehr, der vom externen Netz ins lokale Netz angefallen ist. L>R Dieser Punkt beschreibt den Netzwerkverkehr, der vom internen Netzwerk ins Internet ging. L <> L Wie Sie aus Abbildung 2.40 erkennen können, behandelt dieser Punkt die Statistiken über den Netzwerkverkehr, der in Ihrem internen Netz angefallen ist. Matrix Unter diesem Punkt erhalten Sie die IP Subnet-Matrix. Dabei können Sie durch eine farbliche Kennung genau erkennen, welcher Host wie viel gesendet bzw. empfangen hat (Abbildung 2.41).
112
2 Netzwerk-Tools
Abbildung 2.40 L <> L
Abbildung 2.41 Matrix
2.3 NTop
113
Local Usage Dieser Menüpunkt gibt Ihnen Aufschluss über den entstandenen lokalen Netzwerkverkehr. Dabei erhalten Sie eine Aufteilung in die folgenden zwei Kategorien (Abbildung 2.42): 1. Netzwerkverkehr versucht durch einen Prozess 2. Netzwerkverkehr bezogen auf die verschiedenen Ports 3. Ein Klick auf den entsprechenden Prozess oder Port öffnet eine neue Seite (Abbildung 2.43), welche Daten über den Prozess bzw. den Port enthält (zum Beispiel: empfangene Daten, gesendete Daten, geöffnete Ports, Prozess ID, Username)
Abbildung 2.42 Local Usage
IP Protos Der vorletzte Oberpunkt enthält Informationen über die zur Verfügung stehenden und genutzten IP-Protokolle, über die verwendeten Router und die Subnetmaske.
114
2 Netzwerk-Tools
Abbildung 2.43 Local Usage proftpd
Distribution Dieser Menüpunkt zeigt Ihnen den gesamten Netzwerkverkehr aufgeteilt in folgende drei Bereiche:
Lokaler Netzwerkverkehr Remote zu lokal Lokal zu remote Diese drei Bereiche enthalten wiederum Grafiken, die Ihnen anschaulich den Anteil bestimmter Protokolle am entstandenen Netzwerkverkehr illustrieren.
Abbildung 2.44 zeigt diese Seite. Usage Diese Seite enthält Informationen über die IP Subnet-Verwendung und zeigt die dabei beteiligten Protokolle und die dazugehörigen Portnummern. Ein Klick auf die angezeigten IP-Adressen liefert weitere interessante Daten. Abbildung 2.45 zeigt diese Seite.
2.3 NTop
115
Abbildung 2.44 Distribution
Abbildung 2.45 Usage
116
2 Netzwerk-Tools
Sessions Unter diesem Punkt finden Sie die zurzeit aktiven TCP-Sitzungen. Dabei werden die Einträge für jede Sitzung in folgende Felder unterteilt:
Client IP Adresse/Dienst Server IP Adresse/Dienst Gesendete Daten Empfangene Daten Aktiv seit Zuletzt beobachtet Dauer
Abbildung 2.46 zeigt einen Screenshot, der den Inhalt dieser Seite darstellt.
Abbildung 2.46 Session
Routers Wie Sie sich sicherlich bereits gedacht haben, enthält der letzte Link des »IP Protos« Oberpunkts eine Statistik und eine dazu passende Beschreibung für die verwendeten Router.
2.3 NTop
117
Admin Diesem Bereich sollten Sie als Erstes Ihre Aufmerksamkeit schenken, da Sie damit NTop steuern und administrieren können. Switch NIC Falls Sie mehrere Netzwerkkarten in Ihrem Server haben, können Sie mit diesem Link die aktuelle Karte gegen eine andere austauschen (im Sinne der Überwachung, natürlich nicht physikalisch). Reset Stats Hiermit können Sie alle Statistiken zurück auf Null stellen. Users Um diesen Bereich betreten zu können, brauchen Sie ein Passwort und einen gültigen Benutzernamen. Falls Sie NTop zum ersten Mal benutzen, sind die Defaultwerte gesetzt. Sie können sich somit mit dem Usernamen »admin« und dem dazugehörigen Passwort »admin« einloggen. Selbstredend sollten Sie diese Werte sofort nach der Initialisierung von NTop ändern. Nachdem Sie sich erfolgreich eingeloggt haben, sollten Sie zu der in Abbildung 2.47 dargestellten Seite gelangen.
Abbildung 2.47 Users
118
2 Netzwerk-Tools
Um neue User anzulegen folgen Sie dem Link »Add User«. Sie sollten danach zu der in Abbildung 2.48 gezeigten Seite weitergeleitet werden. Falls Sie jedoch einen bereits existierenden Benutzer ändern wollen, können Sie dies tun, indem Sie auf den gezeigten Stift im »Actions«-Feld klicken.
Abbildung 2.48 Add User
Wenn Sie einen Benutzer löschen wollen, klicken Sie auf das durchgestrichene Gesicht im »Actions« Feld (nicht in der gezeigten Abbildung zu sehen). URLs Wie Sie in Abbildung 2.49 gut erkennen können, erlaubt Ihnen diese Seite die vordefinierten URLs zu ändern oder neue zu erstellen. Um eine neue URL hinzuzufügen, müssen Sie auf das Feld »Add URL« klicken. Die dabei aufgerufene Seite ist in Abbildung 2.50 zu sehen. Shutdown Wenn Sie Ihren NTop Webserver herunterfahren wollen, können Sie das mit diesem Link erledigen. Nachdem der Server erfolgreich heruntergefahren wurde, erhalten Sie die in Abbildung 2.51 gezeigte Meldung.
2.3 NTop
119
Abbildung 2.49 URL
Abbildung 2.50 Add URL
120
2 Netzwerk-Tools
Abbildung 2.51 Shutdown
2.4
Tcpdump
Beim nächsten Tool, mit dem wir uns beschäftigen, handelt es sich um ein PaketCapture-Programm, das Ihnen die Möglichkeit gibt, bestimmte Pakete aus dem Netzwerk auszulesen und anzuzeigen. Auch dieses Tool kann einem Administrator, der auf Fehlersuche ist, eine enorme Hilfe sein. Laienhaft könnte man sagen, dass dieses Tool Ihnen die Möglichkeit bietet die Pakete, die sich in Ihrem Netzwerk befinden, mit Hilfe verschiedenster Filter darzustellen und Ihnen damit eine Basis für die Kontrolle bestimmter Netzwerkgeräte wie Firewalls, Router, Switches … zu bieten.
2.4.1
Installation
Sie können sich dieses Tool wie immer von der Buchpage downloaden oder es aus der Paketdatenbank Ihrer Distribution beziehen. Bedenken Sie bitte, dass das Programm Rootrechte braucht, um korrekt zu laufen.
2.4 Tcpdump
2.4.2
121
Lauschangriff
Bevor Sie den großen Lauschangriff auf Ihr Netzwerk starten können, sollten Sie wissen, welche Möglichkeiten Ihnen dabei zur Verfügung stehen. Im Grunde ist die Bedienung und Handhabung dieses Tools unkompliziert, da es sich komplett über die Konsole steuern lässt. Es handelt sich dabei jedoch um ein äußerst umfangreiches Tool, was zur Folge hat, dass Sie einer Vielzahl von Optionen und Argumenten gegenüberstehen. Welche Ihnen dabei genau zur Verfügung stehen und welchen Nutzen sie für Sie haben, werden Sie in den folgenden Abschnitten dieses Kapitels erfahren. Am Ende der Besprechung von Tcpdump werden wir einige sinnvolle Beispiele aufführen, die Ihnen hoffentlich helfen, dieses Tool zielstrebig und effektiv einzusetzen. Allgemeine Syntax Die allgemeine Syntax für dieses Programm kann man nicht gerade als kurz bezeichnen, deshalb werden wir auf jedes Feld des Befehlsaufrufes genau eingehen, um Ihnen einen kompletten Einblick in die Funktionsweise von Tcpdump geben zu können. Bevor wir aber auf bestimmte Felder eingehen können, sollten wir uns den Befehl mit allen Optionen und Argumenten genauer anschauen. Linux:~# tcpdump [ [ [ [
[Optionen] [ -c count ] -C file_size ] [ -F file ] -i interface ] [ -m module ] [ -r file ] -s snaplen ] [ -T type ] [ -w file ] -E algo:secret ] [ expression ]
Optionen Optionen bieten Ihnen den grundlegendsten und gröbsten Filter, um den Verkehr auf Ihrem Netzwerk zu überwachen. Welche Filter (Optionen) Sie benutzen können und was Sie bewirken, werden Sie in Tabelle 2.14 erfahren. Optionen
Beschreibung
-a
Versucht Netzwerk- und Broadcastadressen in Namen umzuwandeln
-c count
Bricht ab, nachdem ein count-Paket empfangen wurde (benötigt Angabe des Pakets)
-C file-size
Bevor ein RAW-Paket in ein »safefile« geschrieben wird, wird überprüft, ob diese Datei größer als die angegebene Dateigröße (file-size) ist. Falls dies der Fall ist, wird eine neue Datei erstellt.
-dd
Zeigt den Code des Paket Matching als C fragment. Bsp: { 0x6, 0, 0, 0x00000060 }, Tabelle 2.14 Tcpdump Optionen
122
2 Netzwerk-Tools
Optionen
Beschreibung
-ddd
Zeigt den Code des Paket Matching in Dezimalzahlen. Bsp: 1 6 0 0 96
-e
Zeigt den Link Level Header in jeder Zeile
-E algo:secret
Benutzen Sie diese Option, um IPsec ESP-Pakete zu entschlüsseln. Folgende Algorithmen stehen Ihnen dabei zur Verfügung: des-cbc (Defaultwert) 3des-cbc blowfish-cbc rc3-cbc cast128-cbc none Sie können diese Option nur nutzen, falls tcpdump mit der Option crytographie kompiliert wurde. Den Platzhalter secret füllen Sie bitte mit dem ESP Secret key (ASCII-Format, binär ist noch nicht möglich). Weiter funktioniert diese Option nur mit RFC2406 ESP, nicht mit RFC1827 ESP.
-f
Zeigt nicht lokale Internetadressen numerisch anstatt symbolisch an. Wurde speziell für Suns yp Server entwickelt.
-F file
Sie können Ihre Filter in der in File angegebenen Datei speichern und Tcpdump wird sie daraus lesen. Alle Filter aus der Kommandozeile werden ignoriert.
-i interface
Gibt das abzuhörende Interface an. Falls Sie kein Interface angeben, sucht Tcpdump in der Systeminterfaceliste nach dem ersten Eintrag und benutzt dieses Interface. Loopback Devices werden ignoriert. Sie können auch den Pattern any übergeben und es werden alle Interfaces abgehört.
-l
Standartausgabezeilen werden gepuffert
-m modul
Lädt SMI MIB-Moduldefinitionen aus der angegebenen Datei
-n
Keine Adressumwandlung zu Namen
-N
Zeigt nicht den vollen Domainnamen des Hosts an. Zum Beispiel:
-O
Verhindert, dass der Paket Matching Code Optimizer läuft. (Nur sinnvoll, wenn Sie denken, dass dieser buggy ist.)
-p
Das Interface wird nicht in promiscuous mode versetzt. Es kann sich aber durchaus aus anderen Gründen in diesem Modus befinden.
-q
Es werden weniger Protokollinformationen ausgegeben, die Zeilen werden somit kürzer.
-R
Gibt Tcpdump die Anweisung, dass ESP/AH-Pakete noch auf alten Spezifikationen beruhen (von RFC1825 bis zu RFC1829). Falls Sie diese Option verwenden, wird das relay prevention-Feld nicht angezeigt.
-r file
Liest Pakete aus der angegebenen Datei (die mit der w-Option erstellt wurde).
joey.triblen.de wird als joey angezeigt.
Tabelle 2.14 Tcpdump Optionen (Forts.)
2.4 Tcpdump
123
Optionen
Beschreibung
-S
Zeigt absolute anstatt relative TCP-Sequenznummern an.
-T
Pakete werden nach den angegebenen ‚expressions« selektiert und nach dem spezifizierten type interpretiert. Die zurzeit verfügbaren Typen sind: cnfg (Cisco NetFlow Protocol) rpc (Remote Precedure Call) rtp (Real Time Applications Protocol) rtcp (Real Time Applications Control Protocol) snmp (Simple Network Management Protocol) vat (Visual Audio Tool) wb (distributed White Board)
-t
Zeigt nicht an jeder Zeile den timestamp an
-tt
Zeigt einen unformatierten timestamp in jeder Zeile an
-ttt
Zeigt ein Delta zwischen aktueller und vorhergehender Zeile an (in Mikrosekunden)
-tttt
Zeigt den timestamp im Defaultformat gefolgt vom Datum in jeder Zeile an. Mit der u-Option können Sie zusätzlich noch nicht dekodierte NFS Handles anzeigen lassen.
-v
Verbose-Modus. Es werden zusätzliche Informationen wie: time to live-Wert identification-Wert total length-Wert Optionen in einem IP-Paket angezeigt. Außerdem werden zusätzliche Checks wie die Berechnung der Quersumme von IP und ICMP Headern ausgegeben.
-vv
Gibt noch mehr Output als der normale Verbose-Modus. So werden hier zum Beispiel zusätzliche Felder von NFS Replypaketen dargestellt. SMBPakete werden sogar vollständig dekodiert.
-vvv
Gibt wiederum noch mehr Output. Hier werden zum Beispiel Telnet SB … SE-Optionen voll dargestellt.
-w file
Schreibt RAW-Pakete in die angegebene Datei, anstatt sie auszugeben. Sie können später mit der -r-Option wieder ausgegeben werden.
-x
Stellt jedes Paket hexadezimal dar (ohne den Link Level Header).
-X
Falls die Option –X gesetzt ist, werden Pakete zusätzlich auch noch in ASCII ausgegeben. Tabelle 2.14 Tcpdump Optionen (Forts.)
Expressions So, da Sie nun alle verfügbaren Optionen kennen, können wir uns mit dem Feld expression beschäftigen, das Ihnen die Möglichkeit gibt, zu bestimmen, welche Pakete im Netzwerk angezeigt werden sollen.
124
2 Netzwerk-Tools
Expressions bestehen normalerweise aus einem oder mehreren primitives, die sich in der Regel aus einer ID (Name oder Zahl) gefolgt von einem oder mehreren Qualifiers zusammensetzen. Wir werden uns mit jedem einzelnen Bestandteil genau befassen. Qualifiers Wir werden mit der Beschreibung der Qualifiers beginnen. Tabelle 2.15 enthält die drei verfügbaren Qualifiers. Qualifier
Beschreibung
type
Dieser Qualifier gibt an, worauf sich die ID (Name oder Zahl) bezieht. Mögliche Typen sind: host (Defaultwert) (z.B. Host Joey) net (z.B. net 130.9) port (z.B. port 8080)
dir
Gibt die Transferrichtung zu und/oder von einer bestimmten ID an. Mögliche Werte sind: src dst src or dst (Defaultwert) src and dst Beispiele hierfür können zum Beispiel sein: src Joey dst net
130.9
src or dst port ssh Für Null Link Layers wie SLIP können die Qualifier inbound und outbound zur Richtungsbestimmung benutzt werden. proto
Dieser Qualifier reduziert die Treffer auf bestimmte Protokolle, wie zum Beispiel: ether fddi tr ip ip6 arp rarp decnet tcp udp Tabelle 2.15 Verfügbare Qualifiers
2.4 Tcpdump
Qualifier
125
Beschreibung Mögliche Beispiele hierfür: ether src Joey arp net 130.9 tcp port 8080 Falls Sie diesen Qualifier nicht explizit angeben, treffen alle Protokolle, die auf den Typ zutreffen könnten, zu. Tabelle 2.15 Verfügbare Qualifiers (Forts.)
Bevor wir uns mit dem Feld primitives auseinander setzen, sollten wir uns einige Besonderheiten zu dem Qualifier proto ansehen: Beachten Sie bei der Verwendung dieses Qualifiers bitte, dass das Feld fddi eigentlich ein Synonym für ether ist, da Tcpdump die beiden gleich behandelt. Dies liegt daran, dass FDDI Header Ethernet-ähnliche Quell- und Zieladressen und oftmals Ethernet-ähnliche Pakettypen haben, die den Feldern von Ethernetpaketen sehr ähnlich oder manchmal sogar damit identisch sind. Ähnlich verhalten sich auch tr-Pakete, da auch dieses Feld ein Synonym für ether darstellt. Primitives Nachdem Sie nun wissen, was es mit den Qualifiern auf sich hat, können wir uns den primitives widmen. Vorab möchte ich Sie darauf hinweisen, dass Sie mit den Schlüsselwörtern and, or und not diese primitives kombinieren können. Tabelle 2.16 enthält alle verfügbaren primitives und gibt Ihnen zu jedem aufgezählten Punkt eine kurze Beschreibung. Primitive
Beschreibung
dst host host
Wahr, wenn das IPv4- oder IPv6-Zieladressenfeld dem Argument host entspricht. Dieses Argument kann eine Adresse oder ein Name sein.
src host host
Wahr, wenn das IPv4- oder IPv6-Quelladressenfeld dem Argument host entspricht. Dieses Argument kann eine Adresse oder ein Name sein.
host host
Wahr, wenn das IPv4- oder IPv6-Quell- oder Zieladressenfeld des Pakets dem Argument host entspricht. Sie können jeden der genannten Hostausdrücke mit folgenden Keywörtern kombinieren (Sie müssen dabei das Keywort vorstellen): ip arp rarp ip6 Tabelle 2.16 Verfügbare primitives
126
Primitive
2 Netzwerk-Tools
Beschreibung Zum Beispiel ist der Ausdruck ip host host äquivalent zu ether proto \ip and host host (Beispiel aus Manpage)
ether dst ehost
Wahr, wenn die Ethernet-Zieladresse dem Argument ehost entspricht. Dieses Argument kann entweder ein Name aus der Datei /etc/ethers oder eine Zahl sein.
ether src ehost
Wahr, wenn die Ethernet-Quelladresse dem Argument ehost entspricht. Dieses Argument kann auch hier entweder ein Name aus der Datei /etc/ethers oder eine Zahl sein.
ether host ehost Wahr, wenn die Ethernet-Quell- oder Zieladresse dem Argument ehost entspricht. gateway host
Wahr, wenn das Paket den Host, den Sie mit dem Argument host übergeben, als Gateway benutzt hat.
dst net net
Wahr, wenn die IPv4- oder IPv6-Zieladresse eine Netzwerknummer hat, die Sie mit dem Argument net übergeben. Das Argument kann entweder ein Name aus /etc/networks oder eine Zahl sein.
src net net
Wahr, wenn die IPv4- oder IPv6-Quelladresse eine Netzwerknummer hat, die Sie mit dem Argument net übergeben. Das Argument kann entweder ein Name aus /etc/networks oder eine Zahl sein.
net net
Wahr, wenn die IPv4 oder IPv6 Quell- oder Zieladresse eine Netzwerknummer hat, die Sie mit dem Argument net übergeben. Das Argument kann entweder eine Name aus /etc/networks oder eine Zahl sein.
net net mask mask
Wahr, wenn das Netzwerk, das Sie mit dem Argument net übergeben, mit der Netzwerkmaske, die Sie mit dem Argument mask übergeben, übereinstimmt. Kann mit src und dst verfeinert und eingeschränkt werden.
net net/len
Wahr, wenn die IPv4- oder IPv6- angegebene Adresse net, einer Netzwerkmaske mit len bits Größe entspricht.
dst port port
Wahr, wenn es sich bei dem Paket um ein IPv4/TCP-, IPv4/UDP-, IPv6/ UDP- oder IPv6/TCP-Paket handelt und dessen Zielport dem Wert entspricht, den Sie mit dem Argument port übergeben. Dieses Argument kann entweder eine Zahl oder ein Name aus der Datei /etc/services sein. Wenn Sie einen Namen verwenden, werden die Portnummer und das Protokoll überprüft. Wenn Sie eine Zahl verwenden, wird nur die Portnummer überprüft.
src port port
Wahr, wenn es sich beim dem Paket um ein IPv4/TCP-, IPv4/UDP-, IPv6/ UDP- oder IPv6/TCP-Paket handelt und dessen Quellport dem Wert entspricht, den Sie mit dem Argument port übergeben. Dieses Argument kann entweder eine Zahl oder ein Name aus der Datei /etc/services sein. Wenn Sie einen Namen verwenden, werden die Portnummer und das Protokoll überprüft. Wenn Sie eine Zahl verwenden, wird nur die Portnummer überprüft. Tabelle 2.16 Verfügbare primitives (Forts.)
2.4 Tcpdump
127
Primitive
Beschreibung
port port
Wahr, wenn es sich beim dem Paket um ein IPv4/TCP-, IPv4/UDP-, IPv6/ UDP- oder IPv6/TCP-Paket handelt und dessen Ziel- oder Quellport dem Wert entspricht, den Sie mit dem Argument port übergeben. Dieses Argument kann entweder eine Zahl oder ein Name aus der Datei /etc/services sein. Wenn Sie einen Namen verwenden, werden die Portnummer und das Protokoll überprüft. Wenn Sie eine Zahl verwenden, wird nur die Portnummer überprüft. Alle der aufgeführten Portausführungen können mit folgenden Schlüsselwörtern kombiniert werden: tcp udp So trifft zum Beispiel folgende Syntax nur auf TCP-Pakete zu, deren Quellport 23 ist.
tcp src port 23 less length
Wahr, wenn das Paket kleiner oder genauso groß ist wie der Wert, den Sie mit dem Argument length übergeben. Äquivalent zu: len <= length
greater length
Wahr, wenn das Paket größer oder genauso groß ist wie der Wert, den Sie mit dem Argument length übergeben. Äquivalent zu: len >=length
ip porto protocol
Wahr, wenn das Paket ein IP-Paket ist. Das Argument protocol kann eine Zahl oder einer der folgenden Namen sein: icmp icmp6 igmp igrp pim ah esp udp tcp Beachten Sie dabei, dass die Protokollnamen tcp, udp und icmp ebenfalls Schlüsselwörter sind und dass Sie diese daher mit einem Backslash (\) davor aufführen müssen (C-Shell: \\).
ip6 proto protocol
Wahr, wenn das Paket ein IPv6-Paket vom Protokolltyp, den Sie mit dem Argument protocol übergeben, ist. Tabelle 2.16 Verfügbare primitives (Forts.)
128
2 Netzwerk-Tools
Primitive
Beschreibung
ip6 protochain protocol
Wahr, wenn das Paket ein IPv6-Paket ist und einen Protokollheader mit dem Protokolltypen, den Sie mit dem Argument protocol angeben, in der Protokollheader chain enthält. Ein Beispiel hierfür kann man aus den Manpages entnehmen: ip6 protochain 6 Diese Syntax trifft auf irgendein IPv6 Paket zu, dessen Protokollheader chain einen TCP Protokollheader enthält.
ip protochain protocol
Wahr, wenn das Paket ein IPv4-Paket ist und einen Protokollheader mit dem Protokolltypen, den Sie mit dem Argument protocol angeben, in der Protokollheader chain enthält.
ether broadcast Wahr, wenn das Paket ein Ethernet Broadcast-Paket ist. Das Schlüsselwort ether ist optional. ip broadcast
Wahr, wenn das Paket ein IP Broadcast-Paket ist. Überprüft all-zeroes und all-ones Broadcastroutinen.
ether multicast
Wahr, wenn das Paket ein Ethernet Multicast-Paket ist. Auch hier ist das Schlüsselwort ether optional.
ip multicast
Wahr, wenn das Paket ein IPv4 Multicast-Paket ist.
ip6 multicast
Wahr, wenn das Paket ein IPv6 Multicast-Paket ist.
ether proto protocol
Wahr, wenn das Paket den Ehernet Protokolltypen hat, den Sie mit dem Argument protocol übergeben. Auch hier können Sie den Typ entweder durch eine Zahl oder einen Namen repräsentieren. Mögliche Namen hierfür sind: ip ip6 arp rarp atalk aarp decnet sca lat mopdl moprc iso Bitte beachten Sie auch hierbei, dass es sich um Schlüsselwörter handelt und Sie diese daher mit einem vorhergehenden Backslash angeben müssen.
decnet src host
Wahr, wenn die DECNET-Quelladresse dem Wert, den Sie mit dem Argument host übergeben, entspricht.
decnet dst host
Wahr, wenn die DECNET-Zieladresse dem Wert, den Sie mit dem Argument host übergeben, entspricht. Tabelle 2.16 Verfügbare primitives (Forts.)
2.4 Tcpdump
129
Primitive
Beschreibung
decnet host host
Wahr, wenn die DECNET-Ziel- oder Quelladresse dem Wert, den Sie mit dem Argument host übergeben, entspricht.
ip, ip6, arp, rarp, atalk, aarp, decnet, iso
ether proto protocol, wobei protocol eine der aufgeführten Protokollarten ist.
lat, moprc, mopdl
Abkürzungen für:
Abkürzungen für: ether proto protocol, wobei protocol eine der aufgeführten Protokollarten ist. Beachten Sie dabei, dass tcpdump nicht weiß, wie es diese Protokolle zerlegen und bestimmen soll.
vlan [vlan_id]
Wahr, wenn das Paket ein IEEE 802.1Q VLAN-Paket ist. Wenn das Argument vlan_id angegeben wird, trifft die Syntax logischerweise nur dann zu, wenn das Paket die spezifizierte VLAN_ID hat.
tcp, udp, icmp
Abkürzungen für: ip proto protocol oder für: ip6 proto protocol Wobei das Argument protocol eines der aufgeführten Protokolle darstellen muss.
iso proto protocol
Wahr, wenn das Paket ein OSI-Paket mit dem Protokolltypen, den Sie mit dem Argument protocol angegeben haben, ist. Sie können dieses Argument dabei entweder durch Zahlen oder durch einen der folgenden Namen darstellen: clnp esis isis
clnp, esis, isis
Abkürzungen für: iso proto protocol, wobei protocol eines der angegebenen Protokolle darstellen muss. Beachten Sie, dass Tcpdump momentan noch nicht weiß, wie es diese Pakte zerlegen und bestimmen kann.
expr relop expr Wahr, wenn die Bedingung zutrifft, wobei relop eines der folgenden Zeichen sein muss: > < >= <= = != Tabelle 2.16 Verfügbare primitives (Forts.)
130
Primitive
2 Netzwerk-Tools
Beschreibung und expr ein arithmetischer Ausdruck aus integer Konstanten (in Standard C-Syntax ausgedrückt) ist. Binäroperatoren wie + * / & | sind erlaubt. Um Daten in einem Paket anzusprechen, benutzen Sie bitte die Syntax, die wir Ihnen als Nächstes vorstellen.
proto [ expr : size ]
Diese Syntax können Sie benutzen, um Zugriff auf die Daten innerhalb eines Pakets zu bekommen. Wobei das Argument proto den Protokolllayer für die Indexoperation anzeigt und einen der folgenden Wert annehmen muss: ether fddi tr ip arp rarp tcp udp icmp ip6 Zurzeit befindet sich in dieser Funktion noch ein kleiner Bug, der verursacht, dass die Protokolle aus den oberen Protokollschichten (tcp, udp ...) nur für IPv4 funktionieren. Das Argument expr gibt das Byteoffset relativ zu dem angezeigten Protokolllayer an. Das Argument size ist optional und zeigt die Anzahl der Bytes in einem Feld an. Sie können weiter das Schlüsselwort len einführen, welches dann die Länge des Pakets anzeigt. Hierzu vorab einige Beispiele aus der Manpage: ether[0] & 1 !=0 Dieses Beispiel fängt den ganzen Multicastverkehr ab. ip[0] & 0xf != 5 Dieses Beispiel fängt alle IP-Pakete mit Optionen ab. Weitere Beispiele sind in einem der nächsten Abschnitte zu sehen. Tabelle 2.16 Verfügbare primitives (Forts.)
2.4 Tcpdump
131
Die in Tabelle 2.16 kennen gelernten primitives können Sie aber natürlich auch verknüpfen. Welche Verknüpfungsarten (Operatoren) Sie dabei benutzen können und welche die höchste Priorität hat, werden Sie in Tabelle 2.17erfahren. Operator
Beschreibung
Priorität
! oder not
Verneinung
Dieser Operator hat die höchste Prioritätsstufe.
&& oder and
Verkettung
Niedrigere Priorität als der Verneinungsoperator, doch dieselbe wie der Oder-Operator.
|| oder or
Oder-Verknüpfung
Niedrigere Priorität als der Verneinungsoperator, doch dieselbe wie der Verkettungsoperator.
Tabelle 2.17 Verfügbare Kombinationsoperatoren
Beispiele Nachdem wir nun ausführlich die Syntax von Tcpdump besprochen haben, sollten wir uns einige Beispiele ansehen, damit wir auch wissen, wie wir unser neu erlangtes Know-how geschickt und effektiv einsetzen können. Wir werden diese Beispiele zum Teil aus den Manpages, aber zum Großteil aus Alltagssituationen beziehen. Das erste Beispiel soll Tcpdump dazu bringen, alle Pakete, die den Host Joey am Interface eth0 erreichen bzw. die ihn auf diesem Interface verlassen, anzuzeigen. Während unserer Überwachungszeit wird ein Ping auf diesen Host gerichtet und des Weiteren wird ein Linux FTP Client versuchen, sich mit dem FTP-Server auf diesen Host zu verbinden. Linux:~# tcpdump host Joey –i eth0
Das nächste Beispiel zeigt den kompletten Netzwerkverkehr zwischen dem Host Joey und entweder dem Host Aga oder dem Host Aj (Vergessen Sie nicht den Backslash vor den Sonderzeichen!). Linux:~# tcpdump host Joey and \{ Aga or Aj \}
Um den gesamten FTP Traffic, der durch den Internet Gateway Grassl geht, anzuzeigen, müssen Sie diese Syntax verwenden. Die Anführungszeichen wurden verwendet, damit die Shell diesen Befehl nicht falsch interpretiert. Linux:~# tcpdump ‚gateway Grassl and (port 20 or 21)’
Sie können diese Syntax auch so formulieren: Linux:~# tcpdump ‚gateway Grassl and (port ftp or ftp-data)’
Um alle IP-Pakete, die größer als 500 Byte sind und durch den Gateway Grassl gehen, anzuzeigen, können Sie diesen Aufruf verwenden: Linux:~# tcpdump ‚gateway Grassl and ip[2:2] > 500’
132
2 Netzwerk-Tools
Falls Sie alle ICMP-Pakete außer den Pings anzeigen wollen, verwenden Sie diesen Befehl: Linux:~# tcpdump ‚icmp[0] != 8 and icmp[0] !=0’
Sie können diese Syntax aber auch anders darstellen: Linux:~# tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
2.4.3
Ausgabeformat
Wie das Manual von Tcpdump werden auch wir uns ausgiebig mit dem Ausgabeformat der Meldungen und »dumps« beschäftigen, denn was hilft Ihnen die größte und beste Auswahl und Ausgabe an Paketen, wenn Sie sie nicht verstehen? Zuerst einmal muss man natürlich darauf hinweisen, dass es nicht ein Ausgabeformat gibt, das für alle »dumps« gültig ist. TCMPdump ist so ausgelegt, dass die Anzeigen, die Sie erhalten, je nach Protokoll- und Paketart variieren. Wir werden uns damit an verschiedenen Punkten auseinander setzen und diese anhand einer ausführlichen Beschreibung vorstellen. Link Level Headers Ethernet Wenn Sie einen Blick auf Tabelle 2.11 werfen, werden Sie sehen, dass Sie mit Hilfe der Option -e den Link Level Header in jeder Zeile ausgeben können. Bei Ethernetnetzwerken hat dies zur Folge, dass folgende Felder ausgegeben werden:
Quelladresse Zieladresse Protokoll Paketlänge
FDDI Anders verhält sich diese Option bei FDDI-Netzwerken. Hier werden folgende Felder ausgegeben:
Frame Control Quelladresse Zieladresse Paketlänge
Normale Pakete sind async-Pakete mit einer Priorität von 0 bis 7 (zum Beispiel async7). Diese Pakete beinhalten ein Logical Link Control Paket, welches dargestellt wird, falls es sich dabei nicht um ein ISO-Datagramm oder ein so genanntes SNAP (Subnetwork Access Protocol)-Paket handelt. Falls Sie sich genauer für das SNAP-
2.4 Tcpdump
133
Protokoll interessieren, können Sie weitere Informationen unter der Adresse http:// www.isi.edu/in-notes/rfc1700.txt erhalten. Token Ring In Token Ring-Netzwerken werden – falls Sie diese Option verwenden – folgende Felder angezeigt:
Access Control Frame Control Quelladresse Zieladresse Paketlänge
Ähnlich zu FDDI-Netzwerken beinhalten auch Pakete in einem Token Ring-Netzwerk LLC-Pakete. SLIP Bei SLIP Links werden wiederum folgende Felder angezeigt:
Direction Indicator ( I = inbound und O = outbound) Pakettyp Kompressionsinformationen
Es gibt dabei drei Arten von Pakettypen: 1. ip 2. utcp 3. ctcp Für IP-Pakete werden keine weiteren Informationen angezeigt. Wohingegen bei TCP-Paketen der connection identifier gefolgt vom Typen aufgeführt wird. Wenn das Paket gepackt (komprimiert) ist, wird auch der Header angezeigt. Spezialfälle werden durch ein *S+n und ein *SA+n repräsentiert, wobei das n für den Wert steht, an dem sich die Sequenznummer geändert hat. Falls kein Spezialfall vorliegt, werden meistens keine Veränderungen angezeigt. Eine solche Veränderung wird durch ein U (Urgent Pointer), W (Window), A (ACK), S (Sequenznummer) und ein I (Paket ID), gefolgt von einem Delta (+n oder –n) oder einer neuen Zeile (=n) angezeigt. Danach werden die Daten im Paket und die Länge des komprimierten Headers angezeigt. Damit Sie diese Theorie besser verstehen können, sollten Sie sich das folgende Beispiel anschauen. Es zeigt ein outbound-komprimiertes TCP-Paket mit einem connection identifier. Der Wert des ACK hat sich bei 6 geändert, die Sequenznummer bei 49 und die Paket ID bei 6. Das Paket beinhaltet drei Bytes Daten und 6 Bytes komprimierten Header (Beispiel aus Manual):
134
2 Netzwerk-Tools
O ctcp * A+6 S+49 I+6 3 (6)
TCP Pakete Das allgemeine Format einer TCP-Protokollzeile lautet wie folgt. src > dst: flags data-sequenznummer ack window urgent options
Um die Bedeutung der einzelnen Felder dieser Protokollzeile zu erfahren, werfen Sie einen Blick auf Tabelle 2.15. Feld
Bedeutung
src
Quelladresse
dst
Zieladresse
flags
Das Feld flags wird zumeist aus mehreren Flags gebildet. Mögliche Flags sind dabei: S (SYN) F (FIN) P (PUSH) R (RST) Es kann aber auch vorkommen, dass ein Paket keine Flag gesetzt hat, dann wird dies durch einen einzelnen Punkt dargestellt.
data-sequenznummer
Dieses Feld beschreibt den Anteil des Sequenzraumes, den die Daten in einem Feld einnehmen.
ack
Teilt dem Sender mit, wie viele Daten der Empfänger erhalten hat und wie viele er noch verarbeiten kann. Die ACK-Nummer (Bestätigungsnummer) ist die Sequenznummer des nächsten Bytes, auf das der Empfänger wartet. Sie ist eine positive Bestätigung aller bis zu dieser Zahl empfangenen Bytes. Wenn das erste gesendete Byte mit der Nummer 1 gekennzeichnet war und die nächsten 5000 Bytes erfolgreich empfangen wurden, hätte die Bestätigungsnummer den Wert 5001.
window
Dieses Feld gibt an, wie viele Bytes noch empfangen werden können. Kann der Empfänger zum Beispiel weitere 5000 Bytes verarbeiten, würde das Feld den Wert 5000 enthalten. Das Feld teilt dem Sender mit, dass er weitere Segmente so lange senden kann, bis die Anzahl der gesendeten Bytes nicht mehr kleiner ist als das vom Empfänger angegebene Fenster (Window). Der Empfänger kann somit den Bytefluss regulieren und steuern, indem er die Größe dieses Feldes verändert. Ist der Wert im Fenster Null, so wird die Übertragung eingestellt.
urg
Besagt, dass die Daten, die das Paket enthält, dringend sind.
options
Beschreibt die TCP-Optionen. Tabelle 2.18 Felder der TCP-Protokollzeile
2.4 Tcpdump
135
2
Abbildung 2.52: TCP Header zeigt Ihnen die in Tabelle 2.18 illustrierten Felder in einer Grafik über den TCP Header.
Abbildung 2.52 TCP Header
Die Felder Src, dst und flags werden Sie in jeder Protokollzeile finden, die anderen hingegen sind optional und hängen vom Inhalt des Pakets ab. Beispielausgabe Ich denke, wir haben uns jetzt lange genug mit der Theorie beschäftigt und sollten zur Praxis übergehen. Für diese Zwecke werden wir uns folgendes Beispiel anschauen: In unserem Übungsszenario startet der Host Joey seinen FTP Client, um mit dem FTP-Server Aj eine Verbindung aufzubauen (Dieses Szenario behandelt nur den Verbindungsaufbau, nicht die Authentifizierung oder den Datenaustausch). Als Erstes starten wir tcpdump auf dem Rechner Aj und übergeben folgenden Befehl, der bewirkt, dass ab jetzt das (im Netzwerk nur zu Testzwecken benutze Interface) eth2 überwacht wird. Andy@Aj:/home/andy> tcpdump –i eth2 tcpdump: listening on eth2
Jetzt starten wir auf dem Host Joey den FTP Client, um die Verbindung herzustellen. Aga@Joey:/home/aga> ftp Aj Connected to Aj.testdomain.de 220 ProFTPD 1.2.2 Server (ProFTPD) [Aj.testdomain.de] ...
136
2 Netzwerk-Tools
An dieser Stelle brechen wir mit (STRG) + (C) ab und widmen uns dem Protokoll, das uns Tcpdump ausgegeben hat (Ich lasse die Uhrzeiten, timestamps, nop-Befehle etc. weg, um ein übersichtlicheres Bild zu erhalten). Joey.testdomain.de.1039 > Aj.testdomain.de.ftp : S 1721778674:1721778674(0) win 32767 <mss 16396> Aj.testdomain.de.ftp > Joey.testdomain.de.1039 : S 1715865645:1715865645(0) ack 1721778675 win 32767 <mss 16396> Joey.testdomain.de.1039 > Aj.testdomain.de.ftp : . ack 1 win 16383 Aj.testdomain.de.ftp > Joey.testdomain.de.1039 : P 1:54(53) ack 1 win 32767 Joey.testdomain.de.1039 > Aj.testdomain.de.ftp : . ack 54 win 16383 Joey.testdomain.de.1039 > Aj.testdomain.de.ftp: F 1:1(0) ack 54 win 16383 Aj.testdomain.de.ftp > Joey.testdomain.de.1039 : F 54:54(0) ack 2 win 32767 Joey.testdomain.de.1039 > Aj.testdomain.de.ftp : . ack 55 win 16383
Lassen Sie uns nun dieses Beispiel Schritt für Schritt durchgehen, damit Sie auch wirklich die Funktionsweise von Tcpdump verstehen lernen. In Zeile eins sehen Sie, wie der Rechner Joey.testdomain.de über den Port 1039 einen Verbindungsaufbau zu dem FTP-Server auf dem Rechner AJ startet. Sie sehen an dem S nach dem Doppelpunkt, dass die SYN Flag gesetzt war. Die Sequenznummer des Pakets können Sie gleich nach dem S erkennen (in diesem Fall 1715865645). Der Wert in den Klammern zeigt die Anzahl der Bytes an, die Daten des Users sind. In unserem Fall sind dies 0 Byte. Es sind also keine Userdaten enthalten. Das Windowfeld (win) hat den Wert 32767, das heißt, es können noch 32767 Bytes empfangen werden. Außerdem beinhaltet die erste Zeile noch eine Option <mss 16396>. Die mss-Option ist eine sehr häufig aufgeführte Option und gibt an, dass eine maximale Segment-Größe (max segment size) von 16396 Bytes erbeten wird. In der zweiten Zeile erkennen wir, dass der FTP-Server (Aj.testdomain.de.ftp) mit einem ACK-Paket auf das zuvor erhaltene SYN-Paket antwortet. Das restliche Paket ist identisch mit dem zuvor erhaltenen. Auch auf dieses Paket antwortet Joey mit einem ACK. Der Punkt in Zeile drei bedeutet, dass keine Flags gesetzt sind, und da das Paket keine Daten enthält, gibt es auch keine Datensequenznummer. Wohingegen die Bestätigungssequenznummer einen Integerwert von 1 hat (ack 1). Aus Zeile drei erhalten wir die Information, dass Aj.testdomain.de.ftp 53 Bytes Daten zu Joey schickt (Der Wert in den Klammern verrät uns dies). Außerdem ist das PUSH-Flag gesetzt (P). Von daher sollte der Rest der Bildschirmausgabe nun klar und verständlich sein. Da Sie nun das ganze Listing durchgegangen sind, werden Sie feststellen, dass die ersten drei Zeilen keine Data-Sequenznummer enthalten (die Data-Sequenznummer ist die Zahl vor dem ack), dies liegt daran, dass diese Pakete keine Daten enthielten (Kein Wert steht in Klammern).
2.4 Tcpdump
137
Fehler- und Sonderfälle Nicht jede Ausgabe läuft so glatt ab wie die eben vorgestellte. Es kann durchaus einmal vorkommen, dass tcpdump nicht in der Lage ist, den kompletten TCP Header abzufangen und auszuwerten. Falls dies einmal der Fall sein sollte, wird Ihnen Tcpdump die Teile des Pakets, die es abfangen konnte, darstellen und Ihnen danach ein [|tcp] anzeigen, das Ihnen sagt, dass es Teile des Headers gibt, die nicht in der Protokollzeile enthalten sind. Falls der Header komplett abgefangen wurde, ist dies noch lange kein Garant dafür, dass alles glatt gegangen ist. Eine häufige Fehlerquelle sind falsche Optionen, die entweder zu kurz sind oder sich hinter dem Ende des Headers befinden. Diese Fälle markiert Tcpdump mit [bad opt]. Eine weitere Fehlerquelle im Zusammenhang mit Optionen kommt dadurch zustande, dass die Länge des Headers vermuten lässt, dass er Optionen beinhaltet, die IP-Datagrammlänge jedoch zu klein dafür ist. In solchen Fällen macht Tcpdump Sie mit folgender Meldung darauf aufmerksam: [bad hdr length]. Pakete mit bestimmten Flagkombinationen abfangen Ich habe erst gestern mit einem Kollegen über den Sinn und die Wirkung dieser Möglichkeit ausführlich gesprochen. Um Ihnen jene Vorteile (aus der Sicht eines Sicherheitsbeauftragten) näher zu bringen, werde ich Ihnen ein kurzes Summary unseres Gespräches geben. Stellen Sie sich vor, Sie haben einen neuen Router installiert. Sie sind zwar kein absoluter Sicherheitsexperte, wollen aber dennoch, dass Ihr Netzwerk sicher gestaltet ist. Sie entscheiden sich daher dafür, ein Feature des Routers zu nutzen (die Marke werde ich an dieser Stelle nicht bekannt geben, aber ich bin mir ziemlich sicher, dass sie die meisten Leser kennen), welches es Ihnen erlaubt – laut Beschreibung – sicherzugehen, dass nur angeforderte Verbindungen in Ihr Netz gelangen. Alle anderen werden geblockt. Jetzt fragen Sie sich sicher, welchen genialen Einfall die Entwickler dieses Hardwaregerätes hatten, um dieses Feature in die Welt zu setzen. Leider muss ich Sie enttäuschen, sie waren auch nicht viel einfallsreicher, als wir es sind. Der Router lässt nämlich nur bestätigte Pakete durch. Er nimmt also einfach eine schlichte Überprüfung vor, ob das ACK-Flag gesetzt ist. Das ist alles. Aus Sicht eines Sicherheitsexperten oder zumindest eines Menschen mit Sicherheitsverlangen kommt man natürlich sofort zu dem Schluss, dass dieses Feature kein wirkliches Hindernis darstellt. Wir haben unser Tcpdump nun so konfiguriert, dass es alle Pakete, die die Flags SYN und ACK gesetzt haben, anzeigt, und hatten innerhalb kürzester Zeit eine ständig wiederkehrende Routine entdeckt, die es uns schließlich ermöglicht hat, die Pakete so zu simulieren, dass wir durch den Router hindurch gekommen sind. Dieses Ereignis lehrt uns zwei Dinge: 1. Überprüfe stets jedes Sicherheitsfeature. 2. Router sind keine Firewalls.
138
2 Netzwerk-Tools
3. Wenn Sie sich jetzt fragen, warum ich Ihnen diese – für Sie belanglose – Geschichte erzählt habe, möchte ich mich damit verteidigen, dass ich Ihnen auf diese Weise ein wirklich praktisches Feature von Tcpdump näher bringen wollte. 4. Sie haben – wie Sie aus der Erzählung bereits entnehmen konnten – mit Tcpdump die Möglichkeit nur Pakete anzeigen zu lassen, die bestimmte Flags oder bestimmte Flagkombinationen gesetzt haben. Um dieses Feature voll zu nutzen, sollten wir uns als Erstes einmal anschauen, welche Flags es denn überhaupt gibt (bei TCP-Paketen wohlgemerkt):
SYN ACK PSH RST URG FIN CWR ECE
Aus meiner kleinen Geschichte konnte Sie entnehmen, dass der Router nur Pakete durchlassen wollte, die eine Verbindungsanfrage seinerseits mit einem ACK bestätigten. Ich möchte weiterhin bei diesem Beispiel bleiben, da Szenarien wie diese oftmals in Sicherheitspapieren und Ähnlichem auftauchen. Dafür sollten wir uns als Erstes mit dem dort stattfindenden three way handshake beschäftigen. Um eine TCP-Verbindung aufzubauen und somit eine Datenverbindung zu etablieren, braucht man den so genannten three way handshake. Man hat diese Prozedur so benannt, da die zwei beteiligten Rechner drei Segmente austauschen. Abbildung 2.53 zeigt Ihnen eine sehr einfach gehaltene Form des three way handshakes. Wie Sie sehen können, beginnt Host Joey damit, dem Rechner Patrick ein Paket (Segment Nummer eins) zu schicken, bei dem das SYN-Bit (Synchronize Sequence Numbers) gesetzt ist. Nachdem Patrick dieses Paket erhalten hat, kann er daraus entnehmen, dass Joey eine Verbindung aufbauen möchte und welche Sequenznummer er als Startnummer seiner Segmente verwenden möchte (Wir haben ja bereits gelernt, dass man Sequenznummern unbedingt braucht, um die Daten in der richtigen Reihenfolge zu halten). Jetzt schickt der Rechner Patrick seinerseits ein Antwortpaket zu Joey (Segment Nummer zwei), bei dem die Bits SYN und ACK gesetzt sind. Sobald das Paket erhalten wurde, weiß Joey, dass Patrick das erste Segment erhalten hat und mit welcher Sequenznummer Patrick beginnen möchte. Jetzt schickt Joey das letzte Paket des three way handshakes zu Patrick (Segment Nummer drei), das Patrick mitteilt, dass das zweite Segment erhalten wurde. In diesem letzten Paket ist das ACK Bit gesetzt und es werden bereits die ersten Daten übermittelt.
2.4 Tcpdump
139
J o e y
P a tr ic k S Y N S Y N , A C K
A C K , D a te n
Abbildung 2.53 three way handshake
Nachdem wir nun wissen, was ein three way handshake ist und wie er zustande kommt, können wir wieder zurück auf unser Szenario kommen. Für einen potentiellen Angreifer ist es äußerst wichtig, durch den Router mit den genannten »Sicherheitsoptionen« durchzukommen, damit er die Server dahinter angreifen kann. Logischerweise ist es also auch für uns wichtig, dass wir uns durch den Router »hacken«, denn nur so können wir diese Lücke schließen. (Es ist immer besser, selbst das Netz zu testen, bevor es die bösen Jungs für Sie tun!). Ein Hacker muss herausfinden, wie er die Sicherheitsoptionen des Routers umgeht oder Sie austrickst. Er wird also schauen, welche Pakete durch den Router gelangen. Bald wird er feststellen, dass alle Verbindungsanfragen (Paket bei denen nur das SYN-Bit gesetzt ist) abgewiesen werden. Danach wird er bemerken, dass alle bestätigten Verbindungsanfragen durchgelassen werden (Paket bei denen das ACK-Bit gesetzt ist). Er wird sich also daran machen, die Pakete, die vom Router hinaus ins Netz gehen und das SYN-Bit gesetzt haben, abzufangen, um diese analysieren zu können. Und genau das wollen wir auch machen. Leider gibt es keine einfach gehaltene Funktion bei Tcpdump, die uns dies ermöglicht. Wir (und auch der Hacker) müssen dabei schon etwas herumrechnen. Aber wie immer werden wir auch dieses Problem vom Anfang bis zum Ende genau durchsprechen. Wir wollen also Pakete, bei denen nur das SYN-Bit gesetzt ist. Dazu sollten wir uns den TCP-Header nochmals ins Gedächtnis rufen. Diesmal aber ohne Daten und Optionen. Abbildung 2.54 zeigt einen solchen Header. Betrachten wir die mit dem X markierte Zeile der Abbildung 2.54 genauer und zerlegen sie in ihre Bestandteile. Dazu müssen wir uns daran erinnern, dass ein TCP-Header ohne Optionen 20 Oktett Daten beinhaltet. Ein Oktett besteht dabei wiederum aus 8 Bit. Das erste Oktett findet sich also im Quellportfeld (Genauer gesagt befinden sich dort zwei Oktette, da das Feld aus 16 Bit besteht). Da das erste Oktett die Ziffer 0 zugewiesen bekommt, sind die für uns interessanten Code Bits (darin befinden sich die Flags) in Oktett Nummer 13 zu finden. Wie Sie ja wissen, benötigen wir um ein vollständiges Oktett zu bekommen 8 Bit. Bis zum
140
2 Netzwerk-Tools
Feld mit der Acknowledgementnummer ist dies auch kein Problem. Doch danach stoßen wir auf Felder mit weniger als 8 Bit. Um auch hier ein Oktett zu bekommen, leiht sich ein Feld, das zu klein ist, ein paar Bit vom nächsten Feld aus, bis es auch auf 8 Bit kommt. So besteht das 12. Oktett aus 4 Bit Header Länge und 4 Bit aus dem Feld für Reservierungen. Das 13. Oktett wiederum besteht nur aus den Codebits. Dies war nicht immer so. Als das Buch entstand, war die Manpage von Tcpdump noch nicht auf den neuesten Stand gebracht und das Code Bits Feld im TCP-Header wurde noch mit 6 Bit angegeben. Beachten Sie bitte diese Neuerung. B it 0
B it 1 5
B it 1 6
B it 3 1
Q u e llp o rt (1 6 )
Z ie lp o rt (1 6 ) S e q u e n z n u m m e r (3 2 )
A c k n o w le d g e m e n tn u m m e r (3 2 ) H e a d e r L ä n g e (4 ) R e s e r v ie r t (6 )
W in d o w G rö ß e (1 6 )
C o d e B its (6 )
C h e c k su m m e (1 6 )
U rg e n t P o in te r (1 6 )
Abbildung 2.54 TCP-Header
Nachdem wir nun wissen, welche Bestandteile das für uns interessante Oktett 13 beinhaltet, sollten wir uns an die Analyse und Besprechung dieses Feldes machen. Damit wir uns ein besseres Bild machen können, sollten wir Abbildung 2.55 zu Rate ziehen. 7
C W R
6
5
4
3
2
1
0
E C E
U R G
A C K
P S H
R S T
S Y N
F IN
1 3 . O k te tt
Abbildung 2.55 Oktett Nummer 13
Wie Sie in der Abbildung erkennen können, sind die verschiedenen Flags (Code Bits) von rechts nach links mit 0 beginnend und 7 endend durchnummeriert. Als
2.4 Tcpdump
141
Erstes sollten wir uns um die zwei ersten Bits (CWR und ECE) kümmern, welche vor einiger Zeit noch nicht implementiert waren. Stattdessen hat man dort 2 reserved Bits gefunden. Zu dieser Zeit hatten diese Bits stets den Wert 0. Dies wurde in der RFC 793 festgelegt, da die Bits – wie der Name bereits erahnen lässt – für zukünftigen Gebrauch reserviert wurden. Zum heutigen Zeitpunkt können aber alle Bits den Wert 0 oder 1 annehmen. Wird ein Bit bzw. ein Flag gesetzt, bekommt es den Wert 1 zugewiesen. Falls es nicht gesetzt ist, den Wert 0. Da wir (genauso wie der Angreifer) nur Pakete angezeigt bekommen wollen, bei denen das SYN-Bit gesetzt ist, muss dieses Bit den Wert 1 annehmen. Alle anderen Bits dürfen nicht gesetzt sein (Abbildung 2.56). 7
6
5
4
3
2
1
0
C W R
E C E
U R G
A C K
P S H
R S T
S Y N
F IN
0
0
0
0
0
0
1 0
1 3 . O k te tt
Abbildung 2.56 Nur SYN Flag gesetzt
Aus Abbildung 2.56 können Sie den Binärwert des 13. Oktetts entnehmen, der entsteht, wenn nur das SYN-Bit bzw. das SYN-Flag gesetzt ist. Dieser Wert lautet: 00000010
Da wir Tcpdump aber leider keine Binärwerte übergeben können, müssen wir diesen Wert in einen Dezimalwert umrechnen. Dies ist im Grunde nur schwer, wenn man nicht weiß, wie das funktioniert. Falls Sie also nicht wissen sollten, wie dies vonstatten geht, können Sie Ihr Wissen im folgenden Exkurs auffrischen. Binär zu Dezimal Eine Binärzahl besteht aus 8 Bits. Dabei kann ein Bit gesetzt oder nicht gesetzt sein. Wenn ein Bit gesetzt ist, wird es mit dem Wert 1 belegt, ist es aber nicht gesetzt, so weist man diesem Bit den Wert 0 zu. Daraus ergibt sich, dass Binärwerte nur aus Nullen und Einsen bestehen können. Um diesen Wert in einen dezimalen Wert umzurechnen, muss man sich vor Augen führen, dass jede Stelle in einem Binärwert für eine bestimmte Dezimalzahl steht. Die Dezimalwerte verdoppeln sich dafür für jedes weitere Bit (man liest dabei von rechts nach links). Das heißt, dass das erste Bit die Dezimalzahl 1 wiedergibt, das zweite die Dezimalzahl 2, das dritte die 4, das Fünfte die 8, dann 16, 32, 64 und
142
2 Netzwerk-Tools
schließlich 128. Daraus ergibt sich, dass die größtmögliche Binärzahl einen Dezimalwert von 255 repräsentiert. Um den Dezimalwert einer Binärzahl zu bestimmen geht man folgendermaßen vor: Man stellt sich eine Tabelle vor, die für jedes Bit die dazugehörige Dezimalzahl enthält. Wenn ein Bit gesetzt ist (es also mit dem Wert 1 belegt ist), zählt man den dazugehörigen Dezimalwert zu der bereits ermittelten Summe hinzu. Dies macht man so lange, bis man am Ende der Binärzahl angekommen ist. Abbildung 2.57 zeigt eine solche Umrechnung: 1 2 8
6 4
3 2
1 6
1
1
1
1 0
1 2 8
6 4
3 2
1 6 0
1 . Z e ile : re p rä s e n ta tie rte D e z im a lz a h le n 2 . Z e ile : B in ä rw e rt 3 . Z e ile : z u a d d ie re n d e B e trä g e
8
1
4
2
0 0
0 1 2
d a z u g e h ö r ig e r D e z im a lw e r t
0
2 4 2
Abbildung 2.57 Umrechnungsbeispiel
Wie Sie aus Abbildung 2.57 erkennen können, lautet der Dezimalwert für die Binärzahl 11110010 242. Dies ergibt sich, wenn Sie die zu den gesetzten Bits gehörenden Dezimalzahlen addieren. Der Dezimalwert für die Binärzahl 00000010 lautet 2. Jetzt können wir ohne Probleme die Syntax bilden, die es uns erlaubt, Pakete, bei denen nur das SYN-Bit gesetzt ist, anzeigen zu lassen. Linux: tcpdump –i xl0 tcp[13] == 2
Da unser Angreifer nun genug Pakete, die nur das SYN-Flag gesetzt haben, analysiert hat, möchte er sich nun daran machen, auch die Pakete anzeigen zu lassen, die zusätzlich das ACK-Flag gesetzt haben. Dazu wirft er einen Blick in Abbildung 2.25 und weiß nun, dass er zusätzlich nur Bit 4 setzen muss (Bit 1 bleibt weiterhin gesetzt). Die Binärzahl für sein Vorhaben lautet nun also: 00010010 Auch diese Zahl rechnet er um (dazu addiert er die Zahlen 2 und 16) und erhält als Ergebnis 18. Falls er nur diejenigen Pakete abfangen wollte, die SYN- und ACK-Flags gesetzt haben, wäre er jetzt fast am Ziel. Er müsste lediglich die ausgerechnete Dezimalzahl noch in seine tcpdump-Syntax einbauen: Linux:~# tcpdump –i xl0 tcp[13] == 18
2.4 Tcpdump
143
Da er aber alle Pakete, die entweder nur das SYN-Bit oder das SYN- und ACK-Bit gesetzt haben, anzeigen lassen will, muss er die erste Syntax (nur SYN Bit gesetzt) und die zweite Syntax (SYN und ACK Bit gesetzt) logisch verknüpfen. Dazu benutzt er die Oderverknüpfung, die wir ja bereits kennen gelernt haben: Linux:~# tcpdump –i xl0 ‚tcp[13] == 2 or tcp[13] == 18’
Jetzt ist er in der Lage Pakete, die nur das SYN-Flag, und Pakete, die das SYNund das ACK-Flag gesetzt haben, anzeigen zu lassen. UDP-Pakete Jetzt haben wir ausführlich den Output eines TCP-Pakets besprochen und es wird Zeit, dass wir uns auch um die verbindungslosen Protokolle wie UDP und deren Pakete kümmern. Ich denke, dass wir uns auch hier eine Beispielprotokollzeile anschauen sollten. Joey.testdomain.de.1111 > Aj.testdomain.de.1111 : udp 90
Wie Sie auf den ersten Blick schon erkennen können, sind UDP-Outputs um ein Vielfaches leichter zu lesen und zu interpretieren als TCP-Ausgaben. Dies liegt daran, dass UDP selbst um einiges einfacher gestrickt ist als TCP. Wir können in unserer ersten Beispielzeile sehen, dass ein UDP-Paket mit 90 Byte Userdaten über den Port 1111 den Rechner Joey.testdomain.de in Richtung des Hosts Aj.testdomain.de verlässt und dort ebenfalls auf Port 1111 ankommt. UDP Name Server Requests Das allgemeine Format einer solchen Protokollzeile sieht folgendermaßen aus: src > dst: id op? flags qtype qclass name (len)
Auch hierbei steigen wir sofort mit einem Beispiel ein (Beispiel wurde dem Manual entnommen): h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)
Wie wir aus dem Beispiel entnehmen können, bittet der Host h2opolo den Domainserver um einen »address record« (qtype=A) verbunden mit dem Namen ucbvax.berkeley.edu und der Query ID 3 zu bekommen. Das "+" gibt an, dass die Flag "recursion desired" gesetzt war. Ohne IP und UDP Header war die Query 37 Bytes groß. Da wir keinen Eintrag zwischen dem »+« und der »3« finden können, stellen wir fest, dass es ein normaler Query war. Da auch die »qclass« normal war, wurde sie nicht aufgeführt. Falls es eine andere Klasse gewesen wäre, hätten wir diese hinter dem »A« gefunden. NFS Requests und Replies Auch hier werden wir uns als Erstes das allgemeine Format ansehen: src.xid > dst.nfs: len op args src.nfs > dst.xid: reply stat len op results
144
2 Netzwerk-Tools
Sehen wir uns hierzu gleich einige Beispiele an: Joey.testdomain.de.6909 > Aj.testdomain.de.nfs: 21,24/10.731657119 Aj.testdomain.de.nfs > Joey.testdomain.de.6909: readlinke"../joey" Joey.testdomain.de.2019 > Aj.testdomain.de.nfs: 9,74/4096.6878 "bunny" Aj.testdomain.de.nfs > Joey.testdomain.de.2019: lookup fh 9,74/4134.3150
100 readlink fh reply ok 40 144 lookup fh reply ok 128
Lassen Sie uns diese Beispiele nun kurz besprechen. In Zeile 1 sehen Sie, wie der Host Joey.testdomain.de eine Transaktion zum Rechner Aj.testdomain.de schickt. Beachten Sie dabei, dass in diesem Fall die Zahl hinter dem Rechnername (6909) nicht der Quellport, sondern die Transaktionsnummer ist. Die nächste Stelle sagt uns, dass die Anfrage 100 Byte groß ist (ohne UDP- und IP-Header). Die Aktion ist ein readlink (read symbolic link) mit dem File Handle (fh) 21,24/10.731657119. Die zweite Zeile besteht aus der Antwort des Rechners Aj.testdomain.de auf die gestellte Anfrage und beinhaltet den Inhalt des Links. Das Paket ist 40 Byte groß. Zeile drei zeigt ein Beispiel für einen lookup. In einem 144 Byte großen Paket stellt Joey.testdomain.de mit der Transaktionsnummer 2019 eine lookup-Anfrage für den Name bunny im Verzeichnis (bzw. seinem File Handle) 9,74/4096.6878. Die Antwort darauf finden wir in dem 128 Byte großen Paket in Zeile 4. Mit Hilfe der Verbose-Funktion, die Sie über den Optionspunkt -v aufrufen, können Sie noch mehr Informationen über das abgefangene Paket erhalten. Welche zusätzlichen Daten Sie hierbei erhalten können, zeigt die folgende Auflistung:
TTL ID Fragmentation-Felder Dateityp Dateiattribute Dateimodus UID GIU Dateigröße
Auch hier sollten wir uns ein Beispiel dazu ansehen. Dabei sollten Sie aber bedenken, dass diese Protokollzeile nur ein kleiner Auszug des originalen Outputs ist, da das Listing und die dazugehörige Beschreibung ansonsten über einige Seiten gegangen wäre.
2.4 Tcpdump
145
Joey.testdomain.de.378b > Aj.testdomain.de.nfs: 198 read fh 21,24/ 736358298 8167 @ 30900 Aj.testdomain.de.nfs > Joey.testdomain.de.378b: reply ok 1472 read REG 90061 ids 389/0 58100
Die erste Zeile zeigt wieder eine Transaktionsanfrage an den Rechner Aj.test domain.de.nfs mit einem 198 Byte großen Paket. Dabei wird darum gebeten, dass dieser 8167 Bytes aus der Datei 21,24/736358298 ab Offset 30900 liest. In der zweiten Zeile sehen Sie die Antwort darauf (ist erst das erste Antwortpaket, es werden mehrere folgen). Dieses Paket ist 1472 Byte groß. Es handelt sich bei der Datei um ein reguläres File (Dateityp wird als REG angegeben). Die Dateigröße beläuft sich auf 58100 Bytes. Dazwischen sehen Sie den Dateimodus und die USER ID / GROUP ID. Um NFS-Verkehr abzuhören, können Sie die Option -s 192 benutzen. AFS Requests und Replies Natürlich werfen wir auch hier einen Blick auf die allgemeine Ausgabe der Protokollzeile: src.sport > dst.dport: rx packet-type src.sport > dst.dport: rx packet-type service call call-name args src.sport > dst.dport: rx packet-type service reply call-name args
Die Beispiele dazu könnten folgendermaßen aussehen: Joey.testdomain.de.9000 > Aj.testdomain.de.afsfs: rx data fs call rename old fid 23742974/1/1 ".test.test" new fid 23874234/1/1 ".test" Aj.testdomain.de.afsfs > Joey.testdomain.de.9000: rx data fs reply rename
In der ersten Zeile schickt der Rechner Joey.testdomain.de über den Port 9000 ein RX Paket an den Host Aj.testdomain.de. Wie man erkennen kann war, dies ein RX Daten-Paket (rx data) und war für den Dateiserver (afsfs = Adrew File System File Server) gedacht und initialisiert damit einen RPC Call. Bei diesem RPC Call handelt es sich um einen Rename (rename) mit einer alten Datei (old) mit der ID (fid) 23742974/1/1 und einem alten Dateinamen (old filename) sowie einer neuen Datei und einem neuen Dateinamen. Die Antwort darauf erfolgt in der zweiten Zeile. Die gewünschten Calls waren erfolgreich, ansonsten wäre statt eines Datenpackes ein Abordpaket angekommen. Falls Sie sich der Verbose-Option (einfach oder doppelt) bedienen, bekommen Sie zusätzlich folgende Informationen ausgegeben:
ACK-Pakete Zusätzliche Header-Informationen
146
2 Netzwerk-Tools
RX call ID Call Nummer Sequenznummer Seriennummer RX Flags im Paket MTU negotiation Information Falls Sie die Verbose-Option dreifach initialisieren (-vvv), erhalten Sie noch mehr Informationen: Error Codes für Abordpakete Um AFS-Verkehr anzeigen zu lassen, benutzen Sie die -s 256-Option.
KIP Appletalk (DDP in UDP) Appletalk DDP-Pakete, die in UDP-Datagramme eingekapselt sind, werden aus dieser Kapsel befreit und als DDP-Pakete angezeigt, dabei werden die Informationen aus dem UDP-Header komplett verworfen. Hierbei bedient sich Tcpdump der Datei /etc/atalk.names um die Felder appletalk net und node numbers zu übersetzen. Zeilen in einer solchen Datei haben folgendes Format: number
name
1.254
ether
16.1
testnetz
1.254.110
Joey
Die ersten beiden Zeilen geben die Namen der Appletalknetzwerke wieder. Die dritte Zeile steht für den speziellen Host. Sie können Leerzeilen und Kommentare in diese Datei einfügen (einen Kommentar müssen Sie dabei mit dem #-Zeichen einleiten). Appletalkadressen sollten folgendermaßen angeführt werden: net.host.port
Dazu einen Auszug aus einer Beispieldatei: 150.6.200.2 > testnetz.100.200 munich.2 > testnetz.100.200 testnetz2.150.250 > testnetz.2
Falls die Datei /etc/atalk.names nicht existiert oder kein Eintrag für einen bestimmten Appletalkhost oder ein bestimmtes Appletalknetzwerk besteht, werden die Adressen numerisch ausgegeben.
2.4 Tcpdump
147
Die erste Zeile dieses Auszuges bedeutet, dass der Host 209 im Netz 150.1 über DDP Port 2 etwas an den Port 200 des Hosts 100 im testnetz sendet. Die zweite Zeile bedeutet im Grunde dasselbe wie die erste, mit dem kleinen Unterschied, dass der Name des Quellhosts bekannt ist (munich). In der dritten Zeile sendet der Host 150 aus dem Netz testnetz2 über den Port 250 einen Broadcast an das Netz testnetz auf den Port 2 (NBP Port). Sie können erkennen, dass es sich hierbei um einen Broadcast handelt, da kein Rechnername beziehungsweise keine Rechneradresse angegeben wurde. NBP-Pakete Ich denke, wir können gleich mit einem Beispiel und einer darauf folgenden Besprechungen starten: testnetz.100.200 > testnetz2.2 : nbp-lkup 190: "=:Drucker@*" 250 testnetz2.150.2 > testnetz.100.200 : nbp-reply 190: "HPLaserJet:Drucker@*" 310 Joey.2 > testnetz.100.200 : nbp-reply 190: "HPFarbLaser:Drucker@*" 178
Die erste Zeile ist eine Anfrage für einen name lookup für Drucker, welche vom Host 100 aus dem Netz testnetz an die Broadcastadresse des Netzes testnetz2 geschickt wurde. Die NBP ID für den lookup ist 190. Die Antwort auf diese Antwort finden wir in Zeile zwei (da die ID dieselbe ist). Darin weist der Host 150 aus dem Netz testnetz2 darauf hin, dass er einen Drucker namens »HPLaserJet« hat, welcher auf Port 310 registriert ist. Die dritte Zeile stellt ebenfalls eine Antwort auf die erste Anfrage dar. In diesem Paket berichtet der Host Joey, dass er auch einen Drucker besitzt, welcher auf Port 178 sitzt. Der Drucker hat den Namen HPFarbLaser. ATP Pakete Auch hier, denke ich, können wir gleich mit einem Beispiel beginnen. testnetz.200.100 > Joey.150: atp-req 11298<0-7> 0xae300001 Joey.150 > testnetz.200.100: atp-resp 11298:0 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp 11298:1 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp 11298:2 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp 11298:3 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp 11298:4 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp 11298:5 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp 11298:6 (512) 0xae040000 Joey.150 > testnetz.200.100: atp-resp*11298:7 (512) 0xae040000 testnetz.200.100 > Joey.150: atp-req 11298<3,5> 0xae0300001 Joey.150 > testnetz.200.100 atp-resp 11298:3 (512) 0xae040000 Joey.150 > testnetz.200.100 atp-resp 11298:5 (512) 0xae040000 testnetz.200.100 > Joey.150: atp-rel 11298<0-7> 0xae0300001 testnetz.200.110 > Joey.150: atp-req*11299<0-7> 0xae0300002
148
2 Netzwerk-Tools
Wie wir aus Zeile 1 erfahren, initiiert testnetz.200 eine Transaktion mit der ID 11298 mit dem Host Joey und erbittet dabei bis zu 8 Pakete (von 0 bis 7). Die Anzahl der Userdaten ist in hexadezimaler Form am Ende der Zeile angegeben. Danach sehen wir, dass der Host Joey mit 8 Paketen mit jeweils einer Größe von 512 Bytes (ohne ATP Header) antwortet. An der Transaktionsnummer erkennen wir, dass es sich um Antwortpakete auf den ersten Request handelt. Die Zahl hinter der Transaktionsnummer stellt die Paketsequenznummer in der Transaktion dar. Das Sternchen (*) in Zeile 9 signalisiert, dass das EOM Bit gesetzt wurde. In Zeile 10 bittet testnetz.200 den Host Joey die Pakete Nummer 3 und Nummer 5 nochmals zu senden. Nachdem diese wieder gesendet wurden, signalisiert testnetz.200 den release für diese Verbindung (atp-rel). In der letzten Zeile wird bereits die nächste Anfrage gestartet. Das Sternchen hierbei gibt an, dass XO (exactly one) nicht gesetzt war.
3 Systemaudit In diesem Buch finden Sie sehr viele Tools, mit denen Sie den Stand der Sicherheit in Ihrem System verbessern können. Doch woher sollen Sie wissen, wann Sie »sicher genug« sind (ich weiß, dass man nie sicher genug sein kann, aber ...) oder wann die Sicherheit zu Lasten der Performance oder der Benutzbarkeit des Systems geht. In diesem Kapitel werden wir einige Tools besprechen, die Ihnen bei der Beantwortung dieser Fragen helfen werden.
3.1
Nmap
Nmap ist wohl der bekannteste Netzwerk- und Securityscanner, den es zurzeit auf dem freien Markt gibt, und dies nicht ohne Grund. Er bietet eine Vielzahl von Scanmöglichkeiten und unterstützt Features wie OS-Detection. Falls Sie sich fragen, was ein Scanner in einem Securitybuch zu suchen hat, kann ich nur darauf hinweisen, dass nur derjenige sein System sicherer gestalten kann, der die Schwächen seines Netzwerkes kennt. Und um dies zu erreichen, kommt man um die Benutzung und Zuhilfenahme der »Waffen des Feindes« nicht herum.
3.1.1
Installation
Da die meisten Distributionen dieses Tool mitliefern, kann man sich eigentlich das Herunterladen sparen. Doch wer stets sicher und up-to-date sein will, kommt um einen Download nicht herum. Wie immer können Sie sich dieses Tool von der Buch-Website oder direkt von der offiziellen Website downloaden (www.insecure.org/Nmap). Nachdem Sie sich das aktuelle Paket von einer der angegebenen Webseiten gezogen haben, führen Sie noch folgenden Befehl aus und Ihr System ist um ein Sicherheitstool reicher. Linux:~# rpm –i Nmap-version.rpm
3.1.2
Verwendung
Da es bei diesem Programm nicht viel zu konfigurieren gibt, können wir uns gleich mit den Einsatzmöglichkeiten beschäftigen. Der Programmaufruf erfolgt über den aufgeführten Befehl: Linux:~# Nmap [Scanmodus] [Optionen] Hostname / IP
150
3 Systemaudit
Scanmodi Im Folgenden werden Sie eine Auflistung aller zurzeit verfügbaren Scanmodi mit der entsprechenden Syntax erhalten und erfahren, was die einzelnen Modi bewirken. TCP connect()-Scan Dies ist die einfachste Form des Scannens, da es den connect()-Systemaufruf von Linux benutzt, um eine Verbindung zu einem interessanten Port zu öffnen. Falls dieser Verbindungsversuch gelingt – der Port also »lauscht« –so wird der Systemaufruf erfolgreich sein, ansonsten ist der Port nicht erreichbar. Diese Methode hat den enorm großen Vorteil, dass keine speziellen Privilegien erforderlich sind (wie zum Beispiel bei Raw Sockets… ) und somit jeder User des Systems einen Scan mit dieser Methode durchführen kann. Der Aufruf lautet wie folgt: Linux:~# Nmap –sT [Optionen] Hostname / IP
TCP SYN-Scan Man bezeichnet diese sehr beliebte Scanmethode auch oftmals als »halb offenen« Scan, da eigentlich keine volle TCP-Verbindung aufgebaut wird, sondern nur ein SYN Paket zu einem bestimmten Port geschickt wird. Falls auf diese Anfrage als Antwort ein SYN oder ein ACK zurückgeschickt wird, lässt dies darauf schließen, dass der Port geöffnet ist. Es kann jedoch auch vorkommen, dass als Antwort ein RST geschickt wird, was bedeutet, dass der Port geschlossen ist. Im Falle eines ACK- oder SYN-Antwortpakets wird sofort ein RST zurückgeschickt, um die Verbindung zu beenden. Leider benötigt man für diese Option Rootrechte. Linux:~# Nmap –sS [Optionen] Hostname / IP
Stealth FIN-Scan Die eben kennen gelernte TCP-SYN-Scan-Methode mag auf den ersten Blick das A und O eines Scans sein, aber es gibt Gott sei Dank auch Möglichkeiten solche Scans leicht zu entdecken. Deshalb hat man sich entschlossen eine Reihe von Scanmodi in Nmap einzubauen, die es ermöglichen, diejenigen Mechanismen zu umgehen, die SYN-Scanattacken ausfindig machen können. Dabei hat man sich der RFC 793 bemächtigt, welche besagt, dass geschlossene Ports auf ein »Probepaket« mit einem RST reagieren müssen, während offene Ports diese zu ignorieren haben. (Natürlich gibt es wieder einige Hersteller, die sich nicht an den Standard halten können: Microsoft, Cisco, HP/UX, BSDI, MVS und IRIX). Ein Stealth FIN-Scan sendet als »Probepaket« ein leeres FIN-Paket und wartet die Antwort ab. Beachten Sie dabei bitte, dass die Scans nicht bei Windows-Rechnern funktionieren werden. Linux:~# Nmap –sF [Optionen] Hostname / IP
3.1 Nmap
151
Xmas Tree-Scan Auch diese Scanmethode macht sich die in der RFC 793 vorgeschriebene Arbeitsweise für Ports zu Nutze und wird somit nicht bei Windows-Rechnern funktionieren. Anders als Stealth FIN-Scans benutzt diese Scanart keine FIN-Pakete, sondern schickt Pakete, bei denen die FIN-, URG- und PUSH-Flags gesetzt sind. Linux:~# Nmap –sX [Optionen] Hostname / IP
Null-Scan Diese Scanmethode ist die letzte, die auf den Vorgehensweisen der RFC 793 beruht. Falls Sie diesen Scan benutzen, wird ein »Probepaket« geschickt, das keine Flags gesetzt hat. Linux:~# Nmap –sN [Optionen] Hostname / IP
Ping-Scanning Bei einem Ping-Scan wird kein Port-Scan durchgeführt, sondern nach aktiven Hosts im Netzwerk gesucht. Dafür werden ICMP-Echo-Reply-Pakete an die interessanten Rechner geschickt. Falls einer dieser Hosts antwortet, ist er aktiv. Sie können Ihre Firewall oder Ihren Router aber so konfigurieren, dass auf diese Pakete nicht geantwortet wird und Ihr Rechner somit als inaktiv erkannt wird. Dies schützt Sie aber noch lange nicht vor solchen Pingdurchläufen, da – falls die erste Methode misslingt – ein TCP-ACK-Paket auf einen bestimmten Port (Standardport ist 80) geschickt wird. Falls Ihr Rechner auf dieses Paket mit einem RST-Paket antwortet, weiß Nmap, dass er aktiv ist. Zur Absicherung hat man auch noch eine dritte Scanmethode eingebaut. Hierbei wird ein SYN-Paket losgeschickt und auf ein ACK/SYN-Antwortpaket gewartet. (Dieser Scan wird bei jedem Portscan automatisch durchgeführt, um zu sehen, ob der Rechner aktiv ist.) Linux:~# Nmap –sP [Optionen] Hostname / IP
UDP Scan Es ist wesentlich schwieriger, einen UDP-Scan durchzuführen, als offene TCPPorts zu erkennen. Fakt ist, dass es keine 100%ig sichere Methode für das Erkennen von offenen UDP-Ports gibt, da – wie wir ja wissen – dieses Protokoll nicht verbindungsorientiert arbeitet. Um offene UDP-Ports zu erkennen, behilft man sich daher mit einem kleinen Trick. Man schickt zu jeder UDP-Portadresse ein leeres UDP-Paket und wartet auf eine ICMP port-unreachable-Nachricht, die uns bestätigt, dass der Port geschlossen ist. Falls wir diese Nachricht aber nicht bekommen, können wir annehmen, dass der Port geöffnet ist. Man sollte dabei aber nicht den Nachteil dieses Tricks vergessen. Da die meisten Betriebssysteme von sehr intelligenten Menschen entwickelt wurden, hat man dem Vorschlag der RFC 1812 Folge geleistet und die ICMP-destination-unreachable-Nachrichten pro Sekunde limitiert. Dies hat zur Folge, dass solche Scans enorm lange dauern können. Natürlich war Microsoft auch hier wieder klüger
152
3 Systemaudit
und hat in seinen OS-Kernel kein Limit für solche Nachrichten eingebaut, was zur Folge hat, dass UDP-Scans, die auf Windows-Rechner zielen, enorm schnell sind. Linux:~# Nmap –sU [Optionen] Hostname / IP
IP-Protocol-Scans Auch diese Scanoption nutzt eine ICMP-Fehlermeldung um herauszufinden, ob bestimmte Protokolle auf dem Zielrechner unterstützt werden. Dabei wird ein RAW-IP-Paket ohne weiteren Protokollheader zu jedem spezifizierten Protokoll am Zielrechner geschickt. Falls Nmap eine ICMP protocol unreachable-Fehlermeldung bekommt, weiß es, dass das spezifizierte Protokoll unterstützt wird. Falls diese Meldung nicht zurückgeschickt wird, so nimmt Nmap an, dass das Protokoll »offen« ist. Beachten Sie dabei, dass Hosts, die AIX, HP-UX oder digital Unix als Betriebssystem fahren, keine Fehlermeldung zurückschicken und somit alle Protokolle als »offen« gekennzeichnet werden. Linux:~# Nmap –sO [Optionen] Hostname / IP
ACK-Scans Diese Scanmethode wird des Öfteren benutzt, um Firewallregeln auszulesen oder den Typ der vorgeschalteten Firewall zu bestimmen. Um dies zu erreichen, schickt Nmap ACK-Pakete mit unterschiedlich aussehenden Acknowledgement/ Sequenznummern zum angegebenen Port bzw. Ports. Falls Nmap ein RST-Paket als Antwort empfängt, so wird der Port als nicht gefiltert klassifiziert, falls nichts oder eine ICMP-Fehlermeldung zurückkommt, wird die Klassifizierung auf gefiltert gesetzt. Normalerweise werden die nicht gefilterten Ports nicht gezeigt. Linux:~# Nmap –sA [Optionen] Hostname / IP
Window-Scans Dieser Scan ist dem ACK-Scan sehr ähnlich. Es kann aber vorkommen, dass dieser Scan offene genauso wie gefilterte oder ungefilterte Ports anzeigt. Dies wird durch eine Anomalie in der TCP-Windowgröße ermöglicht. Um zu erfahren, welche Betriebssysteme dieser Scanmethode auf den Leim gehen, besuchen Sie bitte die offizielle Homepage. Linux:~# Nmap –sW [Optionen] Hostname / IP
RPC-Scans Sie können diese Scanart mit den verschiedenen anderen Scantechniken kombinieren, um herauszufinden, ob bestimmte, als offen gekennzeichnete Ports RPC(remote procedure call) Ports sind. Falls dies zutrifft, erhalten Sie außerdem die Versionsnummer und den Programmnamen. Um das zu erreichen überflutet Nmap die ausgesuchten Ports mit SunRPC Null-Befehlen. Linux:~# Nmap –sR [Optionen] Hostname / IP
3.1 Nmap
153
FTP-Bounce-Attack Ich werde diese Option nur kurz ansprechen, da es in diesem Buch nicht darum geht, wie man sich in bestimmte Systeme einhackt, sondern wie man sein eigenes Netzwerk vor Crackern schützt. Kurz gesagt macht sich dieser »Scantyp« einen Bug im FTP-Protokoll zu Nutze, der es einem erlaubt, sich von einem bestimmten Host zu einem FTP-Server zu verbinden und diesem dann mitzuteilen, dass er Daten zu irgendeinem Punkt im Internet schicken soll. Diese Daten könnten natürlich auch Scans sein. Linux:~# Nmap –b [Optionen] Username:Passwort@Server:Port Zielhost
Optionen Die folgenden Optionen sind optional und müssen daher nicht angegeben werden. Sie bieten aber sehr nützliche Einstellungsmöglichkeiten und sollten deshalb auf jeden Fall genutzt werden. Host nicht pingen Diese Option teilt Nmap mit, dass es auf keinen Fall einen Host pingen soll, bevor er gescannt wurde, da bestimmte Firewalls ICMP echo requests blocken. Falls Sie diese »normal« scannen, werden Ihre Scans nicht erfolgreich sein und die Pakete an der Firewall abblocken. Linux:~# Nmap –P0 Hostname / IP
Testen, welcher Host online ist Ähnlich zum Ping können Sie mit dieser Option testen, ob bestimmte Hosts online sind. Dabei verwendet Nmap aber keine ICMP-echo-request-Pakete und wartet auf eine Antwort, sondern wirft TCP-ACK-Pakete ins Netzwerk und wartet, dass der Host diese mit einem RST beantwortet. Falls er dies tut, weiß Nmap, dass er online ist. Diese Option erlaubt es also auch Hosts zu testen, die ICMP-Pakete blocken. Welchen Port Sie bei diesem Szenario ansprechen, liegt bei Ihnen. Der Defaultport ist 80. Linux:~# Nmap –PT Hostname / IP
Sie können diese Option auch durchführen, indem Sie SYN- anstatt ACK-Pakete in das Netzwerk werfen. Auch hier sollten aktive Hosts mit einem RST oder SYN|ACK antworten. Linux:~# Nmap –PS Hostname / IP
Die dritte Option im Bunde nutzt einen wirklichen Ping, um herauszufinden, ob ein Host aktiv ist oder nicht. Zusätzlich können Sie mit dieser Option noch subnet-directed broadcast-Adressen ausgeben lassen. Da diese IP-Adressen von außen erreichbar sind und oftmals beliebte Ziele für Denial-of-Service-Attacken sind, sollten Sie diese auf jeden Fall deaktivieren oder schützen. Linux:~# Nmap –PI Hostname / IP
154
3 Systemaudit
Ping auf zwei Arten Diese Option stellt den Default Pingtypen dar und benutzt dabei ACK (-PT) und ICMP (-PI). Linux:~# Nmap –PB Hostname / IP
Betriebssystem feststellen Um herauszufinden, ob Angreifer das Betriebssystem auf einem von außen erreichbaren Host erkennen können, nutzen Sie diese Option. Nmap geht dabei folgendermaßen vor: Als Erstes wird ein TCP/IP-Fingerprint des zu scannenden Hosts erstellt, welcher dann mit einer Liste schon vorhandener Fingerprints verglichen wird. (Diesen Fingerprint könnte man als eine Sammlung winziger Eigenheiten einiger Betriebssysteme beschreiben.) Falls Nmap eine Übereinstimmung findet, wird das potentielle Betriebssystem ausgegeben und dem Angreifer damit viel Arbeit genommen. Diese Option bietet Ihnen (oder einem potentiellen Angreifer) aber ebenfalls die Möglichkeit einen TCP Sequence Predictability Classification-Test durchzuführen. Damit können Sie bestimmen, wie schwer es ist eine gefälschte TCP-Verbindung zu dem gescannten Host aufzubauen. Linux:~# Nmap –O Hostname / IP
TCP Reverse Ident Scanning Dies betrifft Sie nur, falls Sie identd als Superserver betreiben. Falls dies der Fall ist, ist es für einen entfernten Angreifer möglich, den Usernamen, unter dem ein bestimmter Prozess läuft, der via TCP verbunden ist, herauszufinden. Als Beispiel können Sie sich zu Ihrem FTP-Server verbinden und identd benutzen, um den Usernamen herauszufinden, unter dem der Dienst läuft. Diese Option kann nur durchgeführt werden, wenn eine vollständige Verbindung mit dem Zielport aufgebaut wurde (zum Beispiel mit der Option –sT). Linux:~# Nmap –I Hostname / IP
Paketheader aufsplitten Ein Angreifer kann mit dieser Option SYN-, FIN-, XMAS- und NULL-Scans in kleine IP-Pakete zerlegen. Somit wird der IP-Header über mehrere Pakete verteilt, was es für Firewalls (Paket-Filter) und Intrusion-Detection-Systeme schwieriger macht, auch wirklich zu entdecken, was gerade vorgeht. Ein Scan kann auf diese Weise unbemerkt durchgeführt werden. Sie sollten diese Option benutzen, um zu testen, ob auch Sie dafür anfällig sind. Linux:~# Nmap –f Hostname / IP
3.1 Nmap
155
Verbose Mode Der Verbose Mode gibt Ihnen die Möglichkeit mehr Ausgaben auf die Standardausgabe zu verlangen. Dies ist oftmals sehr praktisch, wenn Sie zum Beispiel sehen wollen, was ein Programm in diesem Moment genau macht (zum Beispiel bei der Fehlersuche sehr hilfreich). Linux:~# Nmap –v Hostname / IP
Hilfefunktion Eine sehr praktische Funktion, die in keinem Programm fehlen darf. Beim Aufruf der Hilfefunktion bekommen Sie eine kleine Übersicht einiger Befehle und jeweils eine kurze Beschreibung dazu. Linux:~# Nmap –h Hostname / IP
Logfile (lesbar) Sie können diese Option nutzen, um von Ihrem Scan ein Logfile anlegen zu lassen, welches Sie gut lesen können. Die Verwendung dieses Befehls bewirkt dasselbe wie der >-Operator. Linux:~# Nmap –oN Hostname / IP
Logfile (XML) In letzter Zeit haben sich die meisten Programmierer bemüht, irgendein XMLPlugin oder Ähnliches in ihre Programme zu integrieren. Nmap stellt hierbei keine Ausnahme dar, sondern bietet Ihnen mit dieser Funktion die Möglichkeit ein Logfile im XML-Format anlegen zu lassen, welches dann schnell durch andere Programme weiterverarbeitet werden kann. Linux:~# Nmap –oX Hostname / IP
Logfile (grepable) Diese Funktion stammt noch aus den Zeiten, als man XML noch nicht so gut kannte. Sie legt ebenfalls ein Logfile an, doch schreibt sie dabei alle Informationen in eine Zeile, so dass Sie mit Programmen wie grep leicht an die gewünschten Daten kommen (Ports, IP-Adressen etc.). Linux:~# Nmap –oG Hostname / IP
Logfile (Skript Kiddie) Ich erwähne diese Funktion (so wie manch andere ebenfalls) nur zum Zweck der Vollständigkeit. Sie erlaubt es Ihnen, ein Logfile über einen Scan in einem SkriptKiddie-Format anzulegen (Ein Skript Kiddie ist ein Möchtegernhacker, der sich bestimmter Tools in Internet bedient, um damit Schaden anzurichten. Er hat an sich keine Ahnung von einem System und strebt auch nicht danach, diese Kenntnisse zu erlangen. Für uns ist diese Funktion definitiv nicht von Nutzen.) Linux:~# Nmap –oS Hostname / IP
156
3 Systemaudit
Abgebrochenen Scan wieder aufnehmen Falls Sie einen Scan mit (STRG)+(C) abgebrochen haben und ein Logfile dazu existiert, haben Sie die Möglichkeit, diesen Scan mit exakt denselben Argumenten (Sie brauchen und dürfen keine neuen oder schon verwendeten Argumente angeben) wieder aufzunehmen. Linux:~# Nmap –-resume Hostname / IP
Zielinformationen aus Datei Nmap bietet Ihnen die Möglichkeit die für einen Scan notwendigen Zielinformationen aus einer Datei zu beziehen. Diese sollte dabei eine Liste von Hosts oder Netzwerken getrennt durch Leerzeichen, tabs oder neue Zeilen enthalten. Falls Sie die Datei – nennen, liest Nmap die Zielinformationen von STDIN. Linux:~# Nmap –iL
Zufallsscan Auch diese Option ist für uns (da wir nur unser System testen wollen) eher nebensächlich, denn sie erlaubt es Ihnen, Nmap die Hosts, die zu scannen sind, selbst genieren zu lassen. Dabei werden natürlich nicht die Hosts selber generiert, sondern ein Zufallsscan initiiert. Linux:~# Nmap –iR
Portbereiche angeben Falls Sie nur bestimmte Ports scannen wollen, können Sie das mit dieser Option angeben. Um nur einen einzelnen Port zu scannen, geben Sie bitte -p an; um einen Bereich zu spezifizieren ist die Angabe -p <erster Port> nötig. Sie können diese Angaben auch verknüpfen. Linux:~# Nmap –p Hostname / IP
Sehr schnelle Scans Sie können diese Option nutzen, falls Sie nur die Port, die in der services-Datei von Nmap aufgelistet sind, scannen wollen. Linux:~# Nmap –F Hostname / IP
Ablenkungsmanöver Nmap bietet eine für einen Angreifer sehr praktische Methode, um von sich abzulenken. Normalerweise würde ich diese Option nicht erwähnen, da sie aber eine große Gefahr für uns Netzwerkadministratoren darstellt, komme ich nicht um die Vorstellung herum. Diese Funktion ermöglicht es einem Angreifer, bestimmte Hosts anzugeben, die ebenfalls Ihr Netzwerk scannen. Im Regelfall berichtet uns unser IDS dann, dass wir zehn Mal von unterschiedlichen IP-Adressen gescannt wurden. Wir wissen aber nicht, welche IP-Adresse der Angreifer hat. Falls Sie diese Option testen wollen, um zu sehen, ob Ihr Scan-Detektor anfällig für diesen
3.1 Nmap
157
Angriff ist (was sehr wahrscheinlich ist), müssen Sie jede gefälschte IP-Adresse mit Kommas trennen und an der Stelle, an der Ihre wirkliche IP-Adresse auftauchen soll, ein ME setzen. Falls Sie ME nicht setzen, wird Nmap Ihre IP-Adresse an eine zufällig gewählte Stelle setzen. Es ist aber zu empfehlen, Ihre IP-Adresse nach der sechsten Stelle zu platzieren, da die meisten Scan-Detektoren diese Stellen erst gar nicht mehr anzeigen. Linux:~# Nmap –D Hostname / IP
IP-Adresse spoofen Wie wir im vorhergehenden Abschnitt gesehen haben, bietet Nmap eine sehr gute Option, um IP-Adressen zu verstecken. Als ob uns dies das Leben noch nicht schwer genug machen würde, haben Angreifer eine weitere – durchaus mächtigere – Option zur Verfügung, die es ihnen erlaubt, ihre IP-Adresse zu spoofen. Dabei müssen sie lediglich die unten aufgeführte Syntax eingeben und schon werden wir uns sehr schwer tun, den Absender der Scanpakete zu finden. (Obwohl es dabei sehr fraglich ist, ob der ISP des Angreifers überhaupt gespoofte Pakete weiter routet oder ob der Angreifer das nötige Wissen besitzt, um die Antwortpakete zu empfangen). Linux:~# Nmap –S
Interface angeben Sie haben auch die Möglichkeit, Nmap das Interface, an dem Pakete gesendet und empfangen werden, zu übergeben. Linux:~# Nmap –e
Quellport für Scans angeben Nachdem Sie Ihre Firewall aufgesetzt haben, können Sie sie unter anderem mit dieser Option testen. Hierbei können Sie den Quellport, von dem die Scans ausgehen, setzen. Manchmal ist eine Firewall so schlecht konfiguriert, dass sie Scans von bestimmten Ports (TCP 20) durchlässt. Überprüfen Sie mit Nmap, ob Sie Änderungen an der Konfiguration vornehmen müssen. Linux:~# Nmap –g
Namensauflösung unterdrücken Um die Scans zu beschleunigen, können Sie Nmap dazu bringen, niemals reverse DNS Resolution zu betreiben. Linux:~# Nmap –n
Namensauflösung erzwingen Sie können aber auch die reverse DNS Resolution erzwingen, so dass Nmap bei jeder IP-Adresse den Namen auflöst. Linux:~# Nmap –R
158
3 Systemaudit
Ports der Reihe nach scannen Für uns Administratoren ist diese Option sehr praktisch. Sie gibt an, dass Nmap die Ports der Reihe nach scannt. Linux:~# Nmap –r
Hosts nicht der Reihe nach scannen Mit dieser Option können Sie testen, ob Sie bzw. Ihr Netzwerküberwachungssystem eine Scanattacke immer noch erkennt, wenn die einzelnen Hosts nicht der Reihe nach gescannt werden. Nmap erlaubt es, bis zu 2048 Hosts zu mischen. Linux:~# Nmap –-randomize_hosts
Maximale Socketbenutzung regeln Sie haben die Möglichkeit, die Anzahl der parallel genutzten Sockets für einen TCP-connect()-Scan zu bestimmen. Sie sollten diese Option unbedingt nutzen, da es ansonsten vorkommen kann, dass eine gescannte Maschine abstürzt. Linux:~# Nmap -M <Maximum an Sockets>
Zeitoptionen Sie können die Zeitoptionen von Nmap verändern. Bedenken Sie aber dabei, dass diese normalerweise sehr zuverlässig und gut sind. Sie sollten sie daher nur zu Testzwecken oder bei Versagen ändern. Sehr langsam und sicher scannen Jeder Angreifer möchte logischerweise unentdeckt bleiben. Dafür nimmt er sich auch gerne etwas Zeit. Sie sollten diese Option unbedingt testen und überprüfen, ob Ihr Alarmsystem trotz dieser Vorsichtsmaßnahme immer noch anschlägt. Wenn dies nicht der Fall ist, sollten Sie etwas dagegen unternehmen. Die Funktionsweise dieser Scanstufe ist denkbar einfach und stupide. Die verschiedenen Scandurchläufe werden nicht mehr parallel ausgeführt, sondern schön der Reihe nach. Ein Scan nach dem anderen. Des Weiteren wartet Nmap mindestens fünf Minuten, bis es ein weiteres Paket losschickt. Linux:~# Nmap –T Paranoid
Schneller sicherer Scan Die folgende Option arbeitet nach demselben Prinzip wie die zuvor erwähnte. Mit dem Unterschied, dass das Intervall zwischen dem Senden von Paketen nicht bei fünf Minuten, sondern bei 15 Sekunden liegt. Linux:~# Nmap –T Sneaky
Kaum belastender Scan Weniger vorsichtig als die zwei zuletzt vorgestellten Zeitoptionen, aber immer noch sehr netzwerkfreundlich, ist diese Option. Sie bedient sich auch des seriellen
3.1 Nmap
159
Scannens, schaltet die verschiedenen Scandurchläufe also in Reihe und führt sie nicht parallel aus. Zwischen dem Paketversand vergehen in der Regel mindestens 0.4 Sekunden. Linux:~# Nmap –T Polite
Normaler Scan Diese Option stellt den Defaultwert dar. Nmap versucht den Scan so schnell wie möglich über die Bühne zu bringen, ohne dabei das Netzwerk zu überlassen oder bestimmte Ports oder gar Rechner zu vergessen. Linux:~# Nmap –T Normal
Aggressiver Scan Hierbei wird für jeden Host ein Timeout von fünf Minuten eingerichtet und Nmap wartet nie mehr als 1.25 Sekunden auf Antworten auf bestimmte Pakete. Linux:~# Nmap –T Aggressive
Unglaublich schneller Scan Dieser Scanmodus bietet sich für Testumgebungen an, in denen das Netzwerk sehr schnell und kaum belastet ist. Jeder Host wird nach 75 Sekunden ausgezählt (timeout) und auf Paketantworten wird nur 0.3 Sekunden gewartet. Linux:~# Nmap –T Insane
Timeout für Hosts setzen Falls Sie einen Timeout setzen wollen, der angibt, wie lange Nmap einen einzelnen Host scannen darf, können Sie diese Option nutzen. Es gibt hierbei keinen Defaultwert, das heißt, dass normalerweise ein Host so lange gescannt wird, bis der Scan komplett ist. Der Timeoutwert wird in Millisekunden übergeben. Linux:~# Nmap –host_timeout <Timeoutwert>
Timeout für Antwortpakete setzen Sie können nicht nur bestimmte Hosts mit einem Timeout belegen, sondern auch die Antwortpakete. Das bedeutet, dass Sie einen bestimmten Wert (in Millisekunden) angeben, der die Zeit wiedergibt, in der Nmap auf eine Antwort auf ein gesendetes Paket wartet. Falls dieser Wert überschritten wird, sendet Nmap ein neues Paket oder bricht den Test ab. Der Defaultwert liegt bei 9000. Linux:~# Nmap –max_rtt_timeout <Timeoutwert>
Minimum Zeitraum für Scans bewahren Falls ein Host sehr schnell antwortet, wird Nmap den Scan beschleunigen. Dies kann aber dazu führen, dass bestimmte Pakete und wichtige Informationen dabei verloren gehen. Mit dieser Option können Sie einen Zeitraum dafür angeben, wie
160
3 Systemaudit
lange Nmap mindestens warten soll, bis es das Warten auf eine Antwort aufgibt. Auch diesen Timeout übergeben Sie in Millisekunden. Linux:~# Nmap -–min_rtt_timeout <Timeoutwert>
Anfangstimeoutwert setzen Normalerweise rechnet sich Nmap den Timeoutwert für Probes (Pakete und Antworten) sehr gut selber aus. Falls Sie dennoch kein Vertrauen in diesen Wert setzen können, steht es Ihnen frei, ihn selbst zu bestimmen. Linux:~# Nmap --initial_rtt_timeout <Timeoutwert>
Maximum für Parallelscans Es ist Ihnen überlassen, das Maximum für parallel durchgeführte Scans zu bestimmen. Falls Sie diesen Wert auf 1 setzen, wird Nmap nie mehr als einen Port zur gleichen Zeit scannen. Linux:~# Nmap –-max_parallelism <Wert>
Intervall zwischen Paketversand Hier können Sie angeben, wie viel Zeit zwischen dem Versenden von Paketen vergehen soll. Praktisch um Überwachungssysteme zu testen. Der Wert ist in Millisekunden anzugeben. Linux:~# Nmap –-scan_delay <Wert>
Beispiele Nachdem wir nun alle Optionen zu Nmap gesehen haben, sollten wir uns an die Umsetzung unseres Wissens machen. Der beste Weg ist der, sich ein paar Beispiele anzuschauen. Ich werde hierbei eine Beschreibung zu jedem Beispiel gefolgt von der Syntax dafür aufführen. Das erste Beispiel ist äußerst stupide und simpel und sollte auf jeden Fall einen Alarm in Ihren Überwachungssystemen verursachen, denn es verursacht einen Scan auf alle TCP Ports, die sich auf dem Rechner Joey.testdomain.de befinden. Da es sich um das erste Beispiel handelt, werden wir auch die Bildschirmausgabe dazu sehen (Falls Ihr Output genauso aussieht, sollten Sie sich wirklich Gedanken machen!!!). Linux:~# Nmap Joey.testdomain.de Starting Nmap V. 2.54BETA22 ( www.insecure.org/Nmap / ) Interesting ports on Joey.testdomain.de (10.209.100.1): (The 1533 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 37/tcp open time
3.2 Nessus
79/tcp 111/tcp 513/tcp 515/tcp 6000/tcp
161
open open open open open
finger sunrpc login printer X11
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
Ich möchte nochmals darauf hinweisen, dass Ihr Output auf keinen Fall so aussehen sollte. Es handelt sich bei dem gescannten Rechner um einen absolut unsicheren Testrechner. Ich gehe davon aus, dass Ihr System die veralteten Dienste nicht laufen hat und Sie weiter auch einige Vorkehrungen getroffen haben, dass ein solch stupider Scanversuch im Sand verläuft. Das nächste Beispiel führt denselben Scan durch, jedoch für das gesamte Klasse B Netzwerk 192.168 (privates Netz): Linux:~# Nmap 192.168.*.*
oder Linux:~# Nmap 192.168.0-255.0-255
Der nächste Aufruf versucht einen Xmax-Tree-Scan durchzuführen und zusätzlich das Betriebssystem zu erraten. Linux:~# Nmap -sX -0 Joey.testdomain.de
Ich denke, es wäre sinnlos, weitere Beispiele aufzuführen, da Sie das Prinzip mittlerweile verstanden haben sollten.
3.2
Nessus
Ich bin mir ziemlich sicher, dass ein Großteil der Leser dieses Programm zumindest vom Hören her kennt und weiß, wie gewaltig und mächtig dieses Tool ist. Man könnte es als Netzwerkscanner bezeichnen, doch täte man ihm damit Unrecht. Denn es ist viel mehr als das. Nur zu gerne würde ich alle Möglichkeiten und Optionen, die einem mit diesem Tool zur Verfügung stehen, besprechen, doch dies ist – dank des ungeheueren Umfangs und der extrem hohen Komplexität – leider völlig unmöglich. Es besteht aus weit mehr als 780 Plugins und lässt sich mit einer eigenen Programmiersprache programmieren (NASL). Dieses Feature wird auch den Hauptteil dieses Abschnittes ausmachen und Ihnen zeigen, wie Sie mit Hilfe dieser Skriptsprache dezidierte Tests durchführen und daran ersehen können, ob und wie sicher das geprüfte System tatsächlich ist. Weiter werden wir aber noch einige weitere Features dieser großen »Toolbox« besprechen und Ihnen zeigen, wie Sie damit sinnvolle Tests durchführen können.
162
3 Systemaudit
3.2.1
Installation
Bevor wir mit dem System arbeiten können, müssen wir es natürlich installieren. Dafür laden Sie sich bitte das Programm und alle nötigen Bibliotheken und die von Ihnen gewünschten Plugins (die wir hier beim besten Willen nicht alle besprechen können) von einer sicheren Quelle herunter (entweder von der BuchWebsite oder von der offiziellen Nessus-Website). Voraussetzungen Da Nessus ein sehr komplexes Programm ist, kann man nicht genau sagen, welche Voraussetzungen man für die Installation genau benötigt. Dies hängt viel mehr davon ab, welche Funktionen Sie genau nutzen wollen und welche Plugins Sie dafür benötigen. Im Folgenden werden wir aber einige Programme und Bibliotheken ansprechen, die bei einer Standardinstallation gebraucht werden.
Sie benötigen die Pakete bison und flex. Bitte überprüfen Sie, ob diese bereits installiert sind. Falls nicht, holen Sie dies bitte vor der Installation von Nessus nach. Sie sollten auf Ihrem System eine aktuelle Version von Nmap installiert haben (siehe Abschnitt 3.1), da Nessus dieses Programm für Portscans etc. benötigt. SuSE-Systeme benötigen zusätzlich die Pakete gtk-devel und glib-devel. Falls Sie Experimental-Versionen von Nessus installieren wollen, brauchen Sie das Paket openssl-devel. Die Programme wget und lynx sollten bei der Erstellung des Programms installiert sein, da man dann die Möglichkeit hat Updates mit den nötigen Update-Plugins zu fahren. Weiter benötigt man folgende Bibliotheken und Pakete (bitte kompilieren Sie die Pakete in der Reihenfolge, in der sie aufgeführt sind): nessus-libraries-.version.tar.gz libnasl-version.tar.gz nessus-core.version.tar.gz nessus-plugins.version.tar.gz Um diese Pakete zu installieren geben Sie bitte folgende Befehle ein (ist für jedes Paket gleich): Linux:~# Linux:~# Linux:~# Linux:~# Linux:~# Linux:~#
tar –xzf Paket cd Paket ./configure make su make install
Nachdem Sie diese Schritte mit allen Paketen durchgeführt haben, sollte Nessus auf Ihrem System installiert sein und Sie können es benutzen.
3.2 Nessus
3.2.2
163
Nessus-Server starten
Benutzer anlegen Nessus wird mit einem Client und mit einem Server geliefert. Als Erstes werden wir den Server installieren. Der erste Schritt dazu ist das Anlegen eines Benutzers für Nessus. Dazu befolgen Sie bitte die nachfolgend aufgeführten Anweisungen: Das Testsystem läuft auf einem Rechner mit SuSE 7.3. Es ist daher möglich, dass die Pfadnamen, die hierbei benutzt werden, bei Ihnen nicht funktionieren werden, falls Sie ein anderes Betriebssystem fahren. Linux:~# cd /etc/init.d Linux:~# ./nessusd Starting nessusd Please create user accounts with nessus-adduser Linux:~# nessus-adduser Generating primes: ...............q..............pg Using /var/tmp as a temporary file holder Add a new nessusd user Login:
Als Nächstes werden Sie gefragt welche Authentication method Sie benutzen möchten. Ich empfehle Ihnen aber die cipher-Methode zu nehmen – schließlich handelt es sich hierbei um ein Buch über Linuxsicherheit. Authentication method (cipher/plaintext) [cipher] : <Wählen Sie die gewünschte Methode> . .
Nachdem Sie die Methode gewählt haben, werden Sie aufgefordert den Host oder das Netzwerk anzugeben, von dem aus dieser Account benutzt werden darf. Falls Sie keine Angaben machen – das Feld also leer lassen –, darf man sich von jedem Rechner zu Ihrem Nessus-Server verbinden. Ich empfehle Ihnen aber einen bestimmten Host oder zumindest ein Subnet anzugeben. Nessus unterstützt leider noch keine Namensauflösung, das heißt Sie müssen die Adresse des Hosts in Form einer IP-Adresse eingeben. Beispiele: 10.209.100.1 10.209.100.1/24 10.209.100.1/255.255.255.0 Source host or network [anywhere] : One time password:
164
3 Systemaudit
Im nächsten Dialog werden Sie nach einem rule set gefragt. Um diesen Punkt genauer zu erklären, werde ich etwas weiter ausholen und einige Beispiele anbringen. Wie Sie wissen, können Sie mit dem nessus-adduser-Befehl mehrere User anlegen. Es wäre ziemlich schwachsinnig, wenn alle angelegten User dieselben Rechte hätten. Deshalb hat man sich entschlossen, das rule set einzubauen. Das gibt Ihnen die Möglichkeit bestimmte Regeln für einen bestimmten Benutzer festzulegen. So könnte eine Regel dem User »aj« nur das Scannen seines eigenen Rechners erlauben. Bevor wir dazu einige Beispiele aufführen, werden wir die Syntax einer Regel ansprechen. Jede Regel wird in einer Zeile definiert. Die nächste Zeile definiert die nächste Regel und so weiter. Falls Sie keine Regeln angeben, hat der User alle Rechte. Die letzte Regel in einem Regelset stellt die Standardregel dar und definiert die Policy eines Users. Die Syntax hierzu sieht folgendermaßen aus: accept | deny IP-Adresse / IP-Maske default accept | deny
Das folgende Regelwerk erlaubt es dem User, folgende Hosts zu testen, alle anderen Rechner und Netzwerke darf er nicht überprüfen:
10.209.100.0/24 10.209.101.0/24
accept 10.209.100.0/24 accept 10.209.101.0/24 default deny
Ein anderes Beispiel zeigt eine Regelkombination, die es dem betreffenden User erlaubt, alle Rechner, bis auf diejenigen, die sich im Servernetzwerk befinden, (10.209.100.0/24) zu testen: deny 10.209.100.0/24 default accept
Nun aber zurück zum Serverstart. User rules ----------------------------. . Enter the rules for this user, and hit ctrl-D once you are done: (the user can have an empty rules set)
Geben Sie an dieser Stelle die Regeln ein und drücken Sie (STRG)+(D) wenn Sie fertig sind.
3.2 Nessus
165
Danach bekommen Sie eine Auflistung der eingegebenen Daten und müssen dies bestätigen oder widerrufen: . . Is that ok ? (y/n) [y]
Danach sind Sie fertig und können Nessus starten: Linux:~# ./nessusd start Starting nessusd
Konfiguration Um Nessus zu konfigurieren müssen Sie die Konfigurationsdatei bearbeiten. Diese finden Sie entweder unter /etc/nessus/nessusd.conf oder unter /usr/local/etc/ nessus/nessusd.conf. Wir werden an dieser Stelle nicht auf die einzelnen Zeilen dieser Datei eingehen, da sie sehr gut dokumentiert ist und jeder sich schnell darin zurechtfinden sollte.
3.2.3
Clientkonfiguration (text)
Neben der grafischen Version haben Sie zusätzlich die Option, Nessus im Textmodus zu fahren. Die dafür verfügbaren Optionen finden Sie in Tabelle 3.1. Option
Beschreibung
-n
Keine Pixmaps. Zu empfehlen, wenn Sie Nessus auf einem entfernten Rechner laufen haben und keine hohe Bandbreite zur Verfügung haben.
-q Server Port Login Targetsfile Resultsfile
Setzt Quite- oder Batch-Modus. Hiermit können Sie die Optionen für den Batch-Modus setzen.
-C
Mit dieser Option können Sie eine passphrase zur Verschlüsselung Ihres private keys verwenden.
-L
Listet Einträge in der user key-Datenbank auf
-K
Löscht einen Schlüssel aus der user key-Datenbank
-k
Setzt die minimale Schlüssellänge. Der Defaultwert liegt bei 1024
-X
Schreibt den public user key in die angegebene Datei
-v
Zeigt die Versionsnummer
-h
Listet die verfügbaren Optionen auf
-T
Speichert die Daten im angegebenen Format (html, html_graph, text, tex, nsr) Tabelle 3.1 Verfügbare Optionen
166
3.2.4
3 Systemaudit
Nessus Attack Scripting Language
Dieser Abschnitt des Buches wird sich um die nessuseigene Skriptsprache NASL drehen. Diese Sprache ermöglicht es, binnen weniger Minuten Tests für bekannte Sicherheitslöcher zu schreiben und weiterzugeben, ohne dabei auf das Betriebssystems achten zu müssen. NASL ist aber nicht die einzige Sprache, mit der Sie diese Aufgabe erledigen können. Die Sprache C bietet ebenfalls diese Möglichkeiten, doch sollten Sie Ihre Tests auf jeden Fall mit NASL schreiben, da diese Sprache eigens für Nessus entwickelt wurde und deswegen wie keine andere auf dieses Programm zugeschnitten ist. Nichtsdestotrotz gibt es Momente, in denen man nicht anders kann und auf die »Atomsprache« C zurückgreifen muss. Die meisten Aufgaben lassen sich aber problemlos mit NASL bewältigen. Falls Sie sich an dieser Stelle fragen, warum sich die Entwickler von Nessus entschieden haben, eine eigene Sprache zu entwerfen, obwohl so viele andere, weitaus mächtigere Skriptsprachen wie Perl zur Verfügung stehen, sollten Sie einmal daran denken, dass Sie mit diesen Sprachen weitaus mehr anfangen können, als einfach Tests zu schreiben. So könnten Sie zum Beispiel ein Perlskript schreiben und in Nessus integrieren, das dann auch nach einer bestimmten Sicherheitslücke sucht, doch diese (falls sie existiert) mit einigen wichtigen und interessanten Informationen an einen Cracker schickt, der sie dann nutzen kann, um das unsichere System zu erobern. NASL schiebt dem einen Riegel vor und garantiert, dass dies nicht vorkommt (das garantiert die Einfachheit dieser Sprache). So können Sie zum Beispiel keine Befehl auf dem Remotehost ausführen oder Daten an andere Programme versenden. Ein weiterer Vorteil von NASL ist der Speicherverbrauch. Haben Sie schon einmal versucht, 25 Sicherheitstests laufen zu lassen, während Sie auf einem Rechner mit 256 MB Arbeitsspeicher vernünftig arbeiten wollen? Dies wird mit Perl nicht klappen, mit NASL aber schon. Weiter brauchen Sie nicht zuerst aufwändig irgendwelche Module zu installieren. Sie können sofort loslegen, und genau das werden wir jetzt auch machen. Interpreter Skriptsprachen werden im Gegensatz zu Hochsprachen wie C nicht kompiliert, sondern interpretiert. Da Sie wahrscheinlich nicht so sehr an der Prozessorarchitektur vom X86-System interessiert sind und Sie die Prozesse beim Start eines Programms auch nicht so sehr begeistern, werde ich diese Themen nicht anschneiden. Das Einzige, was Sie wissen müssen, ist, wie Sie Ihre selbst geschriebenen Tests zum Laufen bringen. Dazu benötigen Sie das Paket nasl, das wir bereits installiert haben. Um die Tests zu initialisieren, müssen Sie nichts weiter machen, als die Skripts dem Interpreter zu übergeben. Der Befehl hierfür lautet wie folgt: Linux:~# nasl
3.2 Nessus
167
Da Sie bei der Installation aber schon sehr viel Skripte mitgeliefert bekommen haben, können Sie sich vorstellen, dass es noch einen anderen – weitaus sinnvolleren – Weg geben muss, um solche Skripte zu initialisieren. Nun denn, Sie haben Recht. Der einfachste Weg hierfür besteht darin, Ihre Skripte in den Plugin-Ordner zu kopieren. Falls Sie jetzt nicht genau wissen sollten, wo dieser Ordner bei Ihnen liegt, werfen Sie einen Blick in die Konfigurationsdatei (nessusd.conf). Dort steht an erster Stelle folgender Eintrag: # Path to the security checks folder: plugins_folder = /usr/bin/nessus/plugins
Kopieren Sie Ihre Security Checks einfach in diesen Ordner und Nessus kann Sie nutzen und ausführen. Syntax Bevor wir uns mit Sicherheitstests befassen, müssen wir uns in die recht einfache Syntax von NASL einarbeiten, die, wie auch bei vielen anderen Skriptsprachen, der C-Syntax sehr ähnlich ist. Kommentare Bei einem Kommentar handelt es sich um eine Zeile, die der Interpreter schlicht überliest und somit ignoriert. Kommentare sind in der Welt der Programmierung sehr wichtig, da Sie es dem Programmierer ermöglichen seine Programme zu dokumentieren und machen es somit anderen Entwicklern leichter, sich in den Code einzulesen und ihn zu bearbeiten. Um den Interpreter mitzuteilen, dass ein Kommentar folgt, benötigen Sie ein Kommentarzeichen. Alles was hinter diesem Zeichen steht, wird bei der Programmausführung ignoriert. NASL verwendet hierfür dasselbe Zeichen wie Perl: #. Im Folgenden sehen Sie ein Beispiel für die Anwendung eines Kommentarzeichens: a = 1; # Alles Hinter dieser Anweisung ignoriert der Interpreter
Anweisungen Wie Sie am Beispiel für einen Kommentar sehen können, endet die Befehlszeile mit einem Semikolon. Falls Sie schon einmal mit Perl programmiert haben, wird Ihnen diese Syntax durchaus bekannt vorkommen. Anweisungen wie das Übergeben eines bestimmten Werts an eine Variable müssen mit einem Semikolon abgeschlossen werden. Funktionsbeschreibungen hingegen in Klammern gesetzt. Dabei sind Verschachtelungen erlaubt. Falls Sie dieses Prinzip noch nicht vollkommen verstanden haben sollten, werden Sie dies mit Sicherheit innerhalb der nächsten Seiten. Variablen Jede Skriptsprache braucht sie und annähernd jede hat sie. Die Variablen in NASL brauchen Sie nicht zu deklarieren, auch die Typen sind bei der Erstellung eines Skripts nicht wichtig. Falls Sie nicht wissen, was Variablen sind, werde ich Ihnen eine kurze (und nicht 100%ig richtige) Beschreibung dazu liefern.
168
3 Systemaudit
Sie werden in Programmen bestimmte Werte an Funktionen übergeben oder bestimmte Werte irgendwo speichern müssen. Um diese bestimmten Informationen zu speichern, benutzen Sie in der Regel Variablen. Man könnte eine Variable also mit einer Art Platzhalter für Informationen bezeichnen. Wie der Name schon sagt, können sich die Werte in diesen Platzhaltern ändern (da die Daten darin ja variabel sind). Includes Falls Sie sich fragen, ob NASL, da diese Sprache ja an C angelehnt ist, auch Includes braucht, kann ich Sie beruhigen. Sie werden bei der Programmierung Ihrer Tests vollkommen auf Includes verzichten können. Strings In der Variablenbeschreibung haben wir den Vergleich mit einem Platzhalter herangezogen. Wir haben festgestellt, dass man in Variablen bestimmte Daten ablegen kann. Diese Daten können so genannte Strings sein. In NASL stehen Ihnen zwei Arten von Strings zur Verfügung. Die erste Art beschreibt Zahlen. Sie können Variablen also bestimmte Zahlenwerte übergeben. Bei diesen Werten darf es sich um dezimale, hexadezimale oder binäre Daten handeln. Das folgende Programmfragment zeigt Ihnen nun zu jedem dieser Zahlensysteme ein Beispiel, bei dem einer Variable ein bestimmter Zahlenwert übergeben wird. a = 1; # Der Variable a wird der dezimale Wert 1 zugewiesen b = FF; # Der Variable b wird der hexadezimale Wert FF zugewiesen c = 11111110; # c wird auf den binären Wert 11111110 gesetzt
Die nächste Art von Variablen stellen Strings dar. Das heißt, Sie können Variablen nicht nur Zahlenwerte zuweisen, sondern auch Zeichenketten wie zum Beispiel einen Satz. Beachten Sie dabei, dass Sie den Wert der Variable in Gänsefüßchen setzen müssen. Als Beispiel betrachten Sie bitte das nächste Codefragment: a = "Hallo, ich liebe Linux"; # Variable a wird auf den Wert Hallo, # ich liebe Linux gesetzt
Beachten Sie dabei bitte, dass bei dieser einfachen Zuweisung die Buchstaben nicht interpoliert werden. Dafür benutzen Sie bitte die string() Funktion, die Sie weiter unten noch vorgestellt bekommen. Non Anonymous Funktionen Wenn Sie dieses Kapitel durchgearbeitet haben, werden Sie sicherlich einen Sicherheitstest nach dem anderen mit NASL schreiben. Da wird es sicher bald vorkommen, dass Sie auf Funktionen stoßen, die sehr viele Argumente brauchen (die Sie der Funktion übergeben müssen). Falls diese Argumente unterschiedlichen Typs sind, spricht man von einer Non Anonymous Funktion (und wenn die Reihenfolge von Bedeutung ist). Wenn Sie schon einmal mit einer Hochsprache gearbei-
3.2 Nessus
169
tet haben, wissen Sie, dass diese Sprachen auf die exakte Reihenfolge bei Ihren Funktionsparametern bestehen. NASL vereinfacht die Sache ungemein, wie Sie am folgenden Beispiel sehen können: Dieses Beispiel ruft eine Funktion auf, die ein UDP-Paket erstellen soll (Sie werden die komplette Funktion später kennen lernen): forge_udp_paket(uhsport : 1000, uhdport : 9000);
Diese Funktionsbeschreibung ist zwar von der Syntax her korrekt, doch habe ich vergessen alle Parameter zu übergeben. Der NASL-Interpreter wird mich während der Laufzeit darauf aufmerksam machen. Worauf ich aber hinaus will, wird das folgende Beispiel zeigen: forge_udp_paket(udport : 9000, usport : 1000);
Im Gegensatz zu einer Funktionsbeschreibung in einer Hochsprache ist diese hier mit der oben aufgeführten identisch und ruft exakt dasselbe auf. Die Reihenfolge ist daher zu vernachlässigen, sollte aber aus Gründen der Übersicht und Übertragbarkeit eingehalten werden. Anonyme Funktionen Eine anonyme Funktion besteht entweder aus nur einem zu übergebenden Argument oder aus mehreren Argumenten desselben Typs. Sie dürfen aber bestimmte Optionen beinhalten, wie zum Beispiel pcap oder ähnliches. Auch hier führen wir ein einfaches Beispiel einer anonymen Funktion mit der pcap-Option an: send_packet(packet, use_pcap:FALSE);
While-Schleife Wie so vieles in NASL funktioniert die while-Schleife genauso wie in C. Falls Sie die Syntax noch nicht kennen, werden Sie diese jetzt kennen lernen: Sie können bei der Initialisierung der Schleifen entweder eine Funktion oder einige Funktionsanweisungen nachstellen, die, falls die Bedingung der Schleife erfüllt ist, aufgeführt werden. while(Bedingung) { # Funktionsanweisungen }
oder while(Bedingung)Funktion();
170
3 Systemaudit
Um sich dieses Modell besser vorstellen zu können, betrachten Sie bitte das folgende Beispiel a = 1; while(a < 10) { a = a+1; }
Dieses Beispiel prüft, ob die Variable a kleiner als 10 ist und solange dies der Fall ist, wird die Anweisung in den geschweiften Klammern ausgeführt. Diese besagt, dass nach jedem Schleifendurchgang der Wert der Variablen a (anfangs 1) um 1 erhöht werden soll. Nachdem die Schleifenbedingung so oft wiederholt wurde, dass a 10 ist, wird die Schleife übergangen und es werden die weiteren Anweisungen im Code bearbeitet. For-Schleife Auch diese Schleife bemächtigt sich der C-Syntax. Tabelle 3.2 enthält die Teile der For-Schleife und liefert zu jedem Punkt eine kleine Beschreibung: Schleifenteil
Beschreibung
Initialisierung
Dieser Teil der Schleife wird vor dem ersten Schleifendurchlauf ausgeführt. Variablen erhalten hierbei oft einen Wert.
Test
Im Testteil einer Schleife wird eine bestimmte Bedingung getestet. Stellt sich diese Bedingung als wahr heraus, so wird die Schleife durchlaufen. Falls nicht, wird Sie übersprungen.
Inkrement
Das Inkrement wird vor jedem möglichen Verlassen oder Wiedereintritt in die Schleife ausgewertet.
Schleifenkörper
Der Schleifenkörper beinhaltet die Anweisungen oder Funktionen, die bei jedem Schleifendurchlauf ausgeführt werden. Tabelle 3.2 For Schleife
Die Syntax für For-Schleifen lautet folgendermaßen: for (Initialisierung; Test; Inkrement) { # Funktionsanweisungen }
oder for (Initialisierung; Test; Inkrement) Funktion();
Damit Sie das Prinzip dieser Anweisung besser verstehen, werden wir einige Beispiele hierfür aufführen: for (a=1;a <=10; a=a+1)display("a hat den Wert : ", a, "\n");
3.2 Nessus
171
Dieses Beispiel zeigt Ihnen eine Anwendungsmöglichkeit von For-Schleifen und stellt Ihnen gleichzeitig die Funktion display() vor. Da Sie die Syntax sicherlich aus dem Beispiel ablesen können und noch in weiteren Beispielen zu sehen bekommen werden, werde ich an dieser Stelle nicht zu tief in deren Beschreibung eingehen. Die Syntax ist sehr einfach gehalten und mit der Funktion printf() von C zu vergleichen, da Sie ebenfalls einen Wert auf die Standardausgabe (stdout) – zumeist der Bildschirm – auswirft. Wie Sie im Beispiel oben sehen können erfolgt der Aufruf über den Funktionsnamen display(). In den Funktionsklammern sind diejenigen Werte, die auf die Standardausgabe ausgegeben werden, in Gänsefüßchen gesetzt. Die Variable a, die zwischen den beiden auszugebenden Werten steht, gibt den Wert der Variablen a aus. Das nächste Zeichen ist ein so genanntes Steuerzeichen. Diese sind stets hinter einem Backslash zu finden und werden ebenfalls in Gänsefüßchen gesetzt. Das hier aufgeführte Steuerzeichen bewirkt einen Zeilenumbruch, sprich der Cursor springt in die nächste Zeile, nachdem er A hat den Wert 1 A hat den Wert 2 A hat den Wert 3 ...
auf dem Bildschirm ausgegeben hat. Diesem Listing können Sie bestimmt schon die Funktionsweise der For-Schleife entnehmen, welche solange a kleiner gleich 10 ist, den Schleifenkörper durchläuft und den Wert von a auf die Standardausgabe ausgibt. Operatoren Wie Sie sich sicher vorstellen können, werden Sie bei der Programmierung von Sicherheitstest viel mit Schleifen arbeiten. Dabei sollten Sie aber einen Nachteil der Schleifen nie aus den Augen verlieren. Sie sind langsam. Bei einem Sicherheitstest werden Sie mit einer Schleifenfunktion einen Test durchführen. Falls dieser erfolgreich verläuft werden eine vordefinierte Funktion oder einige vordefinierte Anweisungen von Ihnen durchgeführt. Nachdem dies erledigt ist, wird der Test nochmals durchgeführt. All das braucht enorm viel Rechenzeit. Glücklicherweise stellt uns NASL einige Operatoren vor, die uns das Leben enorm erleichtern können. Diese werden Sie in den Tabellen 3.3, 3.4, 3.5, 3.6 und 3.7 kennen lernen: Arithmetische Operatoren
Verwendung
Beschreibung
*
x*y
Multiplikation
/
x/y
Division ohne Rest
Tabelle 3.3 Arithmetische Operatoren
172
3 Systemaudit
Arithmetische Operatoren
Verwendung
Beschreibung
%
x%y
Es verbleibt Rest bei Division
+
x+y
Addition
-
x–y
Subtraktion
Tabelle 3.3 Arithmetische Operatoren (Forts.)
Vergleichsoperatoren
Verwendung
Beschreibung
<
x
Kleiner als
<=
x <= y
Kleiner gleich
>
x>y
Größer gleich
>=
x >= y
Größer gleich
==
x == y
Gleich
!=
x != y
Ungleich
Tabelle 3.4 Vergleichsoperatoren
Logische Operatoren
Verwendung
Beschreibung
!
!x
Logische Verneinung
&&
x && y
Logische Und-Verknüpfung
||
x || y
Logische Oder-Verknüpfung
Tabelle 3.5 Logische Operatoren
Binär Operatoren
Verwendung
Beschreibung
|
x|y
Bitweise Und-Verknüpfung
&
x&y
Bitweise Oder-Verknüpfung
Tabelle 3.6 Binär Operatoren
NASL Operatoren
Verwendung
Beschreibung
x
Funktion() x
Funktion() wird x mal ausgeführt
><
x>
Liefert den Wert true, falls x in y vorkommt.
Tabelle 3.7 NASL Operatoren
Benutzerdefinierte Funktionen Sicherheitslücken sind nicht immer gleich (wäre ja auch zu schön) und da Sie variieren, werden auch Ihre Testskripte immer anders aussehen. Es wird sicher vor-
3.2 Nessus
173
kommen, dass Ihnen die von NASL zur Verfügung gestellten Funktionen nicht mehr ausreichen und Sie sich gezwungen sehen, Ihre eigenen Funktionen zu entwerfen. Leider gibt es unter NASL einige Einschränkungen, die man dabei beachten muss:
Im Gegensatz zu »normalen« Funktionen, dürfen benutzerdefinierte Funktionen keine weiteren benutzerdefinierte Funktionen enthalten. Sie müssen bei der Erstellung dieser Funktionen Non Anonymous Argumente verwenden. Der eigentliche Sinn einer Funktion besteht in der Rückgabe eines bestimmten Wertes. Dafür benutzt man die Funktion return(). Im Gegensatz zu manchen anderen Sprachen, muss hier der Rückgabewert in Klammern stehen.
Die allgemeine Syntax einer benutzerdefinierten Funktion sieht wie folgt aus: function Funktionsname(Argument 1, Argument 2, Argument 3, Argument n)
Um dies zu verdeutlichen werden wir uns bemühen eine nicht allzu sinnlose kurze Funktion zu programmieren: function n_plus_zwei(a) { if ((a == 0) || (a == 1)) return(a +2); else return(a); } display("Es kann nie ein Wert unter drei ausgegeben werden, im momentanen Beispiel hat a den Wert", test_plus_zwei(a),"\n");
Sockets allgemein Bevor wir uns mit den verfügbaren Socketfunktionen von Nessus bzw. NASL auseinandersetzen, sollten wir kurz erörtern, was ein Socket überhaupt ist. Man könnte ihn als eine Art Tunnel, der entweder verbindungsorientiert ist oder nicht, definieren, den man nutzt, um Daten durch eine Pipe von einem Rechner zu einem anderen im Netzwerk zu schicken. UDP Socket öffnen Die Funktion open_sock_udp() erlaubt es einem, einen UDP-Socket zu öffnen. Da UDP nicht verbindungsorientiert ist, kann man nicht so leicht feststellen, ob ein UDP-Port auf dem Remoterechner geöffnet oder geschlossen ist. Zu beachten dabei ist, dass zurzeit nur ein Socket zu einem bestimmten Zeitpunkt zu einem bestimmten Port geöffnet werden kann, und dass diese Funktion nur anonyme Argumente verwendet. Die nötige Syntax hierfür sieht folgendermaßen aus: open_socket_udp(Portnummer);
174
3 Systemaudit
TCP Socket öffnen Für diese Funktion gelten dieselben Restriktionen wie für die open_sock_udp()Funktion, hat aber dabei den Vorteil, dass man sehr leicht erkennen kann, ob der Verbindungsaufbau erfolgreich war oder nicht. Dies ist möglich, da TCP ein verbindungsorientiertes Protokoll ist und NASL somit den Wert 0 zurückgeben kann, falls die Verbindung zustande gekommen ist. Zur Verwendung benutzen Sie bitte diese Syntax: open_sock_tcp(Portnummer);
Damit Sie den Nutzen einer solchen Funktion erkennen, werden wir damit das beliebteste Spielzeug eines Crackers programmieren, einen Portscanner: # TCP Portscanner in NASL begin = prompt("Bei welchem Port soll das Scannen beginnen?\n "); ende = prompt("Bei welchem Port soll das Scannen aufhoeren?\n "); for(i=begin;i<ende;i=i+1) { socket = open_sock_tcp(i); if(socket) { display("Port ", i, " open\n"); close(socket); } }
Socket schließen Am letzen Beispiel können Sie schon die einfache Syntax für das Schließen eines Sockets ersehen. close();
Mit Sockets senden und empfangen Um Daten von einem Socket zu empfangen oder dorthin zu senden gibt es mehrere Möglichkeiten. Im Folgenden werden Sie einige Informationen zu verfügbaren Funktionen erhalten. Dabei werden wir zu jeder dieser Funktionen die Syntax und eine kurze Beschreibung erhalten. Am Ende dieses Abschnittes wird die Handhabung anhand eines Beispiels verdeutlicht. recv(socket:<socketname>, length: [,timeout : )
Die recv()-Funktion ist für TCP als auch für UDP verfügbar und empfängt Bytes vom Socket <socketname>. Der Defaultwert für das Argument timeout liegt bei fünf Sekunden. recv_line(socket:<socketname>, length: [, timeout: ])
3.2 Nessus
175
Diese Funktion ist der recv() Funktion sehr ähnlich, bricht aber das Lesen vom Socket ab, sobald ein \n-Zeichen (new line, neue Zeile) empfangen wird. Außerdem kann man sie nur für TCP verwenden. Auch hier liegt der timeout bei 5 Sekunden. send(socket:<socket>, data: [, length:])
Diese Funktion sendet die Daten (die durch das Argument data übergeben werden) an den angegebenen Socket (socket). Das Argument length ist optional und gibt an, wie viele Bytes tatsächlich gesendet werden sollen. Falls Sie dieses Argument nicht übergeben, wird solange gesendet bis eine binäre NULL erkannt wird. Es ist schwierig für diese Optionen passende Beispiele zu finden, die nicht auf Funktionen eingehen, die Sie noch nicht kennen gelernt haben, deshalb werden wir an dieser Stelle ein etwas sinnloses Skript anbringen, das den Banner eines sshd-Servers abfragt oder abbricht falls dieser geschützt (tcp_wrapper) oder nicht erreichbar ist: # Skript zum Abfangen eines sshd-Banners socket = open_sock_tcp(22); if(socket) { banner = recv_line(socket:socket, lenght:1024); if(banner) { display("Der sshd Server hat folgenden Banner ausgegeben:\n", banner, "\n"); } else { display("Bannerabfrage fehlgeschlagen"); } close(socket); }
Die Funktion zum Datenversand auf einen Socket werden Sie im Laufe des Kapitels noch kennen lernen. High Level Funktionen Für Web und FTP stehen einige weitergehende Funktionen zur Verfügung, die Sie nachfolgend erklärt bekommen werden. ftp_log_in(socket:<socket>, user:, pass:<Passwort>)
Nachdem Sie mit der Funktion open_sock_tcp() eine Verbindung zu einem FTP-Server oder Bouncer aufgebaut haben, können Sie sich mit Hilfe dieser Funktion dort anmelden. ftp_get_pasv_port(socket:<socket>)
176
3 Systemaudit
Diese Funktion ermöglicht es Ihnen bestimmte Daten von einem FTP-Server herunter zu laden. Außerdem sendet sie einen PASV-Befehl an den Server und liefert den Port für eine Verbindung. Falls dabei ein Fehler auftritt liefert die Funktion den Rückgabewert false. is_cgi_installed()
Prüft ob das CGI Skript auf dem Webserver installiert ist und gibt bei Erfolg den Rückgabewert true zurück. Es verwendet dabei den GET-Befehl. Das Skript verwendet als Standardpfadangabe /cgi-bin/. Sie können diese aber ändern, in dem Sie den absoluten Pfad beginnend mit einem Slash selbst angeben. Diese Funktion ist dabei selbstverständlich nicht auf cgi-Dateien beschränkt, sondern kann auch für jedes andere Dateiformat verwendet werden. Sie sehen jetzt zu den oben angeführten Funktionen einige Beispielskripte: Das erste Beispielskript wird versuchen, Ihnen mit Hilfe des FTP-Servers die Passwortdatei anzeigen zu lassen: socket = open_sock_tcp(21); if (ftp_log_in(socket:socket, user:"Helmschrott", pass:"Fischer")) { port = ftp_get_pasv_port(socket:socket); if(port) { socket2 = open_sock_tcp(port);; data = string("RETR /etc/passwd\r\n"); send(socket:socket, data:data); passfile = recv(socket:socket2, length:50000); display(passfile); close(socket2); } close(socket); }
Das nächste Beispiel wird prüfen, ob die Datei running.php im Verzeichnis nasltest eines Webservers existiert: open_sock_tcp(80); if (is_cgi_installed("/nasl-test/running.php")); { display("Die Datei running.php existiert\n"); }
Hilfsfunktionen Bei der Beschreibung der folgenden Netzwerkfunktionen werden Sie auf einige Hilfsfunktionen stoßen, die Ihnen die Arbeit enorm erleichtern können. Damit Sie
3.2 Nessus
177
sich nicht fragen, was solche Funktionen in der Argumentsübergabe zu suchen haben, werden wir Sie an dieser Stelle vorab schon einmal besprechen: this_host()
Diese Funktion übergibt die IP Adresse des Host, auf dem das Skript läuft. Sie benötigt selbst keine Argumente. get_host_name()
Auch diese Funktion benötigt kein Argument. Sie liefert den Hostnamen des getesteten Rechners. get_host_ip()
Sie können diese Funktion verwenden, um die IP des getesteten Rechners zu übergeben und müssen auch hierbei kein Argument verwenden. get_host_open_port()
Falls Sie den ersten offenen Port eines Hosts bestimmen wollen, können Sie diese Funktion verwenden, Sie müssen hierbei keine Argumente übergeben. get_port_state(Portnummer)
Diese Funktion gibt den Wert TRUE zurück, falls der Port (Portnummer) offen oder sein Zustand unbekannt ist. telnet_init(Socket)
Falls Sie den Banner eins Netzwerkprogramms abfangen wollen, können Sie diese Funktion verwenden. Sie baut eine Telnet-Verbindung über den angegebenen – vorher initialisierten – Socket auf und liefert die erste Zeile der empfangenen Daten, die Sie dann via display() Wiedergeben können. tcp_ping()
Liefert den Rückgabewert true, falls der Host auf eine TCP Paket mit gesetztem ACK-Flag reagiert. Es verwendet kein Argument. getrpcport()
Liefert den Rückgabewert 0, falls ein Fehler auftritt. Sie kennen diese Funktion wahrscheinlich schon aus C. Trotzdem wollen wir seine Syntax an dieser Stelle noch mal anführen: = getrpcport(program : <program_number>, protocol: IPPROTO_TCP|IPPROTO_UDP, [version: ]);
178
3 Systemaudit
Raw-Pakete Sie haben mit Nessus die Möglichkeit IP-Pakete zu erstellen und einzusetzen. Falls Sie bestimmte Änderungen an dem Paket vornehmen, wird die Prüfsumme neu berechnet und das length – Feld auf den neusten Stand gebraucht. Alle Funktionen, die Raw-Pakete erstellen, verwenden Non Anonymous Argumente und beziehen Ihre Namen aus einer BSD-Include-Datei. Ein IP Paket erstellen Mit der Funktion forge_ip_packet() können Sie IP-Pakete erstellen. Die dabei verwendeten Argumentnamen stammen aus BSD Include – Dateien, deshalb können einige Abweichungen auftreten. Das ip_sum Feld ist optional. Für eine Liste der Protokolle, die Sie dem Argument ip_p übergeben können, werfen Sie bitte einen Blick auf Tabelle 3.8 (Sie können aber auch numerische Werte übergeben). Sehen Sie sich zur Verdeutlichung die Syntax und ein Beispiel dazu an: = ip_hl ip_v ip_tos ip_len ip_id ip_off ip_ttl ip_p ip_src ip_dst [ip_sum
forge_ip_packet( : , : , : , : , : , : , : , : , : , : , : ] );
Im Folgenden sehen Sie ein einfaches Beispiel dazu: Ip = forge_ip_packet(ip_v : 4, ip_hl : 5, ip_tos : 0, ip_id: 9, ip_len : 28, ip_off : 0, ip_p : IPPROTO_UDP, ip_src : this_host(), ip_ttl : 255); Zu übergebendes Argument
Protokoll
IPPROTO_TCP
TCP
IPPROTO_UDP
UDP
IPPROTO_ICMP
ICMP
IPPROTO_IGMP
IGMP
IPPROTO_IP
IP Tabelle 3.8 Argumente für ip_p
Sie sehen, Sie können in einen solchen Aufruf auch Funktionen etc. verpacken.
3.2 Nessus
179
Elemente eine IP Paketes auslesen Die Funktion get_ip_element() ermöglicht es Ihnen bestimmte Felder eines IP Paketes auszulesen. Die Syntax und ein Beispiel dazu finden Sie im Anschluss. <Elementname> = get_ip_element(ip : , element : "ip_hl"|"ip_v"|"ip_tos"|"ip_len"| "ip_id"|"ip_off"|"ip_ttl"|"ip_p"| "ip_sum"|"ip_src"|"ip_dst");
Das nächste Beispiel verdeutlicht Ihnen die Syntax noch mehr: aga = get_ip_elemet(ip : rep, element:"ip_src");
Sie sehen, dass es auch genügt, wenn Sie ein Paket angeben, welches ausgelesen werden soll. Vergessen Sie bei dieser Funktion bitte nicht die Anführungszeichen. Inhalt eines IP Pakets verändern Set_ip_elements() ermöglicht es Ihnen bestimmte IP Pakete beziehungsweise
deren Inhalt zu verändern und die Prüfsumme neu berechnen zu lassen (Sie können aber auch angeben, dass die Prüfsumme nicht neu berechnet wird). Die Syntax hierzu lautet: set_ip_elements( ip : , [ip_hl : , ] [ip_v : , ] [ip_tos : ,] [ip_len : ,] [ip_id : , ] [ip_off : ,] [ip_ttl : ,] [ip_p : , ] [ip_src : ,] [ip_dst : ,] [ip_sum : ] );
Zur Vervollständigung werden wir auch für diese Funktion einige Beispiele aufführen: Set_ip_elements(ip:igmp, ip_len:1500, ip_off:IP_MF); Set_ip_elements(ip:igmp, ip_off:a|IP_MF);
Wie Sie aus dem letzen Beispiel ersehen können, können Sie auch Operatoren in die Funktionsaufrufe einbauen. Der | Operator verbindet mehrere Argumente. IP Pakete lesbar auf die Standardausgabe (stdout) ausgeben Diese Funktion sollten Sie nicht in Ihre Skripte einbauen. Es sei denn, es ist unbedingt notwendig (z.B. für Tests, Fehlersuche etc.). Der Name der Funktion lautet dump_ip_packet() und stellt schon fast die gesamte Syntax dar: dump_ip_packet(Paketname);
180
3 Systemaudit
TCP-Pakete erstellen Die Funktion, die Sie benötigen, um TCP-Pakete zu erstellen, ist der, die Sie bei der Erstellung von IP Paketen benutzen, sehr ähnlich. Sie trägt den Namen forge_tcp_packet() und wird wie folgt verwendet: tcppacket = forge_tcp_packet(ip : , th_sport : <source_port>, th_dport : <destination_port>, th_flags : , th_seq : <seqünce_number>, th_ack : , [th_x2 : ], th_off : , th_win : <window>, th_urp : , [th_sum : ], [data : ]);
Die Option th_flags muss eine der folgenden Optionen beinhalten. Diese können mit dem | Operator verknüpft werden.
TH_SYN TH_ACK TH_FIN TH_PUSH TH_RST Numerischer Wert
Die Option ip_packet muss über vorher die Funktion forge_ip_packet() generiert werden oder muss aus einem über send_packet() oder pcap_next() gelesenen Paket bestehen. Auch dazu werden wir einige Beispiele aufführen: tcp = forge_tcp_packet(ip:ip, th_sport:10003, th_dport:port, th_win:4096, th_seq:rand(), th_ack:0, th_off:5, th_flags:TH_SYN, th_x2:0, th_urp:0): tcppacket = forge_tcp_packet(ip:ip, th_sport:sport, th_dport:dport, th_flags:TH_ACK, th_seq:rand(), th_ack:rand(), th_x2:0, th_off:5, th_win:2048, th_urp);
Elemente aus einem TCP Paket verändern Sie kennen diese Funktion für IP Pakete bereits und werden in der Handhabung kaum auf Schwierigkeiten stoßen, da die Syntax annähernd dieselbe ist. Die Checksumme wird hier automatisch neu berechnet, außer Sie setzen die Option th_sum. set_tcp_elements(tcp : , [th_sport : <source_port>,] [th_dport : <destination_port>,]
3.2 Nessus
181
[th_flags [th_seq [th_ack [th_x2 [th_off [th_win [th_urp [th_sum [data
: : : : : : : : :
,] <sequnce_number>,] ,] ,] ,] <window>,] ,] ], ] );
Elemente aus TCP Paketen auslesen Um bestimmte Elemente aus einem TCP Paket auszulesen, steht Ihnen die Funktion get_tcp_element() zur Verfügung. Zur Verwendung benutzen Sie bitte folgende Syntax, doch beachten Sie dabei, dass die Option <element_name> aus einem Element der folgenden Auflistung bestehen muss (vergessen Sie bei der Initialisierung bitte die Anführungszeichen nicht):
»tcp_sport« »th_dport« »th_flags« »th_seq« »th_ack« »th_x2« »th_off« »th_win« »th_urp« »th_sum«
element = get_tcp_elements(tcp: , element: <element_name>);
Natürlichen dürfen auch bei dieser Funktionsbeschreibung die Beispiele nicht fehlen: beispiel = get_tcp_element(tcp:r, element:"th_flags"); beispiel2 = get_tcp_element(tcp:r, element:"th_sport");
UDP Pakete erstellen Um Wiederholungen zu vermeiden, werde ich an dieser Stelle nur die Syntax für die Funktion forge_udp_packet() anbringen, da Sie die Handhabung dieser Funktion schon von der Funktion forge_tcp_packet() her kennen: udp = forge_udp_packet(ip:, uh_sport : <source_port>, uh_dport : <destination_port>,
182
3 Systemaudit
uh_ulen [uh_sum [data
: , : ], : ]);
Dazu auch noch einige Beispiele: s = 56; d =16343; udp = forge_udp_packet(ip:ip, uh_sport:s, uh_dport:d, uh_leng:56); udp2 = forge_udp_packet(ip:ip, uh_sport:s, uh_dport:d, uh_ulen:56, update_ip_len:FALSE);
Elemente eines UDP Paketes ändern Sie kennen diese Prozedur ja schon von den vorherigen Netzwerkfunktionen, deshalb werden wir die Funktion set_udp_elements() nicht näher beschreiben. Elemente aus einem UDP Paket auslesen Auch die Funktionsweise der Funktion get_udp_elements() werden wir nicht näher beschreiben, da sie ausreichend bekannt sein dürfte. ICMP Pakete erstellen Sie können die Funktion forge_icmp_packet() verwenden, um ICMP Pakete zu erstellen. Die Syntax und einige Beispiele dazu werden Ihnen bei der Erstellung dieser Tests mit Sicherheit weiter helfen. = forge_icmp_packet(ip:, icmp_type:, icmp_code:, icmp_seq:<seq-nr>, icmp_id: [data:]
Dazu einige Beispiele: icmp1 = forge_icmp_packet(ip:ip, icmp_type:17, icmp_code:0, icmp_seq:1, icmpq_id:1); icmp2 = forge_icmp_packet(ip:ip, icmp_type:8, icmp_code:0, icmp_seq:2, icmp_id:2. data: "Sicherheitstest!"); icmp3 = forge_icmp_packet(ip:ip, icmp_type:13, icmp_code:0, icmp_seq:1, icmp_id:1);
Elemente eines ICMP Paketes ändern Auch die set_icmp_packet() Funktion sollten Sie nach der sorgfältigen Lektüre dieses Kapitels bereits beherrschen, da Sie nach dem selben Prinzip wie die anderen Funktionen zur Änderung bestimmter Werte in Paketen funktioniert. Deshalb werden wir nicht näher darauf eingehen.
3.2 Nessus
183
Elemente eines ICMP Paketes auslesen Auch die Funktion get_icmp_element() funktioniert nach demselben Prinzip wie die anderen Funktionen dieser Art. Trotzdem werden wir zum besseren Verständnis einige Beispiele aufführen: icmp1 icmp2 icmp3 icmp4
= = = =
get_icmp_element(icmp:r, element:"icmp_type"); get_icmp_element(icmp:rep, element:"icmp_type"); get_icmp_element(icmp:r, element:"icmp_type"); get_icmp_element(icmp:r, element:"icmp_id");
Erstellen eines IGMP Paketes Um eine IGMP Paket zu erstellen, benutzen Sie bitte die Funktion forge_igmp_packet(). Die Syntax hierzu ist den bereits besprochenen wieder sehr ähnlich: = forge_igmp_packet(ip:, type:, code:, group:, [data:
Hierzu noch ein Beispiel: Igmp = forge_igmp_packet(ip:ip, type:2, code:31, group:128.1.1.1, data:crap(1500));
Die Funktion crap() wird weiter unten im Kapitel besprochen. IGMP Elemente ändern Um Elemente eines IGMP Paketes zu ändern, benutzen Sie bitte die Funktion set_igmp_element(). Die Verwendung ist äquivalent zu den bereits erklärten Funktionen. IGMP Elemente auslesen Auch die Verwendung der Funktion get_igmp_element() funktioniert nach dem bereits beschriebenen Prinzip. Erstellte Pakete versenden Sie sind nun an einem Punkt des Buches angelangt, an dem es Ihnen möglich ist, Pakete mit NASL selbst zu erstellen. Die Erstellung eines Pakets macht natürlich nur Sinn, wenn Sie die Möglichkeit besteht, diese danach auch zu versenden. Um nun ein Paket unter Nessus zu verschicken können Sie die Funktion send_packet() benutzen. Zur Verwendung ist die folgende Syntax nötig: = send_packet(packet1, packet2, ...., packetN, pcap_active: , pcap_filter: pcap_timeout:);
184
3 Systemaudit
Die Option pcap_active kann zwei Werte annehmen: TRUE oder FALSE. Der Defaultwert liegt bei TRUE und besagt, dass die Funktion auf eine Antwort des Zielrechners wartet (was das Argument FALSE bedeutet dürfte somit klar sein). Die nächste Option ist etwas komplexer, da sie einen Filter darstellt. Man kann die pacp_filter-Option so setzen, dass die gewünschte Paketart definiert wird. Leider können wir an dieser Stelle nicht alle möglichen Filter ansprechen, da dies einige Seiten füllen würde. Um die verfügbaren Filter zu erhalten, installieren Sie bitte das Paket libpcap oder tcpdump und rufen Sie die dementsprechende Manpage auf, dort werden alle Filter und die Verknüpfungsarten (and, or oder not) beschrieben. Der pcap_timeout-Wert wird in Sekunden angegeben. Damit diese Funktion etwas verständlicher wird, werden wir einige Beispiele dazu aufführen: reply = send_packet(udpip, pcpap_filter:"udp and dst port 44444", pcap_active:TRUE);
Dies ist eine ziemlich einfach gehaltene Funktion, erfüllt jedoch seinen Zweck. Das nächste Beispiel hingegen wird an Komplexität zunehmen. filter = string("dst host", src, "and icmp and ((icmp[0]==3) or (icmp[0]==11))", "and (icmp[24]==", str_ip-z")"); z[0]=" "; t = strstr(z, "."); filter = filter + string("and (icmp[25]==",z-t,") "); t[0]=" "; z = strstr(t, "."); filter = filter + string("and (icmp[26]==", t-z,") "); z[0]=" "; filter = filter + string("and (icmp[27]==", z, ")"); . . reply = send_packet(p, pcap_active:TRUE, pcap_filter:filter);
Lassen Sie sich von der Komplexität dieses Codefragments nicht abschrecken, es soll Ihnen nur zeigen, wie genau man solche Filterregeln definieren kann. Bestimmte Pakete lesen Natürlich will man Pakete nicht nur versenden, sondern auch lesen. NASL bietet hierzu eine ziemlich einfache Funktion namens pcap_next(). Falls Sie diese Funktion verwenden, liest Nessus das Paket von der zuletzt in einem Filter definierten Schnittstelle. Die Syntax hierzu lautet: reply = pcap_next();
3.2 Nessus
185
Ein Beispiel hierzu könnte sein: filter = string("tcp and src host" , get_host_ip(), " and dst host ", this_host(), "and src port", port, "and dst port", 12345); aga = send_packet(tcp, pcap_active:TRUE, pcap_filter:filter); if(aga) { aga2 = pcap_next(); if(aga2) security_warning(port:0); }
Allgemeines zu Zeichenketten Da NASL Zeichenketten wie Zahlen behandelt können Sie auch Operatoren verwenden. Wir werden dies anhand einiger Beispiele verdeutlichen: a = "version 1.2.3"; b = "version 1.4.1"; if(a < b){ # # Da a kleiner ist als b, wird der Schleifenkörper # ausgefuehrt }
Sie können nach demselben Prinzip auch andere Operatoren, die Sie bereits kennen gelernt haben einsetzen. Es besteht auch die Möglichkeit Zeichenketten zu addieren oder subtrahieren. Wir werden uns dies anhand einiger Beispiele verdeutlichen: Bei diesem Skriptfragment erhält b den Wert »21.10«. a = "Geburtsdatum 21.10"; b = a - "Geburtsdatum ";
Dieses Beispiel weist c den Wert »Linux« zu. a = "Linux ist das Groesste"; b = " ist das Groesste "; c = a - b;
Das letzte Beispiel weist a den Wert »LinuxLinux« zu. a = "Linux"; a = a+a;
In den nächsten Abschnitten werden Sie einige Funktionen von NASL, die mit Zeichenketten arbeiten, kennen lernen.
186
3 Systemaudit
Mustervergleich Für Mustervergleiche steht Ihnen unter NASL die Funktion ereg() zur Verfügung. Die passende Syntax zu dieser Funktion lautet: = ereg(pattern:<pattern>, string:<string>)
Um Genaueres über die Syntax des Arguments pattern zu erfahren, betrachten Sie bitte Tabelle 3.9, welche die möglichen Metazeichen für dieses Argument mit einer passenden Beschreibung erläutert. Falls Sie einige Beispiele für Suchmuster einsehen wollen, werfen Sie einen Blick in Tabelle 3.10. Metazeichen
Beschreibung
.
Trifft auf jedes Zeichen zu.
*
Trifft auf beliebig viel vorher angegebene Zeichen zu.
^
Trifft auf Zeilenanfang zu.
$
Trifft auf Zeilenende zu.
\
Die folgende Sonderbedeutung eines Zeichens wird aufgehoben.
[]
Trifft auf ein Zeichen zu, welches sich in der Menge, die in den Klammern angegeben ist, befindet.
\{ \}
Trifft auf eine bestimmte Anzahl von Instanzen zu.
+
Trifft auf eines oder mehrere der vorher angegebenen Zeichen zu.
?
Trifft auf keines der vorher angegebenen Zeichen zu.
|
Trennt Auswahlmöglichkeiten.
()
Gruppiert Auswahlmöglichkeiten. Tabelle 3.9 Metazeichen für das Argument pattern
Suchmuster
Beschreibung
Version
Sucht nach der Zeichenkette »version«.
^version
Sucht auch nach der Zeichenkette »version«. Es wird aber nur ein Treffer gemeldet, falls sich diese Zeichenkette am Anfang einer Zeile befindet.
version$
Hier trifft das Suchmuster zu, falls die Zeichenkette sich am Ende der Zeile befindet.
^version$
Um hierbei einen Treffer zu erzielen, muss die Zeichenkette das einzige Wort in der Zeile sein.
versi.n
Hierbei kann das sechste Zeichen beliebig sein.
^… $
Tifft auf jede Zeile mit genau drei Zeichen zu.
^\.
Jede Zeile die mit einem Punkt beginnt, stellt bei diesem Suchmuster einen Treffer dar. Tabelle 3.10 Beispiele zum Argument pattern
3.2 Nessus
187
Suchmuster
Beschreibung
version*
Auf dieses Suchmuster würden zum Beispiel folgende Zeichenketten zutreffen: versionsnummer, versionstest …
[123]
Trifft zu, wenn eine der Ziffern 1, 2 oder 3 enthalten ist.
Feuerwehr(mann|frau)
Die Zeichenkette kann Feuerwehrmann oder Feuerwehrfrau lautet. Beides träfe zu.
[a-zA-Z]
Zeichenkette kann ein beliebiger Buchstabe sein.
[0-9A-Za-z]*
Trifft auf alle alphanumerischen Zeichenfolgen zu.
[A-Z]*
Trifft auf beliebig viele Großbuchstaben zu.
[A-Z].*
Trifft auf eine Zeichenkette zu, die aus einem beliebigen Großbuchstaben gefolgt von beliebig vielen Zeichen besteht.
[A-Z]+
Zeichenkette muss aus einem oder mehreren Zeichenketten bestehen.
»*version«*
Trifft auf die Zeichenkette zu, ob mit oder ohne Anführungszeichen. Tabelle 3.10 Beispiele zum Argument pattern (Forts.)
Falls Ihnen die in Tabelle 3.10 aufgeführten Beispiele und die folgenden Codefragmente noch nicht reichen, können Sie die egrep-Manpage aufrufen, um weitere Informationen zu diesem Argument zu bekommen. ereg(pattern:".*vr([0-9][^0-9]|10).*$",string:r)); ereg(patter:"^connected. time/date: .*, version:.*$", string:r)); ereg(pattern:".*.Version\ (8\.1\.6)|(8\.0\.6)|(7\.3\.4).*.", string:version));
Eine weitere Funktion, die sich mit Mustervergleichen beschäftigt, lautet egrep(). Diese Funktion gibt die erste Zeile eines Textes wieder, die mit dem Suchbegriff, der dem Argument pattern übergeben wird. Falls dieser Text nur aus einer einzigen Zeile besteht, so entspricht diese Funktion der Funktion ereg(). Wenn keine übereinstimmende Textpassage gefunden wird, wird der Wert false zurückgegeben. Die Syntax für diese Funktion lautet wie folgt (die Metazeichen hierzu finden Sie ebenfalls in Tabelle 3.9): funktion = egrep(pattern : <pattern>, string: <string>);
Natürlich halten wir auch ein passendes Beispiel dazu bereit. port = get_kb_item("Services/www"); if( !port) port = 80 ; if(get_port_state(port)) { key = string("www/banner/", port); banner = get_kb_item(key); if(!banner) {
188
3 Systemaudit
socket = open_sock_tcp(port); req = http_head(item:"/", port:port); send(socket :socket, data :req) ; banner = recv(socket:socket, length:2000); close(socket); } if(egrep( pattern:"(.*PHP/3\.0\.((1[0-6])|([0-9]([^0-9]|$)))) |(.*PHP/4\.0\.[0-2]([^0-9]|$))", string:banner)) { security_waring(port); } }
Bufferoverflowattacken simulieren Wenn man etwas mit Hacking identifiziert, dann Bufferoverflow-Attacken. NASL bietet eine recht einfach gestrickte, aber durchaus sinnvolle Funktion, mit der Sie testen können, ob bestimmte Programme eine Bufferoverflowlücke haben oder nicht. Diese Funktion heißt crap() und kann auf zwei verschiedenen Weisen benutzt werden: Die erste Möglichkeit diese Funktion zu benutzten besteht darin, eine Zeichenkette bestimmter Länge () bestehend aus lauter X zu erzeugen und diese zu übergeben. Die nötige Syntax hierfür lautet: crap();
Falls Sie aber einen ständig wiederholenden Inhalt (data) bestimmter Länge () übergeben wollen, können Sie auch die zweite Möglichkeit der Initialisierung benutzen: crap(length:, data:);
Um die Funktionsweise besser verdeutlichen zu können, werde ich hierzu einige simple Beispiele aufführen: a = crap(2); # uebergibt a = "XX" c = crap(length:7, data:"ab"); # uebergibt c = "abababa"
Zeichenketten in Zeichenketten verwenden Die Funktion string() werden Sie sehr oft in Ihren Tests verwenden, da Sie es einem ermöglicht bestimmte Zeichenketten in anderen Zeichenketten zu werden und dabei Steuerzeichen interpoliert. Die zu verwendende Syntax lautet wie folgt: string(<string1>, [<string2>, ..., <stringN>]);
Schauen Sie sich die folgenden Beispiele genau an, damit Sie die Handhabung dieser Funktion auch wirklich verstehen:
3.2 Nessus
189
Das erste Beispiel weist der Variable den Wert: »Ich arbeite nur mit Linux« mit dem Steuerzeichen »NewLine« am Ende der Zeile zu. os = "Linux"; a = string("Ich arbeite nur mit ", os, "\n");
Das nächste Listing übergibt der Variable den Wert: »1 und 2 ergibt 3«: b = string(1, " und ", 2, " ergibt ", 1+2);
Das letzte Codefragment belegt c mit dem Wert: »TEST XXXX« gefolgt von einem Carriage Return und einem New Line am Ende der Zeile: c = string("TEST ", crap(4), "\r\n");
Länge einer Zeichenkette Die Funktion strlen() wird wohl jedem C-Programmierer bekannt sein. Sie ermittelt die Länge einer Zeichenkette und wird wie folgt verwendet: Variable = strlen();
Ein passendes Beispiel zu dieser Funktion finden Sie im nächsten Listing. Variable = strlen("keihlp"); # a erhält den Wert 6
NASL Integer zu binären Integer konvertieren Mit der strtoint() Funktion kann man NASL Integer zu binären Integer konvertieren, die dazu nötige Syntax lautet wie folgt: Variable = strtoint(number:, size:);
Diese Funktion können Sie zusammen mit raw_string() verwenden (Sie werden merken, dass Sie diese Funktion fast nur in Verbindung dazu nutzen werden), wobei das Argument size der Byteanzahl entspricht in die der Integer von NASL konvertiert werden soll. Mögliche Größen hierfür sind 1, 2 und 4. Beispiel: num = rand(); raw_data = strtoint(number:num, size:2);
Zeichenketten in Kleinbuchstaben konvertieren Dies ist eine recht einfach, aber dennoch praktische Funktion, die es Ihnen erlaubt einen bestimmten String in Kleinbuchstaben zu konvertieren. Die Syntax lautet: tolower(<string>)
Zur Veranschaulichung stellen wir auch zu dieser Funktion ein Beispiel bereit: a = "Ich will nur Kleinbuchstaben haben"; b = tolower(a); # b = "ich will nur kleinbuchstaben haben"
190
3 Systemaudit
Portstatus ermitteln Mit der Funktion get_port_state() steht Ihnen eine Funktion zur Verfügung, die es Ihnen ermöglicht zu überprüfen, ob ein bestimmter Port offen ist. Falls er offen oder sein Status unbekannt ist liefert die Funktion den Wert true, ansonsten false. Beachten Sie, dass es bei NASL Sicherheitstests sehr auf die schnelle Abarbeitung der einzelnen Skripte ankommt und es daher sehr sinnvoll ist, diese Funktion einzusetzen, um zu testen, ob eine bestimmte Verbindung (die ein anderes Skript bzw. eine andere Funktion in demselben Skript aufbauen muss) überhaupt zustande kommen kann, da sehr viel Zeit mit einer Firewall, die Pakete zum Zielport blockt, verschwendet werden kann. Die Syntax für diese Funktion lautet: get_port_state()
Knowledge Base Vorab möchte ich Sie darauf hinweisen, dass Sie zum Verständnis der Nessus Knowlegde Base den Abschnitt weiter unten im Buch, der sich ausschließlich darum dreht, lesen sollten. Die Nessus Knowledge Base wurde entwickelt, um Arbeit, die bereits verrichtet wurde, nicht noch einmal machen zu müssen und Sie anderen Skripten zur Verfügung zu stellen. Bevor ich mich lange in den Ausführungen über die Theorie darüber aale, werde ich ein kleines Beispiel bringen, das Ihnen sicherlich helfen wird, die Thematik zu verstehen. Nehmen wir an, Sie haben einen FTP-Server laufen, der sicherheitskritische Daten für einige Ihrer Mitarbeiter bereitstellt. Natürlich sind Sie nun darauf bedacht, dass dieser Dienst stets sicher ist und ihm niemand ein »Ei« unterjubelt. Daher haben Sie sich entschlossen, den Server alle 30 Sekunden überprüfen zu lassen. Wenn Sie sich nun über einige Variablen des Servers sicher sind (Port etc.), brauchen Sie diese logischerweise nicht mehr überprüfen lassen, da dies ja doppelte Arbeit wäre. Sie können diese bekannten Fakten nun aus der Nessus Knowledge Base beziehen und sparen sich somit einen Haufen Arbeit und Traffic. Natürlich werden spezifische Änderungen in der KB gespeichert (Änderung der Portnummer). Nachdem Sie nun wissen, was die Knowledge Base ist, sollten Sie noch erfahren, mit welchem Aufruf Sie sie in Ihre Skripte einbauen können. Dabei müssen Sie aber beachten, dass es zwei Möglichkeiten gibt, diese Funktion zu initialisieren. Die erste ist anonym und und liefert den in der Knowledge Base gespeicherten Wert des Feldes . get_kb_item();
Die zweite Möglichkeit besteht darin, ein Feld in der Knowledge Base upzudaten. set_kb_item(name:, value:);
3.2 Nessus
191
Beachten Sie dabei, dass es nicht möglich ist ein Feld in Zeile x zu setzen und es in Zeile x+y wieder einzulesen, da die lokale Knowledge Base noch nicht auf den neusten Stand gebracht wurde. Aufbau eines NASL Skriptes Bevor Sie Ihr NASL Skript in den dafür vorgesehenen Ordner kopieren können (zumeist /usr/lib/nessus/plugins) müssen Sie es schreiben und dabei eine gewissen Form einhalten. Dies ist wichtig, da sich das Skript automatisch am Nessus-Server anmeldet und ihm einige Informationen über sich übergibt. Sie werden im Folgenden ein Muster – »Skriptgerüst« sehen, das Ihnen die nötigen Formatierungen zeigen wird: # # NASL SKRIPT # if(description) { # # Hier platzieren Sie bitte die Register Section # exit(0); } # # Die Attack Section befindet sich hier und # beinhaltet den eigentlichen Code #
Die globale Variable description wird auf TRUE gesetzt, falls sich ein Skript registrieren muss oder auf FALSE, wenn es das nicht tun muss. Register Section In diesem Teil des Skriptes müssen folgende Optionen gesetzt werden: script_name(language1:, [...]);
Der Name, den Sie hier angeben, wird im Nessus-Client erscheinen. script_description(language1:<desc>, [...]);
Wenn der User den Namen im Client anklickt, wird diese Beschreibung gezeigt. script_summary(language1:<summary>, [...]);
Hier können Sie die Kurzbeschreibung angeben, die bei den Tooltips erscheinen wird (Sie dürfen dabei keinen Text angeben, der mehr als eine Zeile benötigt). script_category();
192
3 Systemaudit
Gibt die Skriptkategorie an, welche aus einer der in Tabelle 3.11 angegebenen Argumente bestehen muss. Skriptkategorie
Beschreibung
ACT_GATHER_ INFO
Die Skripte werden vorab durchgeführt und können den Zielhost unter keinen Umständen schädigen.
ACT_ATTACK
Diese Tests versuchen bestimmte Rechte am Zielhost zu erhalten. Die dafür verwendeten Methoden können den Zielhost durchaus Schaden zufügen (Bufferoverflowattacken etc.).
ACT_DENIAL
Falls ein Skript dieser Kategorie erfolgreich ist, wird der Zielhost mit Sicherheit Schaden nehmen, da das Skript versucht den Rechner zum Absturz zu bringen.
ACT_SCANNER
Bei der Anwendung solcher Skripte hat der Zielhost keinen Schaden zu befürchten, da es sich um ein Portscannerskript handelt. Tabelle 3.11 Skriptkategorien für die Register Section
script_copyright(language1:, [...]);
In diesem Abschnitt können Sie bestimmte Copyright-Angaben machen, die das Skript betreffen. Welche das sind, bleibt völlig Ihnen überlassen. script_family(language1:, [...]);
Gibt die Skriptfamilie an. Da es aber zurzeit keine klar vordefinierten Familien gibt, können Sie eine x-beliebige angeben, was aber wenig Sinn macht, da Sie nicht der einzige sein werden, der mit Nessus arbeitet. Um sicherzugehen, dass Sie auch Administratoren außerhalb Ihres Büros verstehen (bzw. Ihre Skripte), sollten Sie eine der folgenden – vordefinierten – Familien angeben:
Backdoors CGI abuses Denial of Service FTP Finger abuses Firewalls Gain a shell remotely Gain root remotely Misc. NIS RPC
3.2 Nessus
193
Remote file access SMTP problems Useless services
script_Funktion(english:englischer_text, [francais:franzoesischer_text, deutsch:deutscher_text, ...]);
Das oben angeführte Listing ist keine eigenständige Funktion, sondern betrifft alle Funktionen. Sie haben bei den Funktionsaufrufen gesehen, dass vor jeder Angabe immer das Argument language1 stand. Wie Sie sehen können, ist es unter Nessus möglich, die Angaben in mehreren Sprachen zu verfassen. Welche Sprachen Sie dabei wählen bleibt Ihnen überlassen, solange Sie Ihre Angaben mindestens in Englisch verfassen. Damit Sie besser verstehen, was ich meine, werfen Sie bitte einen Blick auf das folgende Beispiel: If(description) { name["english"] = "Bufferoverflow test for apache"; name["deutsch"] = "Bufferoverflowtest für Apache"; name["francais"] = "Je ne parles pas francais"; script_dependencies(filename1 [,filename2, ..., filenameN]);
Diese Funktion ist nicht vorgeschrieben, aber manchmal sehr hilfreich. Sie können an dieser Stelle angeben, ob Ihr Skript erst ausgeführt werden soll, nachdem ein anderes bereits gelaufen ist. Dies kann äußerst praktisch sein, falls zwei Skripte denselben Server scannen, da Ihr Skript dann alle spezifischen Daten, die es zum erfolgreichen Test braucht, aus der Knowledge Base beziehen kann. Attack Section In der Attack Section steht alles, das für einen erfolgreichen Sicherheitstest notwendig ist. Falls ein Test erfolgreich war, können Informationen für ähnlich arbeitende Tests mit den beiden folgenden Funktionen weitergegeben werden. security_warning(<port> [, protocol:<proto>]); security_hole(<port> [, protocol:<proto>]); security_warning(port:<port>, data: [, protocol:<proto>]); security_hole(port:<port>, data: [, protocol:<proto>]);
Die jeweils zuerst erwähnte Funktion beschreibt ein Sicherheitsloch, dessen Risiko nicht so hoch ist wie das bei einer security_hole. Falls Sie sich für den ersten Aufruf entscheiden, so wird die Skriptbeschreibung, die Sie am Anfang angegeben haben, im Client angezeigt. Für den Fall, dass Sie sich für die längere Syntax entscheiden, wird der Inhalt des Feldes data angezeigt.
194
3 Systemaudit
Ausführung einschränken Obwohl wir dieses Szenario schon öfters in diesem Kapitel besprochen haben, möchte ich es trotzdem gerne auch an dieser Stelle benutzen. Stellen Sie sich vor, Sie haben ein Skript geschrieben, das einen bestimmten Service, welcher auf einem bestimmten Port läuft, auf Sicherheitslücken überprüft. Falls dieser Dienst nicht aktiv oder erreichbar ist, ist Ihr Skript völlig nutzlos und kostet nur wertvolle Zeit. Nessus bietet Ihnen die Möglichkeit die Ausführung bestimmter Skripte einzuschränken. Welche Funktionen – die Sie übrigens in der description section, also ganz am Anfang, angeben müssen – Ihnen dabei zur Verfügung stehen, werden Sie jetzt erfahren: script_require_ports(<port1>, <port2>, ...)
Falls Sie diese Funktion verwenden, wird Ihr Skript nur ausgeführt, wenn der Port <port> offen oder nicht bekannt ist. Sie können Ihre Angaben numerisch (21) oder symbolisch (Services/ftp) machen. script_require_keys(, , ...)
Skripte, die diese Funktion beinhalten, werden nur ausgeführt, falls die Argumente alle in der Knowledge Base vorhanden sind. script_exclude_keys(, , ...)
Nessus wird dieses Skript nicht ausführen, falls eines der Argumente in der Knowledge Base gesetzt ist. Natürlich haben wir auch zu diesen Funktionen einige Beispiele bereitgestellt: script_require_ports("Services/www", 80); script_require_keys("rpc/portmap"); script_exclude_keys("imap/false_imap");
3.2.5
Knowledge Base
Die Knowledge Base ist eine Art Datenbank, die bestimmte Felder (Nessus nennt diese Felder Schlüssel – für eine Liste mit den wichtigsten Feldern besuchen Sie bitte unsere Buch-Website) mit Daten füllt, die sich bei bestimmten Testdurchläufen ergeben (wie zum Beispiel Portnummern). Skripte können sich dadurch eine Menge Arbeit sparen, indem Sie bestimmte – wichtige – Fakten nicht selbst herausfinden müssen, sondern sich der Knowledge Base bedienen und sich die Informationen aus den Feldern holen. Dies spart eine Menge Zeit und Bandbreite. In Abbildung 3.1 können Sie das Konfigurationsfenster für die Konfiguration der Knowledge Base sehen.
3.2 Nessus
195
Abbildung 3.1 Clientkonfigurationsfenster für Knowledge Base
Wir werden nun in den folgenden Abschnitten auf die einzelnen Punkte dieses Konfigurationsfensters eingehen und Ihnen erklären, was diese genau bedeuten. Knowledge Base aktivieren Abbildung 3.2 zeigt, welchen Punkt Sie aktivieren müssen, damit Sie die Vorzüge einer Knowledge Base nutzen können. Beachten Sie dabei aber bitte, dass, falls Sie nur diese Funktion alleine aktivieren, die Felder in der Datenbank von anderen Tests nicht genützt werden. Wie Sie Nessus konfigurieren, so dass die gespeicherten Ergebnisse von bereits durchgeführten Tests auch für andere Skripte verfügbar sind, erfahren Sie im Anschluss an diesen Abschnitt.
196
3 Systemaudit
Abbildung 3.2 Knowledge Base aktivieren
Wie bereits erwähnt, können Sie die getesteten Ergebnisse damit noch nicht für andere Tests verfügbar machen. Um dies zu erreichen müssen Sie den in Abbildung 3.3 gezeigten Punkt aktivieren. Seien Sie aber sehr vorsichtig mit dieser Option. Obwohl die Vorteile klar auf der Hand liegen (Schonung der Bandbreite, Zeitersparnis), hat das Verfügbarmachen von bestimmten Testergebnissen auch enorme Schattenseiten. Stellen Sie sich vor, es wäre Ihre Aufgabe, einen bestimmten Webserver jeden Tag auf aktuelle Sicherheitslücken zu testen. Wenn Sie sich nun die Zeit für das Portscanning sparen wollen und Ihrem Skript den Schlüsselwert aus der Knowledge Base übergeben, könnte es durchaus sein, dass Sie so gravierende Sicherheitslücken wie Trojaner
3.2 Nessus
197
nicht entdecken. Wägen Sie also ab, wie sicher das zu testende Netzwerk bereits ist und welche Rolle die Zeit bei Ihren Tests spielt. Finden Sie ein Mittelmaß, mit dem Sie schnell und sorgfältig testen können.
Abbildung 3.3 Knowledge Base verfügbar machen
Nachdem Sie diese Option aktiviert haben, können Ihre Tests auf die Knowledge Base zugreifen. Welche Aktionen Ihre Tests dabei nicht mehr jedes Mal aufs Neue herausfinden sollen, können Sie an den Punkten in Abbildung 3.4 einstellen.
198
3 Systemaudit
Abbildung 3.4 Optionen für Knowledge Base
Was soll getestet werden? Falls Sie eine Knowledge Base wünschen und dies im ersten Schritt angegeben haben, ist es möglich, bestimmte Einschränkungen vorzunehmen. Diese Restriktionen beziehen sich auf die zu testenden Hosts. Wie Sie anhand von Abbildung 3.5 sehen können, stehen Ihnen dabei drei Auswahlmöglichkeiten zur Verfügung.
Test all hosts
Falls Sie diesen Punkt aktivieren, werden alle Hosts, die Sie im Target-Feld angegeben haben, getestet.
Only test hosts that have been tested in the past
3.2 Nessus
199
Diese Option bewirkt, dass nur Hosts überprüft werden, die eine aktuelle (noch nicht verfallene) Knowledge Base angehängt haben.
Only test hosts that have never been tested in the past
Um Nessus dazu zu bringen, nur Hosts zu scannen, die keine oder nur eine abgelaufene Knowledge Base angehängt haben, müssen Sie diese Option aktivieren.
Abbildung 3.5 Einschränkungen für zu testende Hosts
Aktualität (up-to-date) Im vorhergehenden Abschnitt habe ich von einer abgelaufenen und aktuellen Knowlegde Base gesprochen. Falls Sie das verwirrt hat, hoffe ich, dass dieser Abschnitt die Unklarheiten beseitigen wird. Nessus bietet Ihnen die Möglichkeit, Ihrer Knowledge Base ein bestimmtes Verfallsdatum zu geben. Falls dieses Datum überschritten ist, erkennt Nessus dies
200
3 Systemaudit
und deklariert die KB als outdated (abgelaufen). Abbildung 3.6 zeigt Ihnen einen Screenshot des Dialogs, der Ihnen die Möglichkeit gibt, Nessus das Verfallsdatum einer KB mitzuteilen. Die Grenzen nach oben stehen Ihnen dabei frei. Nach unten haben Sie jedoch ein Limit von 3600 Sekunden einzuhalten. Wie schon erwähnt, sind Angaben in Sekunden zu machen.
Abbildung 3.6 Verfallsdatum einer KB
3.2.6
Session saving
Falls Sie sich einmal die Mühe machen und das Programm IPTraf den Netzwerkverkehr mitloggen lassen, den Nessus verursacht, werden Sie sehr schnell merken, dass dieser enorm hoch ist. Deshalb ist es umso ärgerlicher, wenn ein Scandurchlauf durch irgendetwas unterbrochen wird (Host stürzt ab, Netzwerkverbindung wird inaktiv etc.). Für solche Fälle hat man sich entschlossen ein neues Feature in
3.2 Nessus
201
Nessus zu implementieren. Mit Hilfe des Session saving-Features haben Sie in Fällen unerwarteter Unterbrechungen eines Durchlaufs die Möglichkeit, Ihren Scan annähernd von der Stelle, an der die Unterbrechung stattgefunden hat, zu starten und verlieren somit wesentlich weniger Daten und setzen das Netzwerk nicht nochmals einer großen Scanbelastung aus. Abbildung 3.7 zeigt das Dialogfenster (TARGET saving aktivieren können.
SELECTION),
in dem Sie Session
Abbildung 3.7 Session saving-Dialog
Um Session saving zu aktivieren müssen Sie lediglich den dazugehörigen Menüpunkt aktivieren. Session wiederherstellen Falls es nun wirklich einmal passiert sein sollte, können Sie eine abgestürzte Session mit dem Punkt RESTORE SESSION wiederherstellen. Sie sollten den Namen der
202
3 Systemaudit
abgestürzten Session sehen, sobald Sie sich wieder mit dem Nessus Server verbunden haben. Das dabei verwendete Format ist . Session löschen Wie Sie sich sicher schon gedacht haben, können Sie mit dem DELETE SESSION-Button Sessions auf der Nessus Server-Seite löschen. Fehlerbehebung Es kann dabei durchaus einmal vorkommen, dass Ihnen Nessus bei einem Scandurchlauf abstürzt und Sie – nachdem Sie sich mit Ihrem Server neu verbunden haben – noch immer keine Session, die Sie wiederherstellen können, sehen. In diesem Fall könnte dies daran liegen, dass die Session noch gelockt ist. Sie können diesen Lock lösen, indem Sie den folgenden Befehl ausführen: rm /usr/local/var/nessus/<username>/sessions/.*.lck
3.2.7
Weitere Plugins
Natürlich können wir noch einige Seiten mit wirklich sehr guten und gelungenen Plugins von Nessus füllen, doch ich denke, dass das nicht im Sinne dieses Buches ist. Falls Sie aber interessiert sind, weitere Plugins kennen zu lernen, besuchen Sie doch die offizielle Nessusseite oder unsere Buchseite. Wir haben dort einige Informationen für Sie aufbereitet, die Ihnen mit Sicherheit helfen, die Möglichkeiten von Nessus voll auszuschöpfen.
3.3
VPASS
Jetzt ist es an der Zeit unsere Passwörter zu prüfen. Wir werden Ihnen einige Tools vorstellen, mit denen Sie überprüfen können, ob die Passwörter und die dazugehörigen Usernamen sicher sind oder eben nicht und es einer Änderung bedarf. Das erste Tool diese Serie ist vpass. Vpass überprüft anhand der beliebten cracklib, ob die übergebene Kombination aus Username und Passwort (oder nur das Passwort) sicher ist. Falls nicht, sollten Sie vermeiden dieses Passwort zu wählen. Nun werden Sie sich denken, was der blauäugige Autor da so von sich gibt, ist zwar ganz nett, aber leider in der Praxis völlig sinnlos. Denn wie sollen Sie als Administrator eines lebendigen Netzwerkes, in dem jeder User sein Passwort nach Belieben ändern kann (oder sogar muss), überprüfen, ob das Passwort, das gewählt wurde, sicher ist. Mit dieser These liegen Sie natürlich richtig. Sie können in solchen Fällen selbstverständlich auf Programme wie crack oder john the ripper zurückgreifen, aber es gibt auch eine Möglichkeit das Programm vpass sinnvoll einzusetzen. Das ist selbstredend kein hundertprozentig sicherer Weg, er könnte aber einige User davon abhalten Ihr Passwort ungeschickt zu wählen.
3.3 VPASS
203
Syntax Der allgemeine Aufruf erfolgt über den Programmnamen. Zusätzlich können noch einige weitere Angaben gemacht werden: Linux:~# echo "USER PASS" | vpass [Optionen] [Wörterbuch]
Die beiden verfügbaren Optionen finden Sie in Tabelle 3.12. Option
Beschreibung
-h oder --help
Gibt die Hilfefunktion aus
-u oder --nouser
Informiert vpass darüber, dass kein Username angegeben wird. Es wird also nur das Passwort überprüft. Tabelle 3.12 Optionen für vpass
Anstelle des Platzhalters [Wörterbuch] können Sie optional ein Verzeichnis angeben, in dem sich Crackwörterbücher befinden. Falls Sie kein Verzeichnis spezifizieren, wird das Standardverzeichnis /usr/lib/cracklib_dict benutzt. Tabelle 3.13 informiert Sie über die möglichen Rückmeldungen von vpass bezüglich der Sicherheit der angegebenen Passwörter. Meldung
Beschreibung
OK
Passwort scheint nicht einfach zu erraten zu sein.
ERR a message
Gibt eine Meldung aus, warum Sie diese Kombination nicht wählen sollten. Tabelle 3.13 Rückmeldungen von vpass
Beispiele Linux:~# echo "a a" | vpass ERRNO 3:do not use your user name as a password Linux:~# echo "a b" | vpass ERRNO 5:unsuitable password because it is too short. Linux:~# echo "joe bunnylein" | vpass ERRNO 6:do not use all lower case passwords Linux:~# echo "joe bunNyLein" | vpass OK
4 Filesystem Integrity Checker Falls Ihnen die Überschrift dieses Kapitels noch nicht allzu viel sagt, wird es definitiv Zeit, dass Sie sich mit dieser Materie auseinander setzen. Bevor ich Ihnen kurz erläutern werde, was Filesystem Integrity Checker überhaupt sind, möchte ich Sie bitten kurz über die Schwächen so genannter Attack-Signature-Scanner (AntiViren-Programme) nachzudenken. Dabei wird Ihnen mit Sicherheit auffallen, dass diese Programme –um einen guten Job machen zu können– stets eine aktuelle Bibliothek benötigen (man könnte auch sagen, dass Sie eine gute Virendatenbank bräuchten), in der Sie Informationen über bekannte Virensignaturen finden, um bereits bekannte, bösartige Fremdprogramme zu erkennen und somit das System vor solchen Eindringlingen schützen können. In diesem Kapitel werden wir uns mit freier Software beschäftigen, die diesen Makel nicht hat und zusätzlich einen wesentlich größeren Schutz für Ihr System bieten kann. Filesystem Integrity Checker konservieren (stark vereinfach gesagt) einen Systemzustand, der als sicher gilt. Falls nun eine bösartige Software nicht vom Virenscanner erkannt wird und somit zum Beispiel durch eine E-Mail ins System gelangt, kann es mit Hilfe des konservierten Systemzustands gefunden und beseitigt werden.
4.1
Tripwire
Tripwire ist wohl der bekannteste Vertreter der Filesystem Integrity Checker und mit Sicherheit auch eines der besten freien Tools, die sich mit IT-Security einen Namen gemacht haben. Die Entwickler Gene Kim und Eugene Spafford haben es sich zur Aufgabe gemacht, ein Programm zu schaffen, das dabei weitaus mehr bietet als einen einfachen Vergleich des aktuellen Systemzustands mit einer als sicher geltenden Sicherungskopie. Da den Entwicklern bereits sehr bald klar wurde, dass man die Integrität eines Dateisystems anhand einiger, signifikanter Merkmale genauso gut überprüfen kann wie anhand einer exakten Sicherungskopie, bestand die große Aufgabe und Schwierigkeit darin, diese Merkmale auf eine sinnvolle Weise – auch und besonders in Hinblick auf die späteren Überprüfungen – zu extrahieren. Um die Datenmengen, die dabei entstehen, so gering wie möglich zu halten, hat man sich dazu entschlossen, die Informationen mit Algorithmen aus dem Bereich der Nachrichtenverschlüsselung aus dem System zu gewinnen (zum Beispiel MD5). Bevor wir beginnen, möchte ich an dieser Stelle vorab erwähnen, dass wir mit der weit verbreiteten Academic-Source-Release (ASR) arbeiten, aber an den meisten Stellen (Selection Masks und Templates) auch auf die Vorzüge der »anderen« Version eingehen werden. Sie können bereits bei der Installation festlegen, welche Version Sie beziehen. Dies hängt dabei aber zum Großteil davon ab, wie Sie Tripwire nutzen (lizenzpolitisch).
206
4 Filesystem Integrity Checker
4.1.1
Allgemeine Vorteile
Das Kuriose an Tripwire ist, dass es eigentlich über sein Ziel hinausschießt (im absolut positiven Sinne). Wie wir bereits erfahren haben, war das Ziel der Entwickler ein Programm zu schaffen, das es einem ermöglicht, den aktuellen Sicherheitsstand unseres Systems daran zu erkennen, ob bestimmte (von uns angegebene) Charakteristika verändert wurden oder sich noch im gewünschten Zustand befinden. Dieses System bringt aber noch einige andere Vorteile mit sich. So erleichtert Tripwire das Entfernen schlecht geschriebener Software enorm. Ein weiterer großer Vorteil wird dem Programm im Bereich der aktiven Beweissicherung nachgesagt. Ohne mich zu weit aus dem Fenster lehnen zu wollen (ich muss zugeben, ich hatte nur einige, wenige Vorlesungen während meines Studiums, die sich um Computerrecht oder Ähnliches gedreht haben), könnte die Signatur einer One-Way-Hash-Funktion durchaus als Beweismittel vor Gericht dienen. Da aber zumeist der Angreifer nicht in der Lage ist, den finanziellen Schaden, den er durch seinen Angriff angerichtet hat, zu begleichen, erscheint es wohl sinnvoller, diese Datei der Versicherung zu mailen.
4.1.2
Konfigurationsaufwand
Nachdem wir nun die geplanten und nicht geplanten Features von Tripwire kennen, ist es wohl an der Zeit, den Verwaltungs- und Konfigurationsaufwand dieser Software zu besprechen. Da Tripwire ein statisches System ist, müssen Sie sich jedes Mal mit der Konfiguration beschäftigen, sobald Sie Software hinzufügen oder entfernen. Das heißt, dass auf Testrechnern und ähnlichen Systemen Tripwire nichts zu suchen hat. Da aber die Softwarekonfiguration auf den meisten kritischen Serversystemen nicht wöchentlich geändert wird, sollten Sie sich um den Konfigurationsaufwand keine allzu großen Gedanken machen, da dieser im Vergleich zum Nutzen ein gerne in Kauf genommenes kleines Übel darstellt.
4.1.3
Installation
Wie immer sollten Sie sich die aktuelle Version von Tripwire aus einer sicheren Quelle wie der Buchseite oder bevorzugt von den offiziellen Tripwireseiten, welche Sie in der folgenden Auflistung finden, herunterladen:
http://www.cs.purdue.edu/coast http://www.tripwiresecurity.com
Nachdem Sie die Echtheit Ihres Pakets überprüft haben, können Sie es ohne Bedenken installieren. Linux:~# rpm –ivh tripwire-version-i.386.rpm
4.1 Tripwire
207
Wie ich zu Beginn bereits erwähnt habe, werde ich Ihnen Tripwire anhand der ACR vorstellen. Falls Sie sich schon länger mit Tripwire beschäftigen, werden Sie sicherlich wissen, dass sich in letzter Zeit einiges in Sachen Vermarktung, Open Source etc. getan hat. Wer mehr über die Geschichte von Tripwire wissen möchte, kann dazu mehr unter folgender Adresse finden: http://www.forbes.com/tool/html/toolbox.htm Wer daran interessiert ist, an der Entwicklung von Tripwire teilzuhaben, kann sich bei Sourceforge Informationen dazu besorgen: http://sourceforge.net/projects/tripwire Wer die aktuellen Binaries beziehen will, kann dies natürlich auch per Internet tun: http://www.tripwire.org Jetzt sollten Sie alle wichtigen Adressen und Informationen erhalten haben, um sich die richtige Version zu beschaffen, und wir können guten Gewissens starten.
4.1.4
Konfigurationsdatei
Die Konfigurationsdatei tw.config bildet das Herzstück von Tripwire. An sich ist die Syntax leicht zu verstehen und zu erlernen. Falls Sie aber vorhaben tw.config für mehrere Hosts, die unterschiedliche Betriebssysteme fahren, einzusetzen, kann die Syntax schnell sehr komplex werden. Aber keine Angst, wir werden mit einer einfachen Konfiguration einsteigen, so dass Sie sich ganz langsam an die Syntax und ihre Tücken gewöhnen können. Tripwire bietet eine Vielzahl an Optionen, die es einem ermöglichen, Daten oder ganze Verzeichnisse (auch rekursiv) zu überwachen. Um einen einfachen Weg zu bieten, auch plattformabhängige Charakteristika eines Dateisystems in die Überwachung nahtlos einschließen zu können, hat man sich dazu entschlossen, die Konfigurationsdatei ähnlich einer Liste aufzubauen. Die Grundsyntax hierbei sieht folgendermaßen aus: [!|=] Objekt [Auswahlmaske] [Kommentar]
Kommentare Vorab möchte ich gleich auf die Kommentare eingehen. Wie bei vielen anderen Skriptsprachen und wie bei den meisten Konfigurationsdateien leiten Sie einen Kommentar mit dem #-Zeichen ein, wobei auch hier die Zeichen und Anweisungen hinter dem Kommentarzeichen ignoriert werden. Objekte und Operatoren Objekte in Tripwire stellen entweder Dateien oder ganze Verzeichnisse dar. Wenn Sie sich die Syntax von tw.config nochmals ansehen, werden Sie bemerken,
208
4 Filesystem Integrity Checker
dass Sie optional die Operatoren ! und = einsetzen können. Ich möchte Ihnen zuerst den =-Operator anhand eines Beispieles vorstellen: # Beispielfragment aus tw.config . = /mail L .
Das hier aufgeführte Codefragment weist Tripwire an, dass es zwar die Inode des Verzeichnisses /mail überwachen soll, aber nicht den Inhalt dieses Verzeichnisses. Das heißt, Sie werden zum Beispiel über die Erstellung oder das Löschen von Dateien informiert, aber nicht über die betroffenen Objekte oder die Art der Veränderungen. Dies ist eine äußerst ressourcensparende Option, da sich der Inhalt der Verzeichnisse wie /mail, /tmp und /var/spool im Regelfall sehr oft ändert. Falls Sie keinen Operator verwenden, werden Sie zusätzlich über die Art der Veränderungen und die betroffenen Objekte informiert. Das nächste Codefragment zeigt die Verwendung des !-Operators, der es Ihnen erlaubt, bestimmte Objekte aus der Überwachung auszuschließen. Diese Option ist für Verzeichnisse wie /dev äußerst nützlich. Sie sollten aber grundsätzlich darauf verzichten, da jede Verwendung des Stopp–Operators möglicherweise auf Kosten der Sicherheit geht. # Beispielfragment aus tw.config . !/dev . .
Bevor wir den Abschnitt über Objekte abschließen, möchte ich Sie noch darauf hinweisen, dass Sie unbedingt die Dateisystemgrenzen beachten müssen. Sind zum Beispiel /joey und /joey/aga Mountpunkte für zwei Partitionen und Sie wollen das Verzeichnis /joey komplett überwachen, so müssen beide Pfade separat aufgeführt werden. Selection masks / select-flags Wir haben gesehen, dass Sie mit den verfügbaren Operatoren die Möglichkeit haben, die Überwachung in groben Zügen einzuschränken. Tripwire bietet aber eine weitaus tiefer gehende und feinere Methode, um Abstimmungen über die vorzunehmende Überwachung zu treffen. Mit den so genannten Selection masks oder Select-flags (hier scheiden sich die Geister, wenn es um die korrekte Betitelung dieser Option geht) haben Sie die Möglichkeit eine konkrete Eigenschaft des zugeordneten Objekts zu kennzeichnen. Welche Eigenschaft Sie dabei wählen können, hängt zum Großteil vom Dateisystem (EXT2 hat sich als Quasistandard etabliert) ab. Welche Selection Masks Ihnen grundsätzlich in Linux unter EXT2
4.1 Tripwire
209
zur Verfügung stehen, sehen Sie in Tabelle 4.1. Über die sinnvolle Implementierung anhand einiger Codefragmente und eventuelle Alternativen werden wir uns im Anschluss Gedanken machen. Selection Mask
Bericht
Beschreibung
P
st_mode
Ausführungsmodi (SUID-Bit, SGID-Bit und Text-Bit) und Zugriffsrechte
I
st_ino
Inodenummer. Allgemeines zu Inodenummern finden Sie in Kapitel 1. Normalerweise wird durch Schreiben und Lesen einer Datei die Inodenummer nicht verändert. Findet Tripwire dennoch eine Veränderung, so kann man daraus schließen, dass das betroffene Objekt gelöscht oder durch eine Datei mit anderem Inhalt, aber selbem Namen ersetzt wurde.
N
st_nlink
Link-Count. Repräsentiert die Anzahl der Links (keine dynamischen, sondern ausschließlich Hardlinks) und Unterverzeichnisse. Im Falle von Verzeichnissen gibt der Zähler (Counter) die Anzahl der zugehörigen Unterverzeichnisse an. Im Falle einer einfachen Datei die Anzahl der mit der Inode verbundenen Links. Der Zähler erhöht sich bei jedem Hardlink auf die zugehörige Datenzone.
U
st_uid
UID. Benutzer ID
G
st_gid
GID. Gruppen ID
S
st_size
File size. Eine sehr wichtige Mask, da Veränderungen wichtiger Dateien meistens mit einer Änderung der Dateigröße einhergehen.
A
st_atime
Access timestamp. Auf der Jagd nach Crackern erweist sich diese Mask als äußerst hilfreich, da ihr Wert bereits beim Betrachten bzw. beim Einlesen einer Datei geändert wird. Sie sollten diese Datei mit keiner Mask verwenden, die zur Berechnung des Werts die Datei einlesen muss (zum Beispiel Signaturberechnung).
M
st_mtime
Modification-timestamp. Dieses Feld wird geändert, falls eine Datei verändert und mit den Veränderungen gesichert wird.
C
st_ctime
Inode-change-timestamp. Diese Mask gibt den Wert der letzen Statusänderung zurück. Dies entspricht dem letzten Schreibzugriff auf die Inode (zum Beispiel, wenn die Zugriffsrechte einer Datei geändert wurden).
T
Object Type
Dateityp
Tabelle 4.1 Verfügbare Selection-Masks
210
4 Filesystem Integrity Checker
Selection Mask
Bericht
Beschreibung
D
Device Nr.
Beim Partitionieren sind mit einer speziellen Kennzahl versehen, welche Aufschluss über die Art der Formatierung gibt. Diese Mask stellt sicher, dass diese Kennzahl (neben anderen Merkmalen) in die Referenzdatenbank eingetragen wird, von der die Inode des dazugehörigen Objekts stammt.
I
Size
Vorab ist zu dieser Mask zu sagen, dass sie unter ASR nur in Verbindung mit einer anderen Selection-Mask als Template (werden wir später noch genauer besprechen) zur Verfügung steht. Anders als die Mask s, die bei jeder Veränderung der Dateigröße »anspringt«, erfolgt bei dieser Mask nur eine Meldung, falls eine Datei verkleinert wurde. Diese Mask sollte man auf Logfiles ansetzen, da diese von Eindringlingen gerne verändert werden.
R
File Device Nr.
Diese Mask ist nur für Gerätedateien verfügbar und bezeichnet die Gerätetreibernummer, die mit der dazugehörigen Inode verbunden ist.
B
Blocks
Steht für die Anzahl der Datenblöcke (für EXT2 typischerweise 1024 Bit), die durch die Zonenzeiger der Inode belegt werden.
Tabelle 4.1 Verfügbare Selection-Masks (Forts.)
Nachdem Sie nun einige der Selection-Mask kennen gelernt haben, wollen wir uns mit den verfügbaren Algorithmen beschäftigen. Die Wahl des Algorithmus ist von großer Bedeutung und von vielen Faktoren abhängig. Denn was hilft Ihnen ein absolut sicheres System (was es ja sowieso nicht geben kann, außer Sie schalten den Rechner aus), wenn die Performance so gering ist, dass eine Bedienung nahezu unmöglich ist. In Tabelle 4.2 finden Sie die in Tripwire verfügbaren Algorithmen mit einigen durchaus hilfreichen Bemerkungen. Das Feld »Geschwindigkeit« kann die Werte 1 bis 8 einnehmen, wobei 1 der schnellste Algorithmus ist und 8 der langsamste. Das Feld »Sicherheit« kann zwischen 1 und 5 variieren, wobei Algorithmen, die den Wert 5 zugewiesen bekamen, die sichersten darstellen. Beachten Sie dabei, dass auch die Auswahl des Algorithmus mit Hilfe der Selection-Masks zu treffen ist. Mask
Algorithmus
Geschwindigkeit
Sicherheit
Beschreibung
0
-
-
-
null signature
1
MD5
5
5
Message Digest 5 Algorithmus, sicherer, aber auch langsamer als sein Vorgänger
Tabelle 4.2 Algorithmen
4.1 Tripwire
211
Mask
Algorithmus
Geschwindigkeit
Sicherheit
Beschreibung
2
Snefru
7
4
Langsamer, aber als sicher geltender Algorithmus
3
CRC-32
4
2
Ursprünglich gedacht zur Erkennung von hardwarebedingten Übertragungsfehlern. Sollte bei sicherheitskritischen Systemen nicht verwendet werden.
4
CRC-16
1
1
Siehe Beschreibung zu CRC-32. Absolut schneller Algorithmus, der in Sachen Geschwindigkeit seinesgleichen sucht! Sollte aber bei sicherheitskritischen Serversystemen nicht eingesetzt werden.
5
MD4
2
3
Sehr beliebt bei RISC Systemen, da er auch sehr schnell ist. Sollte aber auf keinen Fall eingesetzt werden.
6
MD2
8
4
Ist noch auf 8 Bit Prozessortechnik ausgelegt und von daher ungemein langsam. Obwohl er als sicher gilt, sollte er aufgrund der mangelnden Geschwindigkeit nicht eingesetzt werden.
7
SHA
6
5
Ist mit MD4 verwandt. Obwohl – wie Sie vielleicht wissen – einige Gerüchte im Raum stehen, dass dieser Algorithmus eine nicht dokumentierte Sicherheitslücke besitzt, können Sie ihn meiner Ansicht nach bedenkenlos einsetzen (die NASA tut es ja auch).
8
Haval
3
4
Bietet 15 unterschiedliche Varianten für praktische Anwendungen, ist sicher und schnell. Kann durchaus für sicherheitskritische Systeme eingesetzt werden.
Tabelle 4.2 Algorithmen (Forts.)
Verwendung von Select-Masks Der einfachste Weg, um eine vollständige Beschreibung aller interessanten Eigenschaften eines Objekts zu bekommen, besteht darin, alle dafür nötigen Masks aneinander zu reihen. Dabei haben Sie die Möglichkeit mit zwei weiteren Operatoren (+ und -) bestimmte Masks explizit aus- bzw. einzuschließen. Dabei müssen Sie beachten, dass die von uns verwendete Version ASR alle nicht ausdrücklich ausgeschlossenen Masks (Sie können bestimmte Masks mit Hilfe des –-Operators ausschließen) in die Überwachung einschließt. Falls Sie sich an dieser Stelle fragen, wofür dann der +-Operator zu gebrauchen sein sollte, haben Sie bitte noch etwas Geduld. Sie werden es im Abschnitt über Templates erfahren.
212
4 Filesystem Integrity Checker
Da das eben erwähnte »Feature« in den Manpages nur schlecht bis überhaupt nicht beschrieben ist, werden wir uns anhand einiger Beispiele noch tiefer in die Materie einarbeiten. Im folgenden Listing finden Sie einige Auswahlmasken, die trotz völlig unterschiedlicher Syntax genau dasselbe bewirken. /joey/aj +ug-n /joey/aj –n /joey/aj +piuagsmc123456789-n
Wie Sie aus dem Listing entnehmen können, ist aus Ihrem Wunsch, nur die UID und GID ohne die Anzahl der Hardlinks zu überwachen, nichts geworden, da Tripwire automatisch alle nicht explizit ausgeschlossenen Masks einbezieht. Um zu erreichen, dass wirklich nur die UID und die GID angezeigt werden, müssen Sie folgende Auswahlmaske benutzen: /joey/aj +ug-pinsamc123456789
oder /joey/aj –pinsamc123456789
Templates Im vorhergehenden Abschnitt haben Sie gesehen, wie man eine Auswahlmaske definiert und welche Eigenheiten Sie dabei beachten müssen. Wie Sie sich gut vorstellen können, kann es durchaus vorkommen, dass Sie bei solch langen Masken Fehler machen. Um diese Fehlerquelle teilweise zu beseitigen, haben Sie die Möglichkeit so genannte Templates zu verwenden. Dies sind vordefinierte Auswahlmasken, die es Ihnen ermöglichen, oft genutzte Auswahlschemata mit nur einem Buchstaben zu initialisieren. In Tabelle 4.3 sind die verfügbaren Templates zu sehen. Template
Äquivalent
Beschreibung
R
+pinugsm12-ac3456789
Read-Only. Dateien sind allgemein verfügbar, dürfen aber nur gelesen werden. (Defaultwert)
L
+pinug-sacm123456789
Log file. Verzeichnisse und Dateien, die sich ständig verändern
N
+pinugsamc123456789
Ignore-Nothing. Nichts ignorieren. Alle Masken sind aktiv.
E
-pinugsamc123456789
Ignore-Everything. Alles ignorieren. Hier werden nur hinzugefügte oder gelöschte Objekte ausgewiesen.
>
+pinug-samc123456789
Growing-File. Gut geeignet für Logdateien, die zwar wachsen dürfen, aber deren Größe nicht abnehmen darf.
Device
+pugsdr-intlbamcCMSH Dateien, die Tripwire nicht öffnen darf (Gerätedateien) Tabelle 4.3 Verfügbare Templates
4.1 Tripwire
213
Eine Konfigurationsdatei für das gesamte Netzwerk Nachdem Sie nun wissen, welche Möglichkeiten beim Designen der tw.config zur Verfügung stehen, sollten Sie sich Gedanken machen wie Sie Ihr Netzwerk schützen. Denn – wie wir alle wissen – der Computer ist nichts, da das Netzwerk alles ist. Und da ein solches – von IBM gepriesenes – Netzwerk aus vielen Computern besteht, ist es an der Zeit, über die Möglichkeiten zu sprechen, die Sie haben, um Tripwire zentral zu konfigurieren, das heißt, wie Sie die Konfigurationsdatei verfassen, so dass Sie damit alle Rechner in Ihrem Netzwerk überprüfen und verwalten können. Natürlich können Sie auch auf jedem Rechner eine eigene tw.config anlegen, doch dies bedeutet einen enormen Aufwand bei der Verwaltung. Tripwire bietet uns dafür die Preprocessor-Syntax, deren Befehle mit einem doppelten @ (@@) initialisiert werden. Tabelle 4.4 beinhaltet die verfügbaren Optionen hierfür. Argument
Beschreibung
@@ifhost hostname
Wahr, wenn hostname mit uname –n oder hostname übereinstimmt. Wenn der Wert wahr zurückgegeben wird, werden alle Anweisungen bis zum nächsten @@endif oder @@else ausgeführt.
@@ifnhost hostname
Wahr, wenn hostname mit uname –n oder hostname nicht übereinstimmt. Wenn der Wert wahr zurückgegeben wird, werden alle Anweisungen bis zum nächsten @@endif oder @@else ausgeführt.
@@else
Wird ausgeführt, falls @@ifhost, @@ifnhost, @@ifdef oder @@ifndef den Wert falsch zurückgeben
@@ifdef Variable
Gibt den Wert true zurück, wenn die Variable definiert ist
@@ifndef Variable
Gibt den Wert true zurück, wenn die Variable nicht definiert ist
@@endif
Schließt das @@if* Statement
@@define Variable String
Weist der Variable einen String zu, falls kein String angegeben wird, so wird der Null-String zugewiesen
@@undef Variable
Variable ist nicht weiter definiert
@@include Pfadname
Zieht die Datei, die unter dem angegebenen Pfadnamen liegt, mit ein. Diese Datei muss dieselbe Konfigurationssyntax haben.
@@Variable
Weist den String, der in Variable gespeichert ist zu.
@@{Variable}
Selbe Beschreibung wie das zuvor aufgeführte Argument
||
Logisches ODER
&&
Logisches UND Tabelle 4.4 Preprozessoren unter Tripwire
Um Ihnen die Syntax näher zu bringen, habe ich im Folgenden einige Beispiele für Sie vorbereitet. Ich werde die einzelnen Schritte direkt im Code anhand von Kommentaren beschreiben.
214
4 Filesystem Integrity Checker
# Tripwire Konfigurationsdatei mit Preprocessoren # # Die erste Zeile aendert das Template READ (R) so ab, dass anstelle # der Selection-Masks # 7 und 8 die Masks 1 und 2 verwendet werden. @@define READ R+78-12 # # Da wir ein Netzwerk mit vielen unterschiedlichen Betriebssystemen # haben, brauchen wir # fuer jedes OS eigene Auswahlmasken. Wir werden Tripwire nun # "sagen" welche Hosts welches Betriebssystem fahren. # Als Erstes weisen wir den Rechnern joey, roland, grassl das OS # Linux zu. # @@ifhost joey || roland || grassl @@define LINUX @@endif # # Nun weisen wir den Rechnern aga, aj, bill das OS MS Windows zu. # @@ifhost aga || aj || bill @@define WINDOWS @@endif # # Natürlich haben wir auch einige Solarisserver im Haus # @@ifhost angelus || woodstock @@define SOLARIS @@endif # # Die restlichen Computer in unserem Netzwerk fahren IRIX # @@ifndef SOLARIS @@ifndef LINUX @@ifndef WINDOWS @@define IRIX @@endif @@endif @@endif @@endif # # Jetzt kommen wir zum eigentlichen Start von Tripwire # # Fuer Linux haben wir eine eigene Konfigurationsdatei unter # /usr/local/tripwire/etc/tw.config.linux angelegt. # @@ifdef LINUX
4.1 Tripwire
215
@@include /usr/local/tripwire/etc/tw.config.linux @@else . # # Hier lasse ich einen Großteil der Syntax weg, da Sie die # Argumente darin bereits kennen. # . @@endif . @@ifdef SOLARIS . # # Jetzt definieren wir noch unsere eigenen Variablen und weisen # ihnen Selection Masks zu # @@define privat E @@define geheim R /home/joey @@private /root/online-banking @@geheim . . @@endif . .
Ich hoffe, dieses Beispiel hat Ihnen weiter geholfen und Sie sehen sich nun in der Lage eine eigene zentrale Konfigurationsdatei zu entwerfen.
4.1.5
Funktionsweise
Bevor wir uns näher mit den einzelnen Befehlen von Tripwire auseinander setzen können, sollten wir uns zuerst mit der Funktionsweise dieses Tools beschäftigen. Man kann diese Prozedur in drei Phasen unterteilen: 1. Initialisierung 2. Integritätstest 3. Updatemodus 4. Wir werden nun kurz auf die einzelnen Phasen eingehen und deren Nutzen und Funktionen erläutern. Initialisierung Bei der Initialisierung wird auf Basis der Konfigurationsdatei (tw.config) eine Referenzdatenbank erstellt, welche – wie wir ja bereits besprochen haben – eine Beschreibung der sicherheitsrelevanten Objekte des betroffenen Systems bzw.
216
4 Filesystem Integrity Checker
des betroffenen Netzwerks enthält. Diese Beschreibung ergibt sich aus der Auswahlmaskendefinition, die Sie mit Hilfe der Selection-Masks erstellen. Die dabei erstellte Referenzdatenbank (welche im ASCII Format erstellt wird) müssen Sie nach der Initialisierung auf jeden Fall noch in ein anderes Verzeichnis verschieben. Genaueres dazu werden Sie bei der Besprechung der einzelnen Argumente für den Tripwire-Befehl finden. Beachten Sie bitte, dass Ihr System bei der Initialisierung frei von jeglichen bösartigen Fremdkörpern, die nichts in Ihrem System zu suchen haben, ist. Am besten geeignet dafür ist selbstverständlich ein frisch aufgesetztes System; da dies in der Realität natürlich kaum zu bewerkstelligen ist, sollten Sie durch manuelle Überprüfung einiger systemkritischer Dateien (wie inetd.conf bzw. xinetd.conf oder passwd) sicherstellen, dass sich das System in einem sicheren Zustand befindet. Die Syntax für die Initialisierung werden Sie nach der Besprechung der Funktionsweise erhalten. Integritätstest Diese Phase stellt die eigentliche Systemüberprüfung dar. Auch hierbei wird eine Datenbank auf Basis der Konfigurationsdatei erstellt, welche den aktuellen Stand des Dateisystems widerspiegelt. Der erste Vergleich mit der Referenzdatenbank liefert dabei folgende Informationen:
Anzahl der gescannten Dateien Anzahl der hinzugefügten Dateien Anzahl der gelöschten Dateien
Der folgende genaue Vergleich wendet dann die von Ihnen definierten Auswahlmasken an und gibt Ihnen die Anzahl der noch übrig bleibenden Dateien zurück. Das heißt: Anfangs werden alle Änderungen im System angezeigt, aber nach Anwendung der Regeln zeigt Ihnen Tripwire, ob bei diesen Änderungen Dateien oder Attribute betroffen sind, die Sie durch Ihre Auswahlmasken spezifiziert haben. Die Bildschirmausgabe eines Integritätstests, der keine gefährlichen Änderungen an den Dateien, die in tw.config spezifiziert sind, ausweist, sieht folgendermaßen aus: Linux:~# tripwire ### Phase 1: Reading configuration file ### Phase 2: Generating file list ### Phase 3: Creating file information database ### Phase 4: Searching for inconsistencies ### ### Total files scanned: 231 ### Files added: 0 ### Files deleted: 0
4.1 Tripwire
### ### ### ### ###
217
Files changed:
231
After applying rules: Changes discarded: Changes remaining:
231 0
Dem aufgeführten Listing können Sie entnehmen, dass 231 Dateien geändert wurden, aber dass keine dieser Änderungen auf eine Auswahlmaske zutrifft. Updatemodus Falls Sie eines Tages bemerken, dass der Integritätstest von Tripwire eine Veränderung anspricht, die von Ihnen gewollt wurde, ist es an der Zeit, die Referenzdatenbank auf den neuesten Stand zu bringen, da Tripwire diesen »Missstand« ansonsten bei jedem Durchgang erneut bemängeln würde. Diese Option erlaubt es Ihnen aber auch, Ihre Konfigurationsdatei zu verändern, ohne dabei eine komplette Reinitialisierung veranlassen zu müssen. Sie werden zu diesem Befehl im folgenden Abschnitt mehr erfahren.
4.1.6
Die Tripwire-Befehle
Dieser Abschnitt beschäftigt sich mit den verfügbaren Tripwire-Befehlen, die Ihnen beim Umgang und bei der Pflege Ihres Systems zur Seite stehen. Bevor wir die einzelnen Optionen dazu besprechen, möchte ich Sie darauf hinweisen, dass das eigentliche Tripwire-Programm (also der Integritätstest) aufgerufen wird, falls Sie der Konsole nur den Programmnamen übergeben. Linux:~# tripwire
Sie haben ja bereits bei der Besprechung der Funktionsweise gesehen, wie die Bildschirmausgabe aussehen sollte, falls »nennenswerte« Änderungen auftraten (sprich, wenn Ihre Auswahlmasken nicht berührt wurden). Nun werden wir uns damit beschäftigen, wie Tripwire die Ausgabe gestaltet, falls eine Auswahlmaske betroffen wurde. Wir haben dazu der Datei /joey/neu/test eine Zeile hinzugefügt, und da Tripwire in der Konfigurationsdatei die Maske erhielt, dass diese Datei nicht verändert, sondern nur gelesen werden darf, wird der Integritätstest eine Inkonsistenz bemerken und diese auch anzeigen: Linux:~# tripwire ### Phase 1: Reading configuration file ### Phase 2: Generating file list ### Phase 3: Creating file information database ### Phase 4: Searching for inconsistencies ###
218
4 Filesystem Integrity Checker
### Total files scanned: 232 ### Files added: 0 ### Files deleted: 0 ### Files changed: 232 ### ### After applying rules: ### Changes discarded: 231 ### Changes remaining: 1 ### changed: -rw-r—r—joey 18 Jun 25 19:50:40 2001 /joey/neu/test ### Phase 5: Generating observed/expected pairs for changed files ### ### Attr Observed (what it is) Expected (what it should be) ### ======== ========================= ============================ /joey/neu/test st_ino: 137046 136996 st_size: 18 6 st_mtime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 st_ctime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 md5 (sig1): 1oDgYoDDEL.5g2tFr9W.Nm 2kwNorphIYEyAtMnhMr:kIa snefru (sig2):2.ZirbrL3ZN289TyymBJ5H 27shvz29Wzo.DeyYN38no9
Wie Sie aus dem Listing gut entnehmen können, hat Tripwire die Änderung an unserer Datei bemerkt und uns sofort darüber informiert. Neben dem Integritätsaufruf bietet Tripwire aber noch einige zusätzliche Optionen, welche wir nun besprechen werden: Initialisierung Sie kennen diese Option bereits aus der Besprechung der Funktionsweise. Wir werden sie aber an dieser Stelle trotzdem nochmals ausführlich besprechen. Diese Option werden Sie nicht sehr häufig benutzen, da Sie im späteren Systemlauf durch die Updatefunktion zum Großteil ersetzt werden kann. Sie kommen aber nicht drum herum, die Funktion zum Start Ihres Tripwiresystems zu benutzen, da Sie damit die Referenzdatenbank erstellen. Sie rufen diese Funktion wie folgt auf: Linux:~# tripwire –initialize
Nachdem Sie den Befehl eingegeben haben, erhalten Sie folgende Bildschirmausgabe: ### Warning: ### ### Phase 1:
creating ./databases directory! Reading configuration file
4.1 Tripwire
219
### Phase 2: Generating file list ### Phase 3: Creating file information database ### ### Warning: Database file placed in ./databases/ tw.db_rechnername ### ### Make sure to move this file and the configuration ### to secure media! ### ### (Tripwire expects to find it in ‘/etc/tw’.)
Wie Sie der Bildschirmausgabe entnehmen können, erstellt Tripwire ein Verzeichnis namens databases im Verzeichnis, in dem Sie sich beim Aufruf des Befehls befunden haben. Dort speichert es die Datenbank unter dem Namen tw.rechnername (wobei rechnername durch den Rechnernamen Ihres Systems zu ersetzen ist). Danach werden Sie aufgefordert die Datenbank und die Konfiguration auf ein sicheres Medium zu speichern. Sie erhalten zusätzlich den Hinweis, dass Tripwire die Datenbank in dem Verzeichnis /etc/tw vermutet. Sie sollten – falls Sie sich dazu entscheiden, die Datenbank in diesem Verzeichnis aufzubewahren – das Read-Only-Flag für dieses Verzeichnis setzen. Eine weitaus sicherere Methode wäre es aber, die Datenbank auf eine CD zu brennen, da bei dieser Methode definitiv keine Änderungen daran vorgenommen werden können (Falls ein Angreifer Rootrechte erlangt, könnte er das Read-Only-Flag für das Verzeichnis problemlos wieder entfernen.) Vergessen Sie bei dieser Methode aber nicht die CD auf /etc/tw zu mounten. Wir werden uns im weiteren Verlauf dieses Kapitels noch intensiver mit der Sicherung der Datenbank beschäftigen. Fürs Erste denke ich aber, dass Sie alles Nötige wissen. Updatemodus Auch diese Option kennen Sie bereits aus der Besprechung der Funktionsweise von Tripwire. Um Ihnen die Vorteile und Möglichkeiten diese Option näher zu bringen, werde ich ein Beispiel aus dem alltäglichen Administratorleben benutzen (dieses Beispiel ist zwar etwas stupide, aber es erfüllt seinen Zweck): Nehmen wir an, Sie bemerken (beziehungsweise der Tripwire-Integritätstest bemerkt dies bei einem seiner Scandurchläufe), dass ein von Ihrem Unternehmen entwickelter Server namens fishd als changed dargestellt wird (Ursache dafür könnte sein, dass Sie Tripwire gesagt haben, dass die Größe dieser Datei stets gleich bleiben muss). Nachdem Sie sich mit Entwicklern in Ihrem Hause unterhalten haben, kommen Sie zum Ergebnis, dass dieser Vorfall völlig legitim war (ihre Entwickler haben etwas Code hinzugefügt und deshalb wurde die Datei größer). Natürlich sollte man das auch Tripwire mitteilen, da es ansonsten bei jedem Scandurchlauf diesen Missstand anzeigen wird. Ein Weg, um dieses Problem zu lösen, ist eine komplett neue Referenzdatenbank zu erstellen. Das ist aber eher der
220
4 Filesystem Integrity Checker
»grobe« Weg. Tripwire bietet einen viel eleganteren Modus, um bestimmte Änderungen wirksam zu machen. Mit dem Updatemodus können Sie schnell und einfach die Änderung des Servers in die Referenzdatenbank aufnehmen, so dass auch Tripwire über die neue Größe der Datei Bescheid weiß. Da der Server unter /usr/sbin liegt und die Datei fishd heißt, ergibt sich folgender Befehl: Linux:~# tripwire –update /usr/sbin /usr/sbin/fishd
Nachdem Sie den Befehl eingegeben haben, werden Sie folgende Bildschirmausgabe erhalten, welche Sie über die Aktualisierung informiert: ### Phase 1: Reading configuration file ### Phase 2: Generating file list Updating: update entry: /usr/sbin Updating: update file: /usr/sbin/fishd ### Phase 3: Updating file information database ### ### Old database file will be moved to ‘tw.rechnername.old’ ### in ./databases ### ### Update database will be stored in ‘./databases/tw.rechnername’ ### (Tripwire expects it to be moved to ‘/etc/tw’.) ###
Wie Sie sehen können, wird die alte Datenbank zu tw.rechnername.old umbenannt und eine neue Referenzdatenbank mit den aktualisierten Informationen erstellt, welche Sie wieder in das angegebene Verzeichnis verschieben müssen. Automatische Aktualisierung Diese – durchaus brauchbare und praktische – Funktion ist mit Vorsicht zu genießen. Sie haben in den vorhergehenden Abschnitten gesehen, in welchen Schritten ein Integritätstest und ein nötiges Update eines Eintrages ablaufen: 1. Tripwire-Integritätstest 2. Bericht über Änderung an Objekt 3. eventuelle Aktualisierung der Datenbank 4. Im Grunde bietet die Funktion, die wir jetzt besprechen, die Möglichkeit all diese Schritte durch einen einzigen Befehl zu bewerkstelligen. Sie lassen also Tripwire nach Inkonsistenten in Ihrem Dateisystem suchen, erhalten danach einen Bericht über mögliche Treffer und können die betroffenen Objekte und Felder sofort aktualisieren. Auf den ersten Blick eine sehr praktische Funktion. Doch sie hat zwei entscheidende Nachteile:
4.1 Tripwire
221
Der Administrator muss bei jedem Integritätstest anwesend sein, um mögliche Aktualisierungen vornehmen zu können. Bei einem normalen Test ist dies nicht notwendig. Der Systemverwalter könnte die Bildschirmausgabe zum Beispiel in eine Datei umleiten, die er sich dann automatisch zuschicken lässt, oder er könnte diese Datei mit einem Skript auf Inkonsistenten untersuchen und, falls eine Gefahrenquelle entdeckt wurde, könnte dieses Skript den Administrator automatisch per E-Mail oder SMS (mit Hilfe des Pakets yaps) über die Lage benachrichtigen. Man wird leichtfertig und vergibt Updates schneller und leichter, als man dies täte, wenn man sie per Hand eingeben müsste.
Sie müssen also selbst entscheiden, was für Sie am besten geeignet ist. Seien Sie aber vorsichtig damit und machen Sie lieber einige Handgriffe mehr. Nachdem wir jetzt die Funktion kennen, können wir uns mit der Bildschirmausgabe, die wir bei einer gefunden Inkonsistenz (wir benutzen dafür wieder unsere Datei test aus dem vorhergehenden Beispiel) erhalten, beschäftigen. Der Aufruf dieser Funktion geschieht über folgenden Befehl: Linux:~# tripwire –interactive
Und hier die dadurch entstehende Bildschirmausgabe: ### Phase 1: Reading configuration file ### Phase 2: Generating file list ### Phase 3: Creating file information database ### Phase 4: Searching for inconsistencies ### ### Total files scanned: 232 ### Files added: 0 ### Files deleted: 0 ### Files changed: 232 ### ### After applying rules: ### Changes discarded: 231 ### Changes remaining: 1 ### changed: -rw-r—r—joey 18 Jun 25 19:50:40 2001 /joey/neu/test ### Phase 5: Generating observed/expected pairs for changed files ### ### Attr Observed (what it is) Expected (what it should be) ### ======== ========================= ============================ /joey/neu/test st_ino: 137046 136996 st_size: 18 6 st_mtime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001
222
4 Filesystem Integrity Checker
st_ctime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 md5 (sig1): 1oDgYoDDEL.5g2tFr9W.Nm 2kwNorphIYEyAtMnhMr:kIa ----> File: ‘/joey/neu/test’ ----> Update entry [YN(y)nh?] Updating entry : /joey/neu/test ### Updating database... ### ### Phase 1: Reading configuration file ### Phase 2: Generating file list Updating: update entry: /joey/neu/test ### Phase 3: Updating file information database ### ### Old database file will be move to ‘tw.rechnername.old’ ### in ./databases ### ### Updated database will be stored in ‘./databases/ tw.rechnername’ ### (Tripwire expects it to be moved to ‘/etc/tw’.) ### ### ### If you changed the tw.config file, remember to run ### ‘twdb_check.pl’ to ensure database consistency. ### See the README file for details
Anhand dieses Listings können Sie gut erkennen, wie einfach es einem gestressten Systemverwalter gemacht wird, bestimmte Einträge zu aktualisieren. Wie Sie sehen können, läuft der Integritätstest genauso ab wie beim normalen Aufruf von Tripwire. Doch am Ende des Tests werden Sie gefragt, ob Sie die auffälligen Einträge aktualisieren wollen. Dabei stehen Ihnen grundsätzlich drei Optionen zur Verfügung. 1. Nein (Nn) 2. Ja (Yy und Defaultwert, falls Sie keine Angabe machen) 3. Aufruf einer kleinen Hilfefunktion (h?) 4. An Punkt zwei können Sie eine weitere Tücke erkennen. Falls Sie keine Angaben über die Aktualisierung eines Eintrages machen, so kommt der Defaultwert zum Zuge, der ein Update des Eintrages initialisiert. 5. Nachdem Sie Tripwire mitgeteilt haben, welche Einträge Sie aktualisieren möchten, erhalten Sie dieselben Ausgaben wie beim normalen Updatemodus. Mit einem Unterschied: 6. Sie werden darauf hingewiesen, das Skript twdb_check.pl aufzurufen, um die Datenbank zu überprüfen. Mit Hilfe dieses Befehls (er sollte sich bei der Installation automatisch nach /usr/sbin kopieren) können Sie die Integrität der
4.1 Tripwire
223
Datenbank testen. Die Syntax ist – wie Sie sehen – einfach: twdb_check.pl
Test–tuning Wenn Sie Tripwire nutzen wollen, um sehr große Datenmengen zu überprüfen, merken Sie bald, dass jeder Test viel Rechenzeit verschlingt und eine gewisse Zeit bis zur Abarbeitung benötigt. Tripwire bietet Ihnen mit der --ignore-Funktion ein Hilfsmittel, um schnelle Tests durchzuführen. Doch auch dieses Bonbon ist mit Vorsicht zu genießen, da die Funktion den Performancegewinn durch das Ausblenden bestimmter spezifizierter Auswahlmasken erreicht, was wiederum zu einem enormen Informationsverlust führen kann. Es wäre aber durchaus denkbar, dass Sie zum Beispiel täglich einen kompletten Integritätstest durchführen und sich bei der stündlichen Überprüfung Ihres Systems auf die abgespeckte Variante verlassen. Der Aufruf dieser Funktion erfolgt über folgende Syntax: Linux:~# tripwire –-ignore Selection Mask
Falls diese Funktion bei Ihnen nicht funktioniert, haben Sie Möglichkeit (außer bei den brandneuen Versionen) auf die Funktion loosedir auszuweichen, die grundsätzlich ähnliche Vorteile bietet. Sie können aber dabei (im Gegensatz zu ignore) selbst bestimmen, welche Masken Sie ignorieren wollen. Es werden automatisch folgende Flags ausgeblendet:
st_size st_nlinks st_mtime st_ino
Auch hier erfolgt der Aufruf in gewohnter Manier: Linux: tripwire –loosedir
Die Bildschirmausgabe, die Sie dabei erhalten, unterscheidet sich nicht von der eines normalen Integritätstests und wird daher nicht extra aufgeführt. Alternative Datenbank Falls Sie mehrere Datenbanken auf Ihrem System gespeichert haben, können Sie auch eine alternative Datenbank spezifizieren. Tripwire wird dann diese anstatt der Datenbank, die sich in dem Defaultverzeichnis befindet, verwenden. Der Aufruf erfolgt über folgende Syntax: Linux:~# tripwire –-dbfile Datenbank
224
4 Filesystem Integrity Checker
Auch hier führen wir die Alternative für andere Systeme (Versionen) auf: Linux:~# tripwire –d Datenbank
Alternative Konfigurationsdatei Neben einer alternativen Datenbank können Sie bei Tripwire auch eine alternative Konfigurationsdatei angeben, die dann anstelle der Konfigurationsdatei, welche sich im Defaultverzeichnis befindet, verwendet wird. Der Aufruf verbirgt auch bei dieser Funktion keine großen Überraschungen: Linux:~# tripwire –-cfgfile Konfigurationsdatei
Auch hier führen wir die Alternative für andere Systeme (Versionen) auf: Linux:~# tripwire –c Konfigurationsdatei
Datenbank aus File Descriptor lesen Eine äußerst praktische und ressourcensparende Methode, ideal für Verschlüsselung und Packen. Die Syntax ist auch hier sehr einfach gehalten: Linux:~# tripwire –dfd Open File Descriptor
Konfigurationsdatei aus File Descriptor lesen Sie haben auch die Möglichkeit, die Konfigurationsdatei aus einem File Descriptor zu lesen. Die Syntax ist den bereits bekannten Befehlen sehr ähnlich: Linux:~# tripwire –cfd Open File Discriptor
Variablen definieren Sie haben ja bereits eine Möglichkeit kennen gelernt, um Variablen zu definieren. Außer dem Preprocessor @@define gibt es aber noch einen anderen Weg, das zu erledigen. Sie können mit dem Befehl –Dvar eine Variable als String definieren. Die Initialisierung und Bildschirmausgabe können Sie im folgenden Listing ersehen: Linux:~# tripwire –Dvar=string
Zum besseren Verständnis werfen Sie einen Blick auf die Bildschirmausgabe: Linux:~# tripwire –DOS=LINUX ### Phase 1: Reading configuration file ### Phase 2: Generating file list ### Phase 3: Creating file information database ### Phase 4: Searching for inconsistencies ### ### Total files scanned: 232 ### Files added: 0 ### Files deleted: 0
4.1 Tripwire
225
### Files changed: 232 ### ### After applying rules: ### Changes discarded: 231 ### Changes remaining: 1 ### changed: -rw-r—r—joey 18 Jun 25 19:50:40 2001 /joey/neu/test ### Phase 5: Generating observed/expected pairs for changed files ### ### Attr Observed (what it is) Expected (what it should be) ### ======== ========================= ============================ . . .
Wie Sie der Initialisierung entnehmen können, haben Sie mit diesem Befehl die Möglichkeit einer Variable einen bestimmten Wert zuzuweisen. Nachdem Sie das getan haben, wird die Initialisierung – mit der neuen Variable – wie gewohnt durchgeführt. Variablendefinition rückgängig machen Nachdem Sie nun einen Weg gesehen haben, der es Ihnen erlaubt, Variablen von der Konsole aus zu definieren, werden Sie jetzt das Gegenstück dazu kennen lernen, mit dem Sie die Möglichkeit haben, definierte Variablen zu »un-definieren« (sprich die Definition der Variable rückgängig zu machen): Linux:~# tripwire –Uvar
Auch hier ein kleiner Ausschnitt aus der Bildschirmausgabe: Linux:~# tripwire –UOS ### Phase 1: Reading configuration file ### Phase 2: Generating file list ### Phase 3: Creating file information database ### Phase 4: Searching for inconsistencies ### ### Total files scanned: 232 ### Files added: 0 . . .
Genauso wie bei der Definition bestimmter Variablen wird bei diesem Befehl der Integritätstest wie gewohnt durchgeführt.
226
4 Filesystem Integrity Checker
Signaturtest unterbinden Es kann durchaus Situationen im Leben eines Administrators geben, bei denen er einen schnellen Integritätstest braucht. Wir haben ja bereits einige Möglichkeiten gesehen, wie man dies erreichen kann. Einer der leichtesten Wege den Test zu beschleunigen ist, nur eine oder wenige Signaturen anfertigen zu lassen (ein stabiler, aussagekräftiger und sicherer Integritätstest benutzt mehrere Algorithmen, um die Signatur zu bestimmen). Das folgende Listing zeigt die Signaturbestimmung unserer beliebten Datei test durch die Algorithmen MD5 und snefru. . . . ### Attr Observed (what it is) Expected (what it should be) ### ======== ========================= ============================ /joey/neu/test st_ino: 137046 136996 st_size: 18 6 st_mtime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 st_ctime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 md5 (sig1): 1oDgYoDDEL.5g2tFr9W.Nm 2kwNorphIYEyAtMnhMr:kIa snefru (sig2):2.ZirbrL3ZN289TyymBJ5H 27shvz29Wzo.DeyYN38no9
Natürlich braucht der Rechner einige Zeit, bis er die zu bestimmenden Signaturen berechnet hat, wie bereits erwähnt, können Sie Tripwire dazu bringen, bestimmte Signaturberechnungen zu übergehen. Der Befehl hierfür muss lauten: Linux:~# tripwire –i Algorithmen
Falls Sie mehrere Algorithmen übergehen möchten, müssen Sie diese durch Kommas voneinander trennen. Das folgende Listing zeigt die Bildschirmausgabe, die wir erhalten, wenn wir wollen, dass nur durch snefru eine Signatur berechnet wird. Die MD5–Berechnung soll also wegfallen. Linux:~# tripwire –i 1 . . . ### Attr Observed (what it is) Expected (what it should be) ### ======== ========================= ============================ /joey/neu/test st_ino: 137046 136996 st_size: 18 6 st_mtime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 st_ctime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 snefru (sig2):2.ZirbrL3ZN289TyymBJ5H 27shvz29Wzo.DeyYN38no9
4.1 Tripwire
227
Wie Sie sehen können, wurde die MD5–Berechnung nicht ausgeführt und der Vorgang beschleunigt. Falls Sie wollen, dass überhaupt keine Signaturberechnung durchgeführt wird, können Sie dies mit folgendem Befehl verwirklichen: Linux:~# tripwire –i all
Die Bildschirmausgabe hierzu lautet: . . . ### Attr Observed (what it is) Expected (what it should be) ### ======== ========================= ============================ /joey/neu/test st_ino: 137046 136996 st_size: 18 6 st_mtime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001 st_ctime: Mon Jun 25 19:50:40:2001 Mon Jun 25 19:49:31 2001
Durch die Eingabe des oben aufgeführten Befehls wurde keine Signaturberechnung durchgeführt. Konfiguration testen Mit der folgenden Funktion haben Sie die Möglichkeit Ihre Konfiguration zu testen, da bei diesem Befehl nur ein »preprocess« der Konfigurationsdatei zu machen und diese dann auf die Standardausgabe zu werfen ist. Der Aufruf dieses Befehls lautet: Linux:~# tripwire –E
oder Linux:~# tripwire –preprocess
Minimaler Output Falls Sie das Output eines Integritätstests nicht in eine Datei zur Weiterverarbeitung durch ein Skript geben, kann es sehr lästig sein, wenn viele Anomalien entdeckt wurden, da die Ausgabe dadurch enorm lang wird. Abhilfe schafft der hier vorgestellte Befehl, da er Tripwire veranlasst jeweils nur eine Zeile pro geänderter Datei auszugeben. Der Aufruf erfolgt über folgenden Befehl: Linux:~# tripwire –q
Falls das bei Ihnen nicht funktioniert, versuchen Sie bitte folgende Alternative (diese Option hat zwar nicht exakt dieselben Eigenschaften, aber sie schränkt ebenfalls die Ausgabe ein): Linux:~# tripwire –quiet
228
4 Filesystem Integrity Checker
Maximaler Output Mit dem Verbose Modus haben Sie die Möglichkeit alle von Tripwire gescannten Dateien auf die Standardausgabe werfen zu lassen. Falls Ihnen diese Option sinnlos erscheint, bedenken Sie, dass sie bei der Fehlersuche enorm hilfreich sein kann. Stellen Sie sich dazu einfach vor, Sie haben die Vermutung, dass Tripwire – aus irgendwelchen Gründen– die Datei /joey/neu/test2 nicht scannt. Mit dem Verbose Modus können Sie dies leicht überprüfen. Leiten Sie dazu die Ausgabe des Verbose Modus einfach in eine Datei um. Danach gehen Sie in das betreffende Verzeichnis (/joey/neu) und geben dort den find-Befehl ein, dessen Ausgabe Sie wiederum in eine Datei umleiten. Danach benutzen Sie den diff-Befehl, um zu sehen, ob Tripwire die Datei test2 wirklich nicht scannt. Hilfe über Inodes Falls Sie mehr über die Inodes erfahren wollen, können Sie diesen Befehl benutzen: Linux:~# tripwire –help
Versionsnummer ausgeben lassen Um sich die Versionsnummer ausgeben zu lassen, benutzen Sie bitte folgenden Befehl: Linux:~# tripwire –version
4.1.7
Schutz der Datenbank
Nach der Lektüre des bisherigen Kapitels sollten Sie fit im Umgang mit Tripwire sein. Bevor ich Sie aber »aus diesem Kurs entlassen« kann, möchte ich noch ein Wort über die Datenbank und den Schutz dafür verlieren. Wir haben bereits bei der Initialisierung gesehen, dass Ihnen Tripwire vorschlägt, die Datenbank auf ein sicheres (READ-ONLY) Medium zu verfrachten. Ich möchte Ihnen hierbei auch ans Herz legen, dies ernst zu nehmen. Dabei ist es wichtig, dass das Medium selbst die READ-ONLY Flag gesetzt hat, das heißt, die READ-ONLYFlag sollte physikalisch und nicht logisch sein. Denn logischerweise kann jede logische Barriere durch logisches Handeln wieder aufgehoben oder zumindest umgangen werden. Mein Vorschlag (ich weiß, ich wiederhole mich bei diesem Punkt, aber er ist wirklich wichtig) ist daher, die Datenbank auf eine CD zu brennen, diese CD in ein CD-Rom bzw. ein DVD-Rom zu legen und ins Dateisystem einzuhängen. Zusätzlich zu diesem Schutz können Sie mit dem Tripwire–Tool siggen die Signatur der Datenbank überprüfen (praktisch, wenn Sie keinen lokalen Zugriff auf die CD-Rom haben und sie theoretisch unbemerkt ausgewechselt werden könnte). Die Handhabung dieses Tools ist einfach.
4.1 Tripwire
229
Nachdem Sie die Datenbank erstellt und auf die CD gebrannt haben, wenden Sie das Tool an, um die Signatur zu berechnen. Danach können Sie ein Skript schreiben, welches durch einen Croneintrag täglich überprüft, ob sich die Signatur und damit die Authentizität der Datenbank geändert hat. Dies mag etwas paranoid erscheinen, bietet aber einen ziemlich sicheren Weg, um Angreifern wieder eine Barriere mehr in den Weg zu stellen. Die Syntax für das siggen-Tool lautet wie folgt: Linux:~# siggen –Option Konfigurationsdatei
Tabelle 4.5 enthält alle verfügbaren Optionen zu siggen. Option
Beschreibung
-h
Gibt die Signatur hexadezimal anstatt base 64 aus
-q
Gibt alle Signaturen in einer Zeile aus und lässt somit weitergehende Informationen weg
-a
Es werden alle Signaturen berechnet (Defaultwert)
-v
Verbose Modus (Defaultwert)
-0
Berechnet 0 Signatur
-1
Berechnet MD5 Signatur
-2
Berechnet snefru Signatur
-3
Berechnet CRC 32 Signatur
-4
Berechnet CRC 16 Signatur
-5
Berechnet MD4 Signatur
-6
Berechnet MD2 Signatur
-7
Berechnet SHA Signatur
-8
Berechnet Haval Signatur
-9
Berechnet 0 Signatur (Reserviert für zukünftigen Gebrauch) Tabelle 4.5 Verfügbare Optionen für siggen
Um den Abschnitt über Tripwire endgültig abzuschließen, können Sie die Verwendung von siggen anhand des folgenden Listings einsehen: Linux:~# siggen /etc/tw/tw.linux sig0: nullsig: 0 sig1: md5 : 1UESQLg04KTxCswAXxnkr sig2: snefru : 1pdbqHak2P42KbnlsyEcqA sig3: crc32 : 17UDxV sig4: crc16 : 000EJQ sig5: md4 : 0jUn3uxIMxJ2gTe.:pIeoB sig6: md2 : 1j9rITQBzWsFqgjV.9Qmdq sig7: sha : 677qhN468Wvtzpuhvw4IZaptiLV sig8: haval : 0v5vAv59leWQm4b0UxGMH9 sig9: nullsig: 0
230
4.2
4 Filesystem Integrity Checker
MD5Sum
Wenn es um die Installation eines Tools ging, habe ich im Laufe des Buches sehr oft gesagt, dass Sie die Herkunft des Programms genau überprüfen sollen. Außerdem habe ich Ihnen des Öfteren ans Herz gelegt, dass Sie das frisch heruntergeladene Tool auf Echtheit hin überprüfen. Zumeist wird dafür auf den Downloadseiten eine MD5-Checksum angeboten. Wir werden in diesem Abschnitt des Buches nun das Tool besprechen, mit dem Sie 128-Bit-Prüfsummen leicht überprüfen können.
4.2.1
Syntax
Da dieses Tool nicht weiter beschrieben werden muss, können wir uns sofort mit der zu verwendenden Syntax beschäftigen. Aufruf Der allgemeine Aufruf dieses Programms lautet wie folgt: Linux:~# md5sum [Optionen] Datei
Falls Sie keine Datei oder den Platzhalter »-« stattdessen angeben, liest MD5sum von der Standardeingabe (STDIN). Optionen Da dieses Tool alles andere als schwer zu bedienen ist, werden wir uns sofort mit den verfügbaren Optionen, die Sie in Tabelle 4.6 erkennen können, beschäftigen. Option
Beschreibung
-b, --binary
Hiermit werden alle Eingabedateien als Binarydateien behandelt. Für uns Linuxbenutzer spielt diese Option keine große Rolle, da UNIX-Systeme nicht zwischen Textdateien und Binaries unterscheiden.
--status
Diese Option ist nur dann sinnvoll, wenn Sie Checksummen überprüfen.
-t, --text
Hiermit werden alle Binarydateien als Textfiles behandelt. Diese Option ist das Gegenstück zur Option »--binary«.
-w, --warn
Wenn Checksummen überprüft werden, wird bei nicht richtig formatierten MD5-Checksummen gewarnt. Diese Option kann sehr hilfreich sein, wenn alle Checksummen mit einigen wenigen Ausnahmen als gültig erkannt wurden. Tabelle 4.6 Verfügbare Optionen
5 Verschlüsselung Der Begriff Verschlüsselung hat wohl zusammen mit dem Ausdruck Firewall die Securitybranche in den letzten Jahren geprägt. Jede wichtige Datei wird mehr oder weniger sicher verschlüsselt oder gehashed. Wir wollen uns in diesem Kapitel nicht mit der Theorie der Verschlüsselung oder mit zur Verfügung stehenden Algorithmen beschäftigen. Es geht uns hauptsächlich darum, die wichtigsten Tools, die es in diesem Sektor gibt, kurz vorzustellen und Ihnen die Möglichkeiten dieser Programme näher zu bringen.
5.1
Gnu PG (GPG)
GPG ist die Open-Source-Alternative zu dem weit verbreiteten E-Mail- und Dateiverschlüsselungsprogramm PGP. Bis vor kurzem hatte dieses geniale Tool aber einen entscheidenden Nachteil. Da keine eigene Bibliothek vorhanden war, war es für Entwickler äußerst mühselig die Funktionen (Verschlüsselung nach dem Public-Key-Verfahren) in eigenen Programmen verfügbar zu machen. Seit GPGME ist dies aber kein Problem mehr.
5.1.1
Funktionsweise
GPG arbeitet – wie PGP auch – nach dem Public-Key-Verfahren. Im Gegensatz zu einer »normalen« Verschlüsselung, bei der der Absender die zu sendende Nachricht mit demselben Schlüssel verschlüsselt, mit dem auch der Empfänger die Nachricht wieder entschlüsselt, bringt dieses Verfahren, da es zwei Schlüssel benutzt, enorme Sicherheitsvorteile. Wie Sie sich denken können, hat die »normale« Verschlüsselung mit nur einem Schlüssel eine große Sicherheitslücke, da hierbei der Schlüssel auf einem – potentiell unsicheren – Kommunikationsweg (zum Beispiel E-Mail) verschickt werden muss. Ist es einem Angreifer möglich, diese E-Mail abzufangen, kann er die folgende – geheime – Kommunikation der beiden beteiligten Seiten problemlos entschlüsseln und mit verfolgen. Anders sieht die Sache aus, wenn sich die beiden Partner entschlossen haben, das Public-Key-Verfahren zu verwenden. Dort läuft der Kommunikationsvorgang folgendermaßen ab: Der Absender besorgt sich den öffentlichen Schlüssel des Empfängers (Website, E-Mail usw.). Danach verschlüsselt er die abzusendende Nachricht mit diesem Schlüssel. Auf dem Weg zum Empfänger wird diese Nachricht ebenfalls von einem Angreifer abgefangen, der – genauso wie der Absender – den öffentlichen Schlüssel des Benutzers besitzt. Beim Versuch, die abgefangene Mail zu ent-
232
5 Verschlüsselung
schlüsseln, hat der Angreifer aber wenig Erfolg, da sich die Nachricht nicht mit dem öffentlichen Schlüssel entschlüsseln lässt. Dies ist nur mit dem privaten Schlüssel möglich, den – idealerweise – nur der Empfänger besitzt. Außerdem ist es nicht möglich, aus dem öffentlichen Schlüssel den privaten abzuleiten. Wie Sie sehen, ist das Public-Key-Verfahren relativ sicher. Aber auch diese Methode hat eine potentielle Schwachstelle. Nehmen wir an, unser Angreifer weiß, dass User A User B seinen öffentlichen Schlüssel schicken will, damit sie eine sichere Datenkommunikation initiieren können. Falls es dem Angreifer nun gelingt, die E-Mail von A an B abzufangen, ist er im Besitz des öffentlichen Schlüssels. Wir haben ja bereits gesehen, dass dies noch kein Grund zur Sorge ist, er kann die Nachrichten immer noch nicht entschlüsseln, denn dafür braucht er den privaten Schlüssel. Auf den ersten Blick besteht der einzige Nachteil darin, dass User B die E-Mail nicht bekommen hat. Dies ist aber auch nicht weiter tragisch, er kann sie ja erneut anfordern. Schlimm wird es erst, wenn der Angreifer die ursprüngliche E-Mail von User A an B modifiziert und damit den originalen öffentlichen Schlüssel mit einem von ihm generierten Schlüssel austauscht und danach an User B weiterleitet. User B antwortet auf diese Mail und bestätigt dabei User A, dass er den öffentlichen Schlüssel erhalten hat. Beide User denken, dass alles in Ordnung ist, und beginnen mit der Übertragung der sensiblen Daten. Der gewiefte Angreifer fängt nun aber jede E-Mail ab entschlüsselt sie und leitet Sie – modifiziert – an die jeweiligen Kommunikationspartner weiter. Weder A noch B werden merken, dass sie Opfer eines Angriffs wurden. Aber auch hierfür bietet GPG Abhilfe. GPG (und auch PGP) lassen es zu, öffentliche Schlüssel unterschreiben zu lassen. Diese Unterschriften sollen dem Empfänger zeigen, dass der Schlüssel auch zu der richtigen Person passt. Man sollte natürlich die Leute, die unterschrieben haben, kennen und ihnen auch vertrauen.
5.1.2
Installation
Als sicherheitsinteressierter Administrator haben Sie sicher die Probleme mit der Ausfuhr von PGP aus den USA in andere Länder mitbekommen. Falls nicht, möchte ich Sie bitten die dementsprechenden Berichte auf der Buchseite zu lesen, da das Buch hier dafür nicht der geeignete Rahmen ist. Durch die erwähnten Probleme (Kryptographie ist den Vereinigten Staaten Rüstungsgut) können Sie sich GPG (wie auch PGP) nicht von amerikanischen Servern downloaden. Da es aber genügend europäische Server gibt, stellt dies definitiv kein Problem dar. Es ist auch nicht strafbar, wenn Sie GPG in die USA einführen. Besorgen Sie sich eine aktuelle und stabile Version von der Buchseite oder offiziellen Seite www.gnupg.org (Sie können auch im Paketverzeichnis Ihrer Distribu-
5.1 Gnu PG (GPG)
233
tion nachschauen, die meisten führen das Paket). Sie haben dabei die Auswahl aus drei Paketen: 1. Debian Paket 2. RedHat RPM 3. Source Code 4. Wir werden an dieser Stelle die Installation der Pakete eins und zwei besprechen. RedHat RPM Das easy-to-use-Paket RPM sollte keine allzu großen Schwierigkeiten bereiten, daher werden wir nur den Aufruf anführen: Linux:~# gnupg-version.rpm
Und schon ist das Paket installiert! Source Code Vom gepackten Paket bis zum fertig kompilierten und installierten Programm sind es nur fünf Schritte, die Sie im Folgenden sehen werden. Linux:~# Linux:~# Linux:~# Linux:~# Linux:~#
tar -xfz gnupg-version.tar.gz cd gnupg-version ./configure make make install
Falls Sie GPG mit anderen Optionen kompilieren wollen, sind dementsprechende Änderungen vorzunehmen. Nachdem Sie das Paket nun installiert haben, können wir uns daran machen, dieses wirklich gute Tool genau zu besprechen. Ich werde an dieser Stelle aber zwei Besprechungen anbieten. 1. Die erste Besprechung wird anhand des Mini-Howtos auf der offiziellen Gnupgp Seite stattfinden. Dort werden Sie sehen, wie Sie mit wenigen und nicht komplizierten Schritten die wichtigsten Features von GPG sinnvoll nutzen können. 2. Die zweite Besprechung ist eher eine Referenz als eine Besprechung. Ich werde versuchen Ihnen alle möglichen Optionen und Features dieses umfangreichen Programms aufzuzählen und näher zu bringen.
234
5.1.3
5 Verschlüsselung
Besprechung 1 (Howto)
In dieser Besprechung werden Sie erfahren, wie Sie mit wenig Aufwand viel erreichen können. Falls Sie aber alle Features von GPG nutzen wollen, schlage ich Ihnen vor einen Blick auf Besprechung Nummer 2 zu werfen. Dort finden Sie alle verfügbaren Optionen und Argumente. Hinweis zur Sprache der Listings Die von mir verwendete Version von GPG unterstützt die deutsche Sprache. Falls Sie aber eine andere Version benutzen, werden die Listings möglicherweise in Englisch ausgeworfen. Ich möchte hierbei betonen, dass die Ausgaben der Listings nicht von mir übersetzt worden sind, sondern zum Bestandteil der von mir verwendeten Distribution von GPG gehören. Schlüssel Wie Sie bereits bei der Besprechung erfahren haben, brauchen Sie für die Verund Entschlüsselung Ihrer E-Mails zwei Schlüssel: 1. einen öffentlichen 2. einen privaten Schlüsselpaar erzeugen Um dieses Schlüsselpaar zu erzeugen benutzen Sie den Befehl --gen-key Nachdem Sie der Kommandozeile diesen Befehl übergeben haben, sollten Sie folgendes Listing erhalten: Linux:~# gpg --gen-key gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc. This programm comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ELGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (3) ELGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl?
Wie Sie sehen können, müssen Sie nun den zu verwendenden Algorithmus aussuchen. Sie sollten die Nummer 1 wählen. Wenn Sie Ihre Auswahl getroffen haben, erhalten Sie die folgende Bildschirmausgabe:
5.1 Gnu PG (GPG)
235
. . . Ihre Auswahl? 1 Der DSA Schlüssel wird 1024 Bit haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Welche Schlüssellänge wünschen Sie? (1024)
Jetzt ist es an der Zeit, die Schlüssellänge zu bestimmen. Dabei kann ich Ihnen leider sehr schlecht weiterhelfen. Sie sollten dabei aber beachten, dass die Länge des Schlüssels die Sicherheit und die Performance enorm beeinträchtigen kann. Wählen Sie zum Beispiel den kleinsten Schlüssel von 768 Bit, werden Ihre Daten schnell verschlüsselt und Sie werden kaum einen Performanceverlust spuren. Die Sicherheit ist bei dieser Verschlüsselungsart aber nicht allzu groß. Setzen Sie aber auf große Sicherheit und wählen einen Schlüssel über 2000 Bit, so werden Ihre Daten zwar sicher sein, aber die Performance wird spürbar sinken. Sie müssen also selbst entscheiden, was für Sie und Ihre Daten wichtig ist. Falls Sie zum Großteil Glückwunschkarten versenden, sollte es der Standardschlüssel mit 1024 tun, falls Sie aber sensitive Daten vertreiben, ist ein Schlüssel mit 2048 Bit geradezu ein Muss. Wir werden an dieser Stelle eine Schlüssellänge von 1024 Bit wählen. Danach erhalten Sie eine weitere Ausgabe, die Sie auffordert weitere Daten anzugeben: . . . Welche Schlüssellänge wünschen Sie? (1024) 1024 Die verlangte Schlüssellänge beträgt 1024 Bit Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie = Schlüssel verfällt nach n Tagen w = Schlüssel verfällt nach n Wochen m = Schlüssel verfällt nach n Monaten y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0)
Zu diesem Zeitpunkt werden Sie gefragt, wann die Gültigkeit des erstellten Schlüssels verfallen soll. Auch diese Angabe sollten Sie wieder nach Ihren Bedürfnissen machen. Bedenken Sie dabei aber auch die Umstellungen, die bei einer Schlüsseländerung auf Sie zukommen. Wir wollen, dass der Schlüssel nie verfällt.
236
5 Verschlüsselung
. . . Der Schlüssel bleibt wie lange gültig? (0) 0 Der Schlüssel verfällt nie. Ist dies richtig? (j/n) j
Nachdem wir dies bestätigt haben, werden wir gebeten Informationen zu übergeben, aus denen GPG unsere Benutzer-ID erstellen wird. Eine Benutzer-ID ist notwendig, damit der Schlüssel eindeutig identifiziert werden kann. Beachten Sie die Korrektheit der Angaben und insbesondere der E-Mail-Adresse, da damit die komplette Benutzererkennung unterschrieben wird. . . . Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) [email protected] " Ihr Name ("Vorname Nachname"): Josef Brunner E-Mail-Adresse: [email protected] Kommentar: freiberuflicher Sicherheitsberater und Programmierer Sie haben diese User-ID gewählt: "Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) [email protected] " Ändern (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? F
Nachdem Sie die gewünschten und benötigten Angaben korrekt gemacht haben, haben Sie die Wahl Änderungen an bestimmten Stellen vorzunehmen, falls die Angaben aber korrekt sind, können Sie mit (F) den nächsten Schritt einleiten. Mit der Taste (B) brechen Sie ab. . . . Ändern (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? F
Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen. Ein Mantra ist eine Art Passphrase, das heißt es können auch Leerzeichen darin vorkommen. Wählen Sie ein sicheres Passwort, aber bedenken Sie, dass Sie sich dieses Mantra auch merken können müssen, da ansonsten der Schlüssel wertlos würde.
5.1 Gnu PG (GPG)
237
. . . Geben Sie ein Mantra ein: Geben Sie das Mantra nochmals ein:
Nachdem Sie dies erledigt haben, müssen Sie die gleiche Eingabe nochmals vornehmen. Stimmen die beiden Eingaben, werden die Zufallswerte erzeugt: . . . Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen. ++++++++++++++++.+++++++++++++.++++++++.+..+++++++++++++.+++++++++ ++ ++++++++++.+…..+++++++++++++++>+++++++++++++.++++++++++++++++ Es sind nicht genügend Zufallswerte vorhanden. Bitte führen Sie andere Arbeiten durch, damit das Betriebssystem weitere Entropie sammeln kann! (Es werden noch weitere 275 Byte benötigt.)
Wie Sie aus dem Listing erkennen können, werden an dieser Stelle jede Menge Zufallswerte erzeugt, wenn Sie wollen, können Sie dabei – wie beschrieben – mithelfen. Sie sollten diese Hilfestellung auf jeden Fall leisten, da dies die Dauer dieses Prozesses enorm verkürzen kann. Nachdem das Schlüsselpaar erzeugt und signiert wurde, sollten Sie abschließend diese Meldung bekommen: . . . Öffentlichen und geheimen Schlüssel erzeugt und signiert
Damit ist das Erstellen eines Schlüsselpaares erledigt und wir können uns weiteren Themen rund um Schlüssel in GPG widmen. Schlüssel exportieren und zugänglich machen Nachdem wir nun unser Schlüsselpaar erstellt haben, wäre es durchaus sinnvoll, wenn wir diesen unter unserer Kollegenschaft verbreiten würden, so dass diese uns Ihre sensitiven Daten verschlüsselt zukommen lassen. Für dieses Vorhaben benutzen wir die Exportfunktion von GPG, die es uns ermöglicht, den Schlüssel »an den Mann zu bringen«. GPG stellt uns eine Vielzahl an verschiedenen Möglichkeiten zum Export von Schlüsseln zur Verfügung, die wir an dieser Stelle aber nicht alle besprechen können. Falls Sie Interesse an ande-
238
5 Verschlüsselung
ren Methoden haben, werfen Sie einen Blick auf die zweite Besprechung, dort werden Sie alle verfügbaren Methoden kennen lernen. Trotzdem möchte ich Ihnen die verfügbaren Exportmöglichkeiten kurz aufzeigen:
Export von Schlüssel nach STDOUT Schlüssel an Schlüsselserver (keyserver) schicken Alle Schlüssel – auch nicht OpenPGP-kompatibel – exportieren Geheimschlüssel exportieren (gefährlich)
Wir werden uns nur mit dem normalen Export von Schlüsseln beschäftigen, da dies wohl die am häufigsten genutzte Option darstellt. Nehmen wir an, Sie wollen Ihren Schlüssel auf Ihrer Website zum Download (im ASCII-Format) anbieten, so dass jeder Benutzer des Internets Ihnen eine verschlüsselte E-Mail schicken kann. Dafür wollen Sie für Ihren Schlüssel in eine Datei kopieren, welche Sie dann auf Ihren Webserver schieben. Um dies zu erreichen, geben Sie bitte die folgenden Befehle ein. Als Erstes müssen Sie den betreffenden Schlüssel exportieren. Dafür benötigen Sie den Namen des Schlüssels – in unserem Fall lautet dieser: Josef Brunner. Falls Sie den Namen nicht angeben, werden alle vorhandenen Schlüssel ausgegeben. Da Sie die Ausgabe im ASCII-Format haben wollen, müssen Sie zusätzlich die Option -a verwenden. Zum Schluss müssen Sie die Ausgabe bloß noch in eine Datei umleiten, die Sie dann per E-Mail verschicken können oder auf Ihren Webserver zum Download stellen. Linux:~# gpg --export -a Josef Brunner > pub_key
Danach haben Sie eine Datei pub_key, die Ihren privaten Schlüssel enthält. Sie hätten statt des Shelloperators > auch die Option -o [Dateiname] verwenden können. Linux:~# gpg --export -a -o pub_key2 Josef Brunner
Um zu verdeutlichen, dass diese beiden Methoden dasselbe Ergebnis haben, bediene ich mich des diff-Kommandos, das mehrere Dateien vergleichen kann und einem nach dem Durchlauf die Unterschiede der beiden Dateien aufzeigt. Sollten die Dateien pub_key und pub_key2 also nicht identisch sein, werden wir dies sofort erfahren: Linux:~# diff pub_key pub_key2 Linux:~#
Wie Sie sehen, bekommen wir keine Meldung und können davon ausgehen, dass die beiden Dateien und somit die beiden Methoden identisch sind.
5.1 Gnu PG (GPG)
239
Schlüssel in Schlüsselbund aufnehmen (Importieren) Natürlich sind Sie nicht der einzige GPG der PGP User, der seinen Schlüssel exportiert. Falls Sie sich einen Schlüssel von einer Website geholt haben und nun dem Verfasser eine E-Mail (verschlüsselt) senden wollen, sollten Sie den Schlüssel in Ihren Schlüsselbund aufnehmen. Dies geschieht über folgenden Befehl: Linux:~# gpg --import new_key
Danach haben Sie den neuen Schlüssel in Ihrem Schlüsselbund. Sie können sich davon überzeugen, indem Sie sich mit dem folgenden Befehl die Schlüssel in Ihrem Schlüsselbund anzeigen lassen: Linux:~# gpg --list-keys
Schlüssel widerrufen Falls Sie eines Tages zu dem Schluss kommen, dass Ihr Schlüssel einer Änderung bedarf, da er
zu klein geworden ist in falsche Hände geriet die UID nicht mehr stimmt etc.
können Sie ihn widerrufen. Dafür sollten Sie sich den zu löschenden Schlüssel vorher ansehen und genau auswählen. In unserem Fall hat uns ein Windows-Security-Administrator verlassen (ein guter Mann), aber deshalb braucht die Workstation diesen Schlüssel nicht mehr und wir widerrufen ihn. Dazu lassen wir uns alle Schlüssel auflisten, um zu sehen, ob mehrere Schlüssel zu löschen sind (er könnte ja mehrere Schlüssel angelegt haben): Linux:~# gpg --list-keys /root/.gnupg/pubring.gpg -----------------------. . . pub 1024D/75CC62B5 2001-07-14 Andreas Neut (Security Administrator for Windows Systems) sub 1024g/F8D34998 2001-07-14 . . .
Nachdem wir nun den Schlüssel eindeutig identifiziert haben, können wir ein Schlüsselwiderrufszertifikat erstellen: Linux:~# gpg --gen-revoke
240
5 Verschlüsselung
Dazu brauchen Sie aber den privaten Schlüssel. Löschen können Sie den Schlüssel mit dieser Option allerdings nicht. Informationen über das Löschen von Schlüsseln finden Sie im nächsten Abschnitt. Schlüssel anzeigen lassen Im Schlüsselbund werden alle Informationen über Ihre Schlüssel gespeichert (bis auf Ownertrust). Die erste Option, die ich Ihnen gerne vorstellen würde, haben wir bereits des Öfteren benutzt, um unsere vorhandenen Schlüssel anzeigen zu lassen (Sie finden die Ausgabe dieser Option im vorhergehenden Abschnitt): Linux:~# gpg --list-keys
Um zusätzlich noch Informationen über die Signaturen zu bekommen, müssen Sie diese Option verwenden: Linux:~# gpg --list-sigs
GPG bietet Ihnen weiter an, Ihre vorhandenen Schlüssel mit den dazugehörigen »Fingerabdrücken« anzuzeigen. Diese Fingerabdrücke können benutzt werden, um einen Schlüssel eindeutig zu identifizieren. Dies ist ein wesentlich schnellerer Weg, als den kompletten Schlüssel zu vergleichen (außer Sie bedienen sich eines Befehls wie diff). Die Option für das zusätzliche Anzeigen der Fingerabdrücke wird folgendermaßen initialisiert: Linux:~# gpg --fingerprint /root/.gnupg/pubring.gpg ------------------------pub 1024D/8A573357 2001-07-14 Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) [email protected] Key fingerprint = 11BC 9622 54A1 C6AF 50A8 EC27 A3AE C9EB 8A57 3357 sub 1024g/BF49D00 200107-14 . . .
Um die geheimen Schlüssel aufzuzeigen, benutzen Sie bitte diese Option: Linux:~# gpg --list-secret-keys /root/.gnupg/secring.gpg ------------------------sec 1024D/8A573357 2001-07-14 Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) [email protected] ssb 1024g/7BF49D00 2001-07-14
5.1 Gnu PG (GPG)
241
Schlüssel löschen Natürlich werden wir an dieser Stelle auch eine Option zum Löschen eines Schlüssels vorstellen. Dabei müssen Sie zwischen öffentlichem und privatem Schlüssel unterscheiden. Falls Sie einen öffentlichen Schlüssel löschen wollen, gehen Sie bitte folgendermaßen vor: Linux:~# gpg --delete-key [UID]
Für einen privaten Schlüssel müssen Sie folgende Option an GPG übergeben: Linux:~# gpg --delete-secret-key [UID]
Schlüssel editieren Natürlich können Sie die Werte und Informationen eines Schlüssels auch editieren. Sie brauchen dazu lediglich diesen Befehl zu benutzen: Linux:~# gpg --edit-key [UID]
Danach öffnet sich ein Menü (folgendes Listing) und Sie müssen den Editierungsbefehl spezifizieren. Linux:~# gpg --edit-key [UID] gpg (GnuPG) 1.0.6; Copyright (C) 2001 Free Software Foundation, Inc. This program comes with ABSOLUTLY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. Secret key is available. pub 1024D/8A573357created: 2001-07-14 expires: nevertrust: -/u sub 1024g/7BF49D00created: 2001-07-14 expires: never (1). Josef Brunner (freiberuflicher Sicherheitsbeauftragter und Programmierer) [email protected] Command>
Wie Sie sehen, werden Sie nach dem genauen Editierungsbefehl befragt. Tabelle 5.1 enthält die verfügbaren Befehle und gibt zu jedem Punkt eine kurze Beschreibung (falls Sie eine genauere und weiterführende Beschreibung wollen, finden Sie diese in der zweiten Besprechung): Befehl
Beschreibung
quit
Beendet das Menü
save
Speichert und beendet das Menü Tabelle 5.1 Editierungsbefehle
242
5 Verschlüsselung
Befehl
Beschreibung
help
Gibt eine kurze Befehlsübersichtsliste aus
fpr
Zeigt den Fingerabdruck
list
Listet Schlüssel und User-IDs auf
uid
Wählt eine User-ID aus
key
Wählt sekundären Schlüssel aus
check
Listet Signaturen auf
sign
Unterschreibt einen Schlüssel
lsign
Unterschreibt einen Schlüssel (lokal)
adduid
Fügt eine UID hinzu
deluid
Löscht eine UID
addkey
Fügt sekundären Schlüssel hinzu
delkey
Löscht sekundären Schlüssel
delsig
Löscht Signaturen
expire
Ändert das Verfallsdatum des Schlüssels
toggle
Verbindet zwischen öffentlichem und privatem Schlüssel
pref
Listet Präferenzen auf
showpref
Listet ebenfalls Präferenzen auf
passwd
Ändert die Passphrase (Mantra bei deutschen Versionen)
trust
Ändert den Ownertrust (Sie werden im Laufe des Kapitels noch erfahren, was ein Ownertrust ist)
revsig
Widerruft Signaturen
revkey
Widerruft einen sekundären Schlüssel
disable
Deaktiviert einen Schlüssel
enable
Aktiviert einen Schlüsse Tabelle 5.1 Editierungsbefehle (Forts.)
Signieren und Ownertrust Falls Sie den Abschnitt über das Editieren von Schlüsseln gelesen haben, wissen Sie ja, wie man Schlüssel signiert. Dazu verwendet man beim Editieren den Befehl sign. Das Unterschreiben eines Schlüssels ist sehr wichtig (siehe Einleitung zu GPG), da dies der einzige Weg ist, sicherzugehen, den richtigen Schlüssel bekommen zu haben. Nun wird anhand der Unterschriften und des »Ownertrusts« die Gültigkeit des Schlüssels ermittelt. Mit dem Ownertrust legen Sie fest, ob (und wie sehr) Sie dem Schlüsselinhaber zutrauen, andere Schlüssel korrekt und verlässlich zu unterschreiben. Dieser Ownertrust wird in einer separaten Datei gespeichert.
5.1 Gnu PG (GPG)
243
Falls Sie sich fragen, wie man den Ownertrust erkennen kann, sollten Sie einen Blick in die vorhergegangenen Listings werfen. Dort finden Sie des Öfteren das Wort trust. Dies steht für den Ownertrust. Wie Sie dabei weiter bemerkt haben dürften, liefert dieses Schlüsselwort zwei Ownertrusts. Der erste steht dabei für den zugewiesenen, der zweite für den berechneten. Ein Beispiel hierfür könnte sein: trust: -/u
In diesem Beispiel wäre der zugewiesene Wert »-« und der berechnete »u«. Was diese Einstufungen bedeuten, erfahren Sie aus Tabelle 5.2. Einstufung
Bedeutung
-
Kein Ownertrust zugewiesen bzw. noch nicht berechnet.
e
Berechnung schlug fehl. Dies deutet auf einen bereits abgelaufenen Schlüssel hin.
q
Hierbei sind für eine Berechnung nicht genügend Informationen vorhanden.
n
Vertrauen Sie diesem Schlüssel nie.
m
Nicht besonders vertrauenswürdig.
f
Vollkommen vertrauenswürdig.
u
Mit Sicherheit vertrauenswürdig. Tabelle 5.2 Einstufungen für Ownertrust
Dateien verschlüsseln Bevor wir uns mit den einzelnen Befehlen beschäftigen, sollten wir uns darüber informieren, wie man den Empfänger spezifizieren kann. Dies geschieht folgendermaßen: Linux:~# gpg --recipient [UID]
Aber auch, wenn Sie vergessen eine UID als Empfänger zu spezifizieren, ist dies nicht arg schlimm. Wir werden dies im folgenden Szenario annehmen (bei der Verschlüsselung der Datei). Falls Sie eine Datei verschlüsseln wollen, ist der Aufruf dafür simpel gehalten: Linux:~# gpg -e Empfänger [Datei]
Wir werden nun eine Datei namens important mit dem Inhalt »Wichtige Information« erstellen. Diese werden wir danach mit dem eben kennen gelernten Befehl verschlüsseln. Dabei geben wir keinen Empfänger an. Als Erstes müssen wir die Datei erstellen: Linux:~# echo "Wichtige Information" > important
244
5 Verschlüsselung
Danach verschlüsseln wir diese Datei. Da wir keinen Empfänger angegeben haben, werden wir danach gefragt. Linux:~# gpg -e important You did not specify a user ID. (you may use "-r") Enter the user ID: Andreas Neut
Jetzt sollten wir eine neue Datei in unserem Verzeichnis haben, die wie die spezifizierte Datei heißt, jedoch mit der Endung gpg versehen ist. In unserem Fall haben wir also eine Datei namens important.gpg erstellt (beziehungsweiße GPG hat diesen Job für uns erledigt). Wenn wir die Datei öffnen, werden wir sehen, dass der Inhalt verschlüsselt wurde. Datei entschlüsseln Nun wollen wir die eben verschlüsselte Datei wieder entschlüsseln. Dafür müssen wir folgenden Befehl verwenden: Linux:~# gpg -d [Datei]
Auf unser Szenario bezogen lautet der Befehl also: Linux:~# gpg -d important.gpg > important.re
Nachdem wir diesen Befehl ausgeführt haben, sollte der Inhalt der Datei important.re dem Inhalt der ursprünglichen Datei important entsprechen. Dies wollen wir mit dem diff-Kommando testen: Linux:~# diff important important.re Linux:~#
Wie Sie sehen können, sind die beiden Dateien identisch. Signieren Um eine Datei zu unterschreiben, können Sie folgenden Befehl verwenden. Bedenken Sie dabei aber, dass die Datei danach nicht mehr lesbar ist. Linux:~# gpg -s [Datei]
Ein einfaches Listing hierzu: Linux:~# gpg -s test You need a passphrase to unlock the secret key for user: "Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) <[email protected] >" 1024-bit DSA key, ID 8A573357, created 2001-07-14 Enter passphrase:
5.1 Gnu PG (GPG)
245
Jetzt haben wir in unserem Verzeichnis eine Datei namens test.gpg, welche signiert und nicht mehr lesbar ist. Signieren und Datei lesbar lassen Wie Sie gesehen haben, ist die Datei, die wir signiert haben, nicht mehr lesbar. Dies ist in vielen Situationen äußerst unpraktisch. In solchen Fällen sollten Sie die jetzt vorgestellte Option für das Signieren von Dateien wählen, da diese die Datei lesbar lässt. Linux:~# gpg --clearsign [Datei]
Auch hierzu ein kleines Beispiel: Linux:~# gpg --clearsign test2 You need a passphrase to unlock the secret key for user: "Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) <[email protected] >" 1024-bit DSA key, ID 8A573357, created 2001-07-14 Enter passphrase:
Nach diesem gezeigten Listing erstellt GPG eine neue Datei namens test2.asc, welche folgenden Inhalt hat (der ursprüngliche Text in Datei war »hallo«). -----BEGIN PGP SIGNED MESSAGE----Hash: SHA1 hallo -----BEGIN PGP SIGNATURE----Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iEYeaRECAAYFAjtR!Z0Acgko67J64pXM1dqLQCvCrqKi5yWUlg4vqdADBvy94XdTOo Am gI59ju11pdyRXLSI2L677FdLVdL =xTV3 -----END PGP SINGATURE-----
Wie Sie sehen können, ist der Inhalt immer noch problemlos lesbar. Signatur in externe Datei Die beiden eben gezeigten Methoden zum Signieren einer Datei eignen sich hervorragend für Textdateien, aber falls Sie ein TAR-Archiv damit signieren wollen, sieht die Sache schon anders aus. Für Binärdateien sollen Sie die Option benutzen, die wir jetzt kennen lernen werden. Diese Option schreibt die Signatur nicht in die Datei, die signiert werden soll, sondern in ein externes File.
246
5 Verschlüsselung
Linux:~# gpg -b [Datei]
Auch hier werden wir uns ein kleines Szenario dazu anschauen. Als Erstes erstellen wir ein Archiv. Wir packen unsere Datei test dafür in ein Archiv namens test.tar. Linux:~# tar -cf test.tar test
Danach signieren wir dieses Archiv und versuchen es danach wieder zu entpacken. Falls GPG etwas in das Archiv schreiben würde, wäre das Entpacken nicht mehr möglich. Linux:~# gpg -b test.tar You need a passphrase to unlock the secret key for user: "Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) <[email protected] >" 1024-bit DSA key, ID 8A573357, created 2001-07-14 Enter passphrase:
Wenn wir nun in unser Verzeichnis schauen, finden wir dort eine Datei namens test.tar.sig. Als Erstes wollen wir aber versuchen, das Archiv wieder zu entpacken (Wir können vorher auch wieder unseren diff-Test vollziehen). Linux:~# diff test.tar.sig test.tar Linux:~#
Wie Sie sehen, sind die beiden Dateien völlig identisch, das Entpacken sollte daher kein Problem darstellen (Wir gehen dazu in ein anderes Verzeichnis, damit wir die ursprüngliche Datei test nicht überschreiben.) Linux:~# tar -xf test.tar
Der Blick in das Verzeichnis zeigt uns, dass das Entpacken erfolgreich war. Verschlüsseln und Signieren Meistens werden Sie Dateien aber nicht nur signieren, sondern auch verschlüsseln wollen. Wie dies funktioniert, haben Sie bereits kennen gelernt. Wir werden uns den Befehl trotzdem noch einmal ins Gedächtnis rufen: gpg [-u Absender] [-r Empfänger] -s -e [Datei]
Sie können auch hier die ASCII-Funktion --armor aktivieren. Signatur einer unverschlüsselten Datei prüfen Wir werden in diesem Abschnitt nur die Signaturüberprüfung einer unverschlüsselten Datei besprechen, da GPG die Signatur einer verschlüsselten Datei automatisch prüft.
5.1 Gnu PG (GPG)
247
Um die Signatur zu testen, gehen Sie wie folgt vor: Linux:~# --verify [Datei]
Sehen wir uns zum Abschluss ein kurzes Listing dazu an: Linux:~# gpg --verify test.gpg gpg: Signature made Sun Jul 15 19:32:44 2001 CEST using DSA key ID 8A573357 gpg: Good signature from "Josef Brunner (freiberuflicher Sicherheitsberater und Programmierer) <[email protected] >"
Wie Sie sehen, handelt es sich um eine »good« (gute) Signatur. Falls Sie weiterführende Informationen zu den verfügbaren Optionen wünschen, werden Sie diese mit Sicherheit in Besprechung 2 finden. Falls nicht, können Sie diese überspringen.
5.1.4
Besprechung 2 (Referenz)
In diesem Teil werden wir uns intensiv mit der Benutzung von GPG und mit den verfügbaren Optionen auseinander setzen. Da es davon eine ganze Reihe gibt, werden wir nicht allzu tief auf jeden einzelnen Punkt eingehen können. Sie werden aber jede verfügbare Option kurz beschrieben finden. Allgemeiner Aufruf Der allgemeine Aufruf des Programms erfolgt über diese Syntax: Linux:~# gpg [--homedir Name] [--Optionen Datei] [Optionen] Befehl [Argumente]
Verfügbare Befehle Tabelle 5.3 listet alle verfügbaren Befehle auf und gibt zu jedem Punkt eine kleine Beschreibung. Befehl
Beschreibung
-s, --sign
Unterschreibt eine Datei. Kann mit --encrypt kombiniert werden. Datei wird danach unlesbar.
--clearsign
Unterschreibt im Klartext. Datei bleibt lesbar.
-b, --detach-sign
Unterschrift wird in externe Datei geschrieben.
-e, --encrypt
Verschlüsselt Daten. Kann mit --sign kombiniert werden.
-c, --symmetric
Verschlüsselt nur symmetrisch. Sie werden nach einer Passphrase gefragt. Tabelle 5.3 Verfügbare Befehle
248
5 Verschlüsselung
Befehl
Beschreibung
--store
Es wird ein RFC1991 Paket erzeugt.
--decrypt [Datei]
Entschlüsselt Datei oder Zeichen aus STDIN, falls Sie keine Datei angeben, und gibt das Ergebnis auf die Standardausgabe (STDOUT) aus. Sie können mit der Option --output eine Datei angeben, in die die Dateien geschrieben werden. Falls die verschlüsselte Datei unterschrieben worden ist, wird die Unterschrift ebenfalls überprüft. Diese Option nimmt keine Dateien an, die nicht mit einer verschlüsselten Nachricht beginnen.
--verify [[Signaturdatei] [Signaturdateien] --verify-files [Dateien]
Dies ist eine besondere Abart des --verify-Befehls und funktioniert nicht mit detached-Signaturen.
--list-keys [Namen]
Listet alle Schlüssel auf oder nur diejenigen, die an der Kommandozeile angegeben wurden.
--list-public-keys [Namen]
Listet alle Schlüssel des öffentlichen Schlüsselbundes auf oder nur diejenigen, die an der Kommandozeile angegeben wurden.
--list-secret-keys [Namen]
Listet alle Schlüssel des privaten Schlüsselbundes auf oder nur diejenigen, die an der Kommandozeile angegeben wurden.
--list-sigs [Namen]
Es werden alle Schlüssel und Unterschriften aufgelistet.
--check-sigs [Namen]
Es werden alle Schlüssel aufgelistet und die Unterschriften überprüft.
--fingerprint [Namen]
Listet alle Schlüssel mit den dazugehörigen Fingerabdrücken auf. Falls Sie diesen Befehl zweimal angeben, werden alle Fingerabdrücke der sekundären Schlüssel ausgegeben.
--list-packets
Listet nur die Sequenz der Pakete auf.
--gen-key
Hiermit können Sie ein neues Schlüsselpaar erzeugen. Für weitergehende Informationen können Sie Besprechung 1 zu Rate ziehen.
--edit-key Name
Mit diesem Befehl gelangen Sie in ein Menü, in dem Sie alle wichtigen Editierungsaufgaben Schlüssel betreffend übernehmen können. Verfügbare Kommandos in diesem Menü sind: Sign Unterschreibt einen Schlüssel. Falls der Schlüssel noch nicht vom Defaultuser unterschrieben wurde, werden die Informationen über den Schlüssel und die dazugehörigen Fingerabdrücke erneut ausgegeben und es wird gefragt, ob der Schlüssel unterschrieben werden soll. Diese Prozedur wird für alle mit der Option -u spezifizierten User durchgeführt. Lsign Diese Funktion ist im Grunde dieselbe wie die eben vorgestellte sign-Option, mit dem Unterschied, dass die Signaturen als nonexportable gekennzeichnet werden und somit von niemand mehr benutzt werden können. Geeignet für das lokale Netzwerk. Tabelle 5.3 Verfügbare Befehle (Forts.)
5.1 Gnu PG (GPG)
Befehl
249
Beschreibung revsig Hiermit widerrufen Sie eine Signatur. Dabei wird bei jeder Signatur danach gefragt, ob ein Widerrufszertifikat erstellt werden soll. trust Ändert den Wert des »Ownertrust«. Für eine Beschreibung des Ownertrust werfen Sie einen Blick in Beschreibung 1. Die trustdb wird sofort auf den neuesten Stand gebracht. disable Deaktiviert einen Schlüssel. Ein deaktivierter Schlüssel kann nicht mehr für die Verschlüsselung benutzt werden. enable Aktiviert einen deaktivierten Schlüssel adduid Es wird eine alternative UID generiert. deluid Es wird eine bestehende UID gelöscht. addkey Es wird ein Subschlüssel zu diesem Schlüssel erstellt und hinzugefügt. delkey Ein Subschlüssel wird gelöscht. revkey Ein Subschlüssel wird widerrufen. expire Ändert das Verfallsdatum eines Schlüssels. Falls Sie keinen Schlüssel ausgewählt haben, wird das Verfallsdatum des primären Schlüssels geändert. passwd Ändert die Passphrase des privaten Schlüssels. uid n Verbindet die ausgewählte UID mit einem Index n. Mit 0 lösen Sie alle Bindungen. key n Verbindet den ausgewählten Subschlüssel mit einem Index n. Mit 0 lösen Sie alle Bindungen. check Überprüft alle ausgewählten User IDs. pref Listet Präferenzen auf. Tabelle 5.3 Verfügbare Befehle (Forts.)
250
Befehl
5 Verschlüsselung
Beschreibung showpref Listet Präferenzen mit mehr Details und mehr Informationen auf. toggle Verbindet die Ausgabe der privaten und öffentlichen Schlüssel. save Alle Änderungen werden im Schlüsselbund gespeichert. Das Menü wird beendet. quit Beendet das Menü, ohne den Schlüsselbund auf den neuesten Stand zu bringen. Im Folgenden sehen Sie eine Liste mit den verschiedenen Stufen des Ownertrust. Es wurde kein Ownertrust angegeben bzw. der Ownertrust wurde noch nicht berechnet. e Die Berechnung schlug fehl. Ursache hierfür kann ein abgelaufener Schlüssel sein. q Nicht genug Informationen für eine Berechnung vorhanden n Vertrauen Sie diesem Schlüssel niemals. m Begrenzt glaubwürdig f Völlig vertrauenswürdig u Unbegrenzt vertrauenswürdig Ownertrust Format: trust zugewiesener Ownertrust/berechneter Ownertrust
--sign-key Name
Hiermit unterschreiben Sie einen öffentlichen Schlüssel mit Ihrem privaten Schlüssel.
--lsign-key Name
Hiermit unterschreiben Sie einen öffentlichen Schlüssel mit Ihrem privaten Schlüssel, kennzeichnen ihn aber als non-exportable. Dies ist die Kurzversion des lsign-Kommandos mit Editionsmenü. Tabelle 5.3 Verfügbare Befehle (Forts.)
5.1 Gnu PG (GPG)
251
Befehl
Beschreibung
--trusted-key Schlüssel ID
Mit dieser Option geben Sie dem spezifizierten Schlüssel (Sie müssen für die Spezifikation die 8 Byte Schlüssel-ID angeben) denselben Status, den Sie auch Ihren eigenen privaten Schlüsseln geben. Das heißt, der Schlüssel wird als vollkommen vertrauenswürdig eingestuft.
--delete-key Name
Löscht den Schlüssel aus dem öffentlichen Schlüsselbund
--delete-secret-key Name
Löscht den Schlüssel aus dem privaten und öffentlichen Schlüsselbund
--delete-secret-and-publickey Name
Selbe Funktion wie --delete-key, mit dem Unterschied, dass, falls ein privater Schlüssel existiert, dieser zuerst gelöscht wird
--gen-revoke
Erstellt ein Widerrufszertifikat für den kompletten Schlüssel. Um einen Subschlüssel oder eine Signatur zu löschen, müssen Sie die --edit-Option benutzen.
--export Namen
Falls Sie keine Schlüsselnamen angeben, werden alle Schlüssel aus dem Schlüsselbund (Defaultschlüsselbunde und die, die Sie mit der --keyring-Option angegeben haben) exportiert. Falls Sie aber einen oder mehrere Namen angeben, werden diese Schlüssel exportiert. Der dabei entstehende Schlüsselbund wird auf die Standardausgabe weitergeleitet. Falls Sie diese Schlüssel mailen wollen, sollten Sie die --armor-Option benutzen, um sie im ASCII-Format zu erstellen und anzuzeigen.
--send-keys Namen
Im Grunde dieselbe Option wie --export, mit dem Unterschied, dass die Schlüssel zu einem Schlüsselserver geschickt werden. Dabei müssen Sie mit der Option --keyserver einen Schlüsselserver spezifizieren. Schicken Sie nicht alle Ihre Schlüssel zu diesem Server, sondern nur diejenigen, die neu sind oder die Sie geändert haben.
--export-all Namen
Eigentlich dieselbe Funktion wie --export, mit dem Unterschied, dass auch Schlüssel, die nicht mit OpenPGP kompatibel sind, exportiert werden
--export-secret-keys Namen
Funktioniert wie die --export-Funktion, hierbei werden aber anstatt der öffentlichen die privaten Schlüssel exportiert. Sie sollten mit dieser Funktion sehr vorsichtig sein!
--export-secret-subkeys Namen
Rändert den privaten und geheimen Teil des privaten Schlüssels. Andere Programme (außer GNU OpenPGP) können diesen Schlüssel nicht wieder importieren.
--import Dateien
Importiert Schlüssel. Mit dieser Funktion fügen Sie die spezifizierten Schlüssel Ihrem Schlüsselbund hinzu. Es wird eine trustdb erstellt. Sie können die Funktionsweise dieser Option durch folgende Optionen verändern und beeinträchtigen: --merge-only (Fügt Schlüssel nicht in den Schlüsselbund ein) --allow-secret-key-import Tabelle 5.3 Verfügbare Befehle (Forts.)
252
5 Verschlüsselung
Befehl
Beschreibung
--fast-import Dateien
Importiert Schlüssel schneller als die Option --import. Mit dieser Funktion fügen Sie die spezifizierten Schlüssel Ihrem Schlüsselbund hinzu. Es wird keine trust-db erstellt. Sie können die Funktionsweise dieser Option durch folgende Optionen verändern und beeinträchtigen: --merge-only (Fügt Schlüssel nicht in den Schlüsselbund ein) --allow-secret-key-import
--recv-keys Schlüssel IDs
Importiert die Schlüssel mit der spezifizierten ID von einem HKP-Schlüsselserver. Sie müssen zusätzlich die Option --keyserver benutzen, um einen Schlüsselserver zu spezifizieren.
--export-ownertrust
Zeigt den angegebenen Ownertrust im ASCII-Format an. Nützlich für Backupzwecke.
--import-ownertrust Dateien
Hiermit wird die trust-db mit den Ownertrustwerten, die sich in der angegebenen Datei bzw. Dateien befinden, auf den neuesten Stand gebracht. Falls Sie keine Datei angeben, werden die Werte von der Standardeingabe gelesen.
--print-md Algorithmus Dateien
Gibt eine Nachricht über den angegebenen Algorithmus für alle spezifizierten Dateien aus. Falls Sie für die Spezifikation des Algorithmus die Wildcard »*« benutzen, werden eine Übersicht und Informationen über alle verfügbaren Algorithmen ausgegeben.
--gen-random 0|1|2 [count]
0|1|2 gibt das Qualitätslevel an, für das der COUNT ausgegeben werden soll. Falls Sie keinen COUNT oder 0 angeben, wird eine endlose Sequenz von Zufallszahlen ausgegeben. Seien Sie mit dieser Funktion sehr vorsichtig!
--gen-prime Modus Bits [qbits]
An dieser Funktion wird immer noch gearbeitet, da das Outputformat nicht zufrieden stellend ist.
--version
Gibt die Versionsnummer und die verfügbaren Algorithmen aus und beendet danach
--warranty
Gibt Informationen über die Garantieleistungen aus
-h, --help
Gibt eine sehr lange Liste von verfügbaren Optionen aus Tabelle 5.3 Verfügbare Befehle (Forts.)
Optionen Nun werden wir uns mit den verfügbaren Optionen auseinander setzen. Bevor wir uns aber an die Besprechung der einzelnen Optionen machen, möchte ich Sie mit der Optionsdatei von GPG bekannt machen. Optionsdatei Sie können in Ihrem GPG-Verzeichnis (zum Beispiel /home/joe/.gnupg) eine Datei namens options anlegen, in der Sie lange Befehle speichern können. Beachten Sie dabei aber, dass Sie die beiden anführenden Gedankenstriche weglassen. Schreiben Sie also nur den Namen der Option und die eventuell benötigten Argumente in die Datei.
5.1 Gnu PG (GPG)
253
Verfügbare Optionen Tabelle 5.4 stellt Ihnen alle verfügbaren Optionen mit einer kurzen Beschreibung vor. Option
Beschreibung
-a, --armor
Die Ausgabe wird im ASCII-Format dargestellt.
-o, --output Datei
Schreibt die Ausgabe in eine Datei
-u, --local-user Name
Benutzt den Namen als User-ID um zu unterschreiben. Diese Option wird bei Listkommandos ignoriert. Sie kann aber in der Optionsdatei geführt werden.
--default-key Name
Benutzt den angegebenen Namen als Standard-User-ID für Unterschriften. Falls Sie keinen Namen angeben, wird die im privaten Schlüsselbund zuerst gefundene User-ID als Standard benutzt.
-r, --recipient Name
Hiermit geben Sie einen Empfänger an. Falls Sie keinen angeben, wird GPG Sie danach fragen oder den Standardempfänger benutzt.
--default-recipient Name
Hiermit können Sie einen Standardempfänger spezifizieren.
--default-recipient-self
Benutzt den Standardschlüssel als Standardempfänger. Der Standardschlüssel ist der erste Schlüssel des privaten Schlüsselbundes oder ein Schlüssel, den Sie mit der Option --defaultkey angegeben haben.
--no-default-recipient
Löscht die Werte, die Sie mit den folgenden Optionen angegeben haben. --default-recipient --default-recipient-self Sie müssen nach diesem Reset neue Standardwerte mit den aufgezeigten Optionen übergeben.
--encrypt-to Name
Im Grunde ist diese Funktion mit der Option --recipient identisch. Diese Option ist jedoch für die Optionsdatei gedacht und kann mit Ihrer eigenen User-ID benutzt werden. Diese Schlüssel werden nur benutzt, wenn auch andere Empfänger angegeben wurden (entweder durch die Beantwortung der Recipientfrage von GPG oder durch die Option --recipient). Beachten Sie aber, dass hierbei keine Prüfung des Ownertrust vorgenommen wird und dass Sie sogar deaktivierte Schlüssel benutzen können.
--no-encrypt-to
Hiermit werden alle --encrypt-to-Schlüssel deaktiviert.
-v, --verbose
Mit dieser Option erhalten Sie während der Arbeit mehr Information. Falls Sie sie zweimal verwenden, werden die Inputdaten im Detail aufgelistet.
-q, --quiet
Sie bekommen kaum Output. Tabelle 5.4 Verfügbare Optionen von GPG
254
5 Verschlüsselung
Option
Beschreibung
-z n
Hiermit können Sie das Kompressionslevel setzen. Falls Sie den Wert 0 übergeben, wird Kompression deaktiviert. Normalerweise sollten Sie das Level von zlib benutzt (meistens 6).
-t, --textmode
Initialisiert Textmodus. Um Unterschriften im Klartext zu erreichen, können Sie die -t (aber nicht --textmode) zusammen mit -a und -s verwenden. Normalerweise würden Sie --sign oder --clearsign hierfür verwenden. Der hier beschriebene »Trick« wird aber für die Kompatibilität zu PGP benötigt.
-n, --dry-run
Diese Option veranlasst GPG keine Änderungen vorzunehmen (ist noch nicht vollständig implementiert, seinen Sie daher also bei Verwendung sehr vorsichtig).
-i, --interactive
GPG gibt eine Meldung aus, bevor es Dateien überschreibt.
--batch
GPG läuft im Batch-Modus, das heißt, dass Sie keine Meldungen bekommen werden und keine interaktiven Befehle erlaubt sind.
--no-tty
Vergewissern Sie sich, dass der Terminal nicht für irgendwelche Ausgaben benutzt wird. Diese Option wird manchmal benötigt, wenn GPG im --batch-Modus Warnungen ausgibt.
--no-batch
Hierbei wird der --batch-Modus deaktiviert. Sie können diese Option benutzt, wenn Sie den --batch-Modus über die Optionsdatei gestartet haben.
--yes
GPG vermutet, dass Sie die meisten Fragen mit »yes« beantworten.
--no
GPG vermutet, dass Sie die meisten Fragen mit »no« beantworten.
--always-trust
Hiermit überspringen Sie den Test der Schlüssel. GPG vermutet, dass alle Schlüssel immer vollständig vertrauenswürdig sind. Sie sollten mit dieser Methode äußerst vorsichtig sein, da sie Ihnen eine Sicherheitsbarriere nimmt.
--keyserver Name
Hiermit geben Sie einen Schlüsselserver an. Sie benötigen diese Option als Zusatz für einige andere Optionen. Da sich alle Schlüsselserver miteinander synchronisieren, brauchen Sie Ihre Schlüssel nur zu einem zu senden. Falls Sie eine Liste mit allen verfügbaren Schlüsselservern erhalten wollen, geben Sie folgenden Befehl ein: host -l pgp.net | egrep wwwkeys
--no-auto-key-retrieve
Diese Option deaktiviert das automatische Empfangen von Schlüsseln von einem Schlüsselserver, solange Sie Signaturen überprüfen.
--honor-http-proxy
Mit dieser Option erreichen Sie, dass GPG versucht den Schlüsselserver über einen Proxy zu erreichen. Diesen Proxy können Sie mit der Variable »http_proxy« spezifizieren. Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
5.1 Gnu PG (GPG)
255
Option
Beschreibung
--keyring Datei
Fügt die Datei zu der Liste von Schlüsselbunden hinzu. Falls die Datei mit einer Tilde und einem Slash beginnt, wird dies durch das Homeverzeichnis ersetzt. Falls dies nicht vorhanden ist, wird angenommen, dass sich die Datei bereits im Homeverzeichnis befindet. Sie können die Datei mit folgenden Werten beginnen: gnupg-ring Default gnupg-gdbm Wird für GDBM verwendet. Bedenken Sie aber, dass GDBM eventuell in den nächsten Versionen nicht mehr vertreten sein wird.
--secret-keyring Datei
Diese Option bietet dieselben Funktionen wie --keyring, mit dem Unterschied, dass es sich hierbei um private Schlüsselbunde handelt.
--homedir Verzeichnis
Diese Option überschreibt die Umgebungsvariable GNUPGHOME. Sie können hiermit Ihr Homeverzeichnis angeben. Falls Sie kein Verzeichnis spezifizieren, wird der Defaultwert benutzt (./gnupg).
--charset Name
Hiermit können Sie Ihren Zeichensatz spezifizieren. Sie können diese Option benutzen, um Strings in UTF-8 umzuwandeln. Mögliche Werte hierfür sind (Platzhalter Name): iso-8859-1 Latin 1 (Default) iso-8859.2 Latin 2 koi8-r Russischer Zeichensatz utf-8 Umgeht alle Übersetzungen und nimmt an, dass das Betriebssystem UTF-8 encoding benutzt.
--optionsfile Datei
Liest Optionen aus der angegebenen Datei. Damit werden die Optionen aus der Standardoptionsdatei ignoriert.
--no-utf8-strings, --utf8-strings
Nimmt an, dass die Argumente bereits als UTF8 Strings übergeben werden. Der Standard besagt, dass Argumente nach dem Zeichensatz, den Sie mit der Option --charset übergeben haben, encoded sind (--no-utf8-strings).
--no-options
Hiermit werden alle Optionen im Optionsfile nach /dev/null weitergeleitet. Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
256
5 Verschlüsselung
Option
Beschreibung
--load-extension Name
Hiermit wird ein Erweiterungsmodul geladen. Falls Sie für den Platzhalter »Name« kein Verzeichnis angeben (GPG sucht nach einem Slash), wird das Modul im Verzeichnis /usr/local/lib/gnugp gesucht.
--debug Flags
Wenn Sie diese Option benutzen, können Sie das Flag in C-Manier (C-Syntax) für das Debugging setzen. Zum Beispiel: 0x0042
--debug all
Es werden alle nützlichen und sinnvollen Debugflags gesetzt.
--status-fd n
Es werden besondere Statusstrings in den Filedescriptor n geschrieben.
--logger-fd n
Schreibt das Logginoutput in den angegebenen Filedescriptor anstatt nach STDERR
--no-comment
Weist GPG an, keine Kommentarpakete mehr zu schreiben. Nur für private Schlüssel verfügbar. Das hat nichts mit Kommentaren in Klartextunterschriften zu tun.
--comment String
Was Sie dieser Option anstatt des Platzhalters »String« übergeben, wird als Kommentar in Klartextunterschriften erscheinen. Falls Sie keinen Kommentar in Klartextunterschriften wünschen, übergeben Sie dieser Option kein Argument.
--default-comment
Hiermit erreichen Sie, dass der Standardkommentar in Klartextunterschriften eingefügt wird.
--no-version
Falls Sie diese Option verwenden, werden keine Hinweise zur Version in Klartextunterschriften erscheinen.
--emit-version
Damit wird die Versionsnummer in Klartextunterschriften eingefügt.
-N, --notation-data Name=Wert
Sie können das Name/Wert Paar als Kommentar in Ihre Signaturen einbauen. Der String »Name« kann dabei aus alphanumerischen Zeichen, Zahlen und Unterstrichen bestehen, wobei das erste Zeichen nicht aus einer Zahl bestehen darf. Der String »Wert« kann dabei aus jedem druckbaren Zeichen bestehen und wird in UTF 8 encoded. Falls Sie Ihren Kommentar als kritisch einstufen haben wollen, setzen Sie ihm ein Ausrufezeichen vorweg (rfc2440:5.2.3.15).
--set-policy-url String
Bei dieser Option können Sie für den Platzhalter String eine Policy URL angeben. Auch diese URL können Sie wieder als kritisch einstufen, indem Sie ihr ein Ausrufezeichen vorstellen (rfc2440:5.2.3.19).
--set-filename String
Geben Sie für den Platzhalter String den Namen der Datei an, die in Messages gespeichert ist.
Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
5.1 Gnu PG (GPG)
257
Option
Beschreibung
--use-embedded-filename
Versucht eine Datei mit dem Namen der eingebundenen Daten zu erstellen. Seien Sie hierbei sehr vorsichtig, da es vorkommen kann, dass Dateien überschrieben werden.
--completes-needed n
Anzahl der »completely trusted« User, um einen neuen Schlüssel einzuführen Defaultwert liegt bei 1
--marginals-needed n
Anzahl der »marginally trusted« User, um einen neuen Schlüssel einzuführen Defaultwert liegt bei 3
--max-cert-depth n
Gibt die maximal erlaubte Tiefe der Zertifikationsketten an Defaultwert liegt bei 5
--cipher-algo Name
Anstelle des Platzhalters »Name« können Sie einen Verschlüsselungs-Algorithmus angeben. Um eine Liste der unterstützten Algorithmen zu bekommen, können Sie folgenden Befehl nutzen. Linux:~# gpg --version | egrep algorithms
--digest-algo Name
Anstelle des Platzhalters »Name« können Sie den »Message Digest Algorithmus« angeben. Auch hier können Sie mit dem --version-Befehl eine Liste der verfügbaren Optionen anzeigen lassen.
--s2k-cipher-algo Name
Diese Option erlaubt es Ihnen, einen Verschlüsselungs-Algorithmus anzugeben (für den Platzhalter Name), der benutzt wird, um private Schlüssel zu beschützen. Der Defaultalgorithmus ist BLOWFISH. Diese Algorithmus wird auch für konventionelle Verschlüsselung genutzt, falls Sie die Option --cipher-algo nicht angegeben haben.
--s2k-digest-algo Name
Benutzt den angegebenen Algorithmus, um Passphrases zu verschlüsseln. Der Defaultalgorithmus ist RIPE-MD-160. Dieser Algorithmus wird ebenfalls für normale Verschlüsselung benutzt, falls die Option --digest-algo nicht angegeben wurde.
--s2k-mode n
Mit dieser Option geben Sie an, wie mit den Passphrases verfahren werden soll. Falls Sie eine 0 für den Wert n einsetzen, so wird eine plain Passphrase benutzt. Falls Sie eine 1 angeben, wird ein »salt« an die Passphrase angehängt (dies ist der Defaultwert). Falls Sie eine 3 angeben, wird die Passphase einige Male verdoppelt. Falls --rfc1991 nicht angegeben wurde, wird dieser Modus auch für konventionelle Verschlüsselung gebraucht. Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
258
5 Verschlüsselung
Option
Beschreibung
--compress-algo n
Sie können mit dieser Option den Algorithmus angeben, der für die Kompression genutzt werden soll. Bei einer 1 wird die alte Zipversion, die auch von PGP verwendet wird, benutzt. Bei einer 2 wird die RFC1950-Kompression verwendet (dies ist der Defaultwert). Dieser Algorithmus hat einen entscheidenden Vorteil, da die Windowgröße nicht auf 8 K beschränkt ist.
--disable-cipher-algo Name
Hiermit verbieten Sie GPG den von Ihnen anstatt dem Platzhalter angegebenen Algorithmus als Cipher-Algorithmus zu benutzen.
--disable-pubkey-algo Name
Hiermit verbieten Sie GPG den von Ihnen anstatt dem Platzhalter angegebenen Algorithmus als Public-Key-Algorithmus zu benutzen.
--throw-keyid
Sie können diese Option verwenden, um GPG anzuweisen, die Schlüssel-ID nicht in verschlüsselten Pakete zu erwähnen (damit wird der Empfänger geheim gehalten). Dies ist eine gute Gegenmaßnahme, um Trafficanalysen zu verhindern. Beachten Sie dabei aber bitte, dass die Entschlüsselungszeit damit rapide ansteigen kann, da jeder verfügbare private Schlüssel durchprobiert wird.
--not-dash-escaped
Hiermit können Sie Klartextunterschriften so abändern, dass Sie sie für Patchfiles verwenden können. Sie sollten diese Dateien aber danach nicht als E-Mail verschicken, da auch alle Leerzeichen und Zeilenendungen gehashed sind. Sie können diese Option nicht für Daten verwenden, die am Anfang einer Zeile fünf Hashes haben. Diese Funktion wird durch eine spezielle Zeile im Header der Unterschrift ermöglicht.
--escape-from-lines
Da einige Mailprogramme die Zeile »From« zu »
--passphrase-fd n
Mit dieser Option geben Sie an, dass GPG die Passphrase aus dem File Descriptor n lesen soll. Falls Sie an diese Stelle für den Wert n 0 angeben, so wird die Passphrase von der Standardeingabe gelesen. Dies funktioniert nur für eine Passphrase. Beachten Sie hierbei aber, dass diese Option eventuell ein großes Sicherheitsrisiko darstellt. So kann ein Mit-User Ihrer Workstation durch die History Ihrer Kommandozeile viele Informationen ergattern, die er besser nicht wissen sollte.
--rfc1991
Hiermit wird versucht, sich an RFC1991 (PGP 2.X) besser anzupassen. Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
5.1 Gnu PG (GPG)
259
Option
Beschreibung
--openpgp
Falls Sie diese Option initialisieren, werden alle Packet-, Cipherund Digest-Optionen wieder auf Null und somit auf OpenPGPVerhalten zurückgestellt. Davon sind folgende Optionen betroffen: --rfc1991, --force-v3-sigs, --s2k-*, --cipher-algo, --digest-algo und --compress-algo Es werden ebenfalls alle PGP Workarounds deaktiviert.
--force-v3-sigs
Der OpenPGP-Standard besagt, dass v4-Unterschriften zu generieren sind. Leider erkennt PGP v4-Unterschriften nur bei Schlüsselmaterial. Diese Option bringt GPG dazu, für Datenunterschriften v3 zu benutzen.
--force-mdc
Hiermit bringen Sie GPG dazu, an jede Verschlüsselung »manipulation-code« anzuhängen. Dies wird bei den neueren CipherAlgorithmen stets benutzt (die mit einer Blockgröße größer als 64K versehen sind). Es könnte sein, dass diese Option bei Ihnen noch nicht implementiert ist.
--allow-non-selfsigned-uid Erlaubt den Import von nicht selbst unterschriebenen Schlüsseln. Die »Key-Validation« wird bei solchen Schlüsseln aber nicht erfolgreich sein und Sie müssen die Gültigkeit des Schlüssels anders überprüfen. Diese Option sollte normalerweise nicht benutzt werden, ist aber für einige deutsche Schlüssel, die mit PGP 2.6.3 erstellt wurden, nötig. --ignore-time-conflict
Normalerweise überprüft GPG, ob die timestamps bestimmter Schlüssel und Unterschriften plausible Werte haben. Es kann aber durchaus einmal vorkommen, dass eine Unterschrift älter als ein Schlüssel ist (es sollte zwar nicht vorkommen, aber leider geschieht es doch hin und wieder). Für solche Problem- und Sonderfälle können Sie diese Option benutzen.
--lock-once
Hiermit wird die Datenbank beim ersten Sperrgesuch gesperrt und erst wieder entsperrt, wenn der Prozess beendet ist.
--lock-multiple
Entsperrt die Datenbank, sobald die Sperre nicht mehr benötigt wird.
--lock-never
Mit dieser Option deaktivieren Sie das Sperren von Datenbanken komplett. Sie sollten sie nur verwenden, wenn Sie sich absolut sicher sind, dass dadurch keine Daten beschädigt oder korrumpiert werden können.
--no-random-seed-file
GPG benutzt eine Datei, um seinen internen radom Pool für Anfragen zu speichern.
--no-verbose
Es wird kein Output mehr gegeben.
--no-greeting
Hiermit wird die Copyrightnachricht unterdrückt. Das Programm befindet sich aber dadurch nicht im Batch-Modus.
--no-secmem-warning
Dadurch können Sie die Warnung »using insecure memory« abschalten.
Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
260
5 Verschlüsselung
Option
Beschreibung
--no-armor
Sie können diese Option verwenden, falls die Inputdaten nicht im ASCII-Format verfasst wurden.
--no-default-keyring
Dadurch wird der Defaultschlüsselbund nicht zu der Liste der Schlüsselbunde hinzugefügt.
--skip-verify
Falls Sie keine Überprüfung der Unterschriften benötigen, können Sie diese Option benutzen, um diesen Schritt zu überspringen. Da keine Bestätigung gebraucht wird, ist die Entschlüsselung wesentlich schneller.
--with-colons
Bei Schlüssellistings werden die einzelnen Einträge durch Kommas getrennt dargestellt.
--with-key-data
Bei Schlüssellistings werden die einzelnen Einträge durch Kommas getrennt dargestellt. Zusätzlich erhalten Sie noch Daten über den öffentlichen Schlüssel.
--with-fingerprint
Bietet dieselbe Funktionalität wie die Option --fingerprint, mit dem Unterschied, dass hierbei nur das Ausgabeformat geändert wird und dass Sie diese Option mit anderen Befehlen kombinieren können.
--fast-list-mode
Hiermit können Sie die Ausgabe von Listkommandos wesentlich beschleunigen, da einige Felder ausgelassen werden. Da sich diese Version in der nahen Zukunft noch des Öfteren ändern wird, sollten Sie einfach ausprobieren, welche Felder weggelassen werden.
--list-only
Auch diese Option wird in der Zukunft noch verändert. Zurzeit überspringt sie lediglich eine Funktion und ist daher in der Lage die Schlüssel schneller aufzulisten. Tabelle 5.4 Verfügbare Optionen von GPG (Forts.)
5.2
OpenSSH
Wir leben im Kommunikationszeitalter. Das wertvollste (materielle) Gut, das wir zurzeit haben, ist die Information. Wir alle versuchen mit aller Gewalt (zumindest sollten wir dies) unsere persönlichen und geheimen Daten und Informationen vor unerlaubtem Zugriff zu schützen. Um dies zu erreichen, errichten wir Sicherheitsbarrieren, die es einem Angreifer unmöglich machen sollen, unsere Daten zu erspähen. In der Praxis dienen uns Usernamen und Passwörter als Sicherheitsbarrieren. Im konkreten Beispiel loggen wir uns mit diesem Authentifizierungspaar zum Beispiel an einem FTP-Server ein. Da dieser weiß, dass wir unsere Daten schützen möchten, fragt er nach einem Passwort und einem dazugehörigen Usernamen. Wir schicken ihm die gewünschten Informationen zu und hoffen uns nicht vertippt zu haben. Der Server empfängt die Daten und weiß somit, dass wir auch wirklich wir sind, und gibt uns Zugriff auf unsere Daten.
5.2 OpenSSH
261
Obwohl dieses System allein schon nicht allzu sicher ist, vertrauen wir darauf, da wir denken, dass nur wir die richtige Kombination aus Usernamen und Passwort kennen. Dies mag zwar stimmen, aber leider kümmern wir uns wenig um das Programm, das wir zur Authentifizierung nutzen. So kommt es leider immer noch vor, dass Benutzer ihre Passwörter via Telnet oder FTP im Internet hin- und herschicken, obwohl sie eigentlich wissen sollen, dass die sensitiven Daten, die dabei ausgetauscht werden, von jedermann eingesehen werden können. Dies liegt daran, dass der Datenverkehr nicht verschlüsselt wird. Die OpenSSH-Programm-Suite liefert uns einige Tools, die den ausgetauschten Datenverkehr verschlüsseln und uns somit vor gemeinen Snifferattacken schützen. Welche Programme uns dabei zur Verfügung stehen und was sie uns bieten, erfahren Sie im Folgenden:
ssh – ein Client, den Sie benutzen können, um sich an einem Server anzumelden sshd – der Server, der den Zugriff regelt ssh-agent – ein Agent für Authentifizierung, der private Schlüssel speichern kann ssh-add – mit diesem Tool können Sie Schlüssel zum ssh-agent hinzufügen sftp – ein FTP Client, der das SSH1- und SSH2-Protokoll versteht und einsetzt scp – hiermit können Sie Daten sicher kopieren ssh-keygen – dieses Programm brauchen Sie um Schlüssel zu generieren sftp-server – ein sicherer FTP-Server, der automatisch mit dem SSH Server gestartet wird ssh-keyscan – Sie können dieses Programm benutzen, um öffentliche Hostschlüssel von verschiedenen Rechnern zusammenzutragen
Wir werden jedes der aufgeführten Tools genau besprechen. Vorab möchte ich Ihnen aber schon raten, diese Programme für den Datenaustausch zu benutzen, um sicherzugehen, dass Ihre Passwörter und die sensitiven Informationen auch nicht lesbar übertragen werden.
5.2.1
Installation
Obwohl die meisten Distributionen OpenSSH als Paket mitliefern, sollten Sie sich die jeweils aktuellste Version aus einer sicheren Quelle besorgen. Sichere Bezugsquellen 1. Die erste Möglichkeit besteht darin, sich das Paket (Source oder RPM) von der Buchseite zu besorgen. 2. Sie können das Programm aber www.openssh.com downloaden.
auch
von
der
offiziellen
Seite
262
5 Verschlüsselung
RPM Falls Sie sich für das RPM-Paket entschieden haben, ist die Installation ein Kinderspiel: Linux:~# rpm -i openssh-version.rpm
Danach haben Sie ein fertig installiertes OpenSSH-Paket auf Ihrem Rechner.
5.2.2
Der Server
Da ich mir nicht im Geringsten anmaßen will, Ihnen an dieser Stelle die volle Komplexität dieses Servers und seiner Funktionsweise zu erklären, werde ich versuchen, Ihnen in wenigen Sätzen darzustellen, was dieser Server überhaupt ist und was er leisten kann. Funktionsweise In diesem Abschnitt werden Sie erfahren, wie ein Login-Prozess über einen SSH Server abläuft und wie er funktioniert. Verbindungsaufbau und Protokollaustausch 1. Der Client schickt zum Zielserver einen Verbindungsaufbau auf Port 22. Nachdem der Server der Verbindung zugestimmt hat, tauschen der Client und der Server die jeweiligen Protokollversionen aus, um sicherzugehen, dass eine Kommunikation fehlerfrei stattfinden kann (Abbildung 5.1).
Abbildung 5.1 Erster Schritt im Login-Prozess
Wechsel zu Binärprotokoll Danach wechseln der Server und der Client auf ein Binärprotokoll. Server sendet RSA-Schlüssel Der Server sendet seine beiden öffentlichen Schlüssel Hpub (permanenter Hostkey) und Spub (dynamischer Hostkey). Der dynamische Key Spub bedingt eine zusätzliche Sicherheit, so dass die Kenntnis des statischen Keys nicht ausreicht. Außerdem wird dem Client noch eine Liste mit den verfügbaren Chiffren übermittelt (Abbildung 5.2)
5.2 OpenSSH
263
Abbildung 5.2 Server sendet RSA-Schlüssel
Vergleich der Schlüssel Der Client vergleicht nun seine lokale Kopie des Hostkeys mit dem vom Server angegebenen Schlüssel (Hpub) anhand seiner lokalen Dateien. Falls der Rechner nicht bekannt ist, wird gefragt, ob der Serverschlüssel akzeptiert werden soll. Falls ja, wird dieser lokal gespeichert und beim nächsten Mal wieder verwendet, ansonsten wird die Verbindung abgebrochen (Abbildung 5.3)
Abbildung 5.3 Vergleich der Schlüssel
Sitzungsschlüssel wird generiert Nun generiert der Client einen 256 Bit großen Sitzungsschlüssel und verschlüsselt diesen mit dem permanenten und dem dynamischen Hostschlüssel. Danach schickt er das Ergebnis zum Server und übergibt ihm das symmetrische Verfahren, das er gewählt hat. Authentifizierung Da der gesamte Datenverkehr nun mit dem Session Key (Sitzungsschlüssel) verschlüsselt wird, kann die Authentifizierung via Passwort usw. erfolgen, ohne dass die Gefahr des Abfangens besteht.
Abbildung 5.4 Datenverkehr wird verschlüsselt
264
5 Verschlüsselung
Da dieses Buch aber hauptsächlich als eine Art großes Howto dienen sollte, werden wir nicht näher auf die weitere Authentifizierung eingehen, sondern uns gleich mit der Konfiguration des Servers beschäftigen. Sie brauchen hier aber keine Angst zu haben, dass Ihnen dabei wichtige Informationen über die Authentifizierung oder Ähnliches entgehen, da die Besprechung der verschiedenen Tools und der dafür verfügbaren Optionen alle Einzelheiten der Funktionsweise aufgreifen wird. Konfiguration über die Kommandozeile Grundsätzlich gibt es zwei Methoden, um den SSH-Server zu konfigurieren. 1. Über die Kommandozeile 2. Über eine Konfigurationsdatei 3. Wir werden uns als Erstes mit der Konfiguration über die Kommandozeile beschäftigen. Beachten Sie dabei, dass Sie diese Methode auch verwenden können, um bestimmte Werte in der Konfigurationsdatei zu überschreiben. Allgemeine Syntax Der allgemeine Aufruf für die Konfiguration über die Kommandozeile lautet: Linux:~# sshd -Optionen
Verfügbare Optionen Wir werden uns nun mit den verfügbaren Optionen für die Konfiguration des Servers beschäftigen. Tabelle 5.5 enthält alle Optionen und gibt zu jedem aufgeführten Punkt eine kurze Beschreibung. Option
Beschreibung
-b Bits
Gibt die Anzahl der Bits im flüchtigen Serverschlüssel an. Der Defaultwert liegt bei 768 Bit.
-d
Hiermit initialisieren Sie den Debugmodus. Der Server wird viel Debugausgaben ausgeben und nicht im Hintergrund laufen. Er wird dabei nur eine Verbindung bearbeiten. Sie können den Level des Debugmodus erhöhen, indem Sie die Option mehrmals angeben. Das Maximum liegt bei dreimal.
-e
Wenn Sie diese Option angeben, wird der SSH-Server seine Ausgaben nach STDERR (standard error) anstatt zum Systemlog schicken.
-f Konfigurationsdatei
Sie können diese Option benutzen, um dem Server die Konfigurationsdatei zu übergeben. Er wird nicht starten, wenn Sie keine Konfigurationsdatei angelegt haben. Der Defaultwert liegt bei /etc/ssh/sshd_config.
-g login_grace_time
Mit dieser Option geben Sie an, wie viel Zeit (in Sekunden) einem Client zur Authentifizierung eines Users zur Verfügung steht. Falls er es nicht schafft, den User innerhalb der angegebenen Zeit zu authentifizieren, wird die Verbindung beendet. Tabelle 5.5 Verfügbare Optionen
5.2 OpenSSH
Option
265
Beschreibung Der Defaultwert liegt bei 600 Sekunden. Falls Sie kein Limit für die Authentifizierung setzen wollen, können Sie dies erreichen, indem Sie eine 0 angeben.
-h host_key_Datei
Mit dieser Option spezifizieren Sie die host_key_Datei, aus der der Hostschlüssel gelesen wird. Sie müssen diese Option angeben, falls der Server nicht als root läuft. Es ist weiter möglich, mehrere Dateien anzugeben (für verschiedene Protokollversionen und Hostschlüsselalgorithmen).
-i
Falls Sie wollen, dass Ihr SSH-Server unter dem Superserver (inetd) läuft, können Sie das durch diese Option erreichen. Sie sollten dabei aber beachten, dass es normalerweise besser ist, wenn der Server nicht unter inetd läuft, da er einen Serverschlüssel generieren muss. Clients müssten zu lange warten, wenn der Schlüssel jedes Mal neu generiert werden müsste. Sie könnten dieses Problem umgehen, indem Sie die Schlüsselgröße auf 512 begrenzen – dies geht dann aber zu Lasten der Sicherheit.
-k key_gen_time
Diese Option gibt an, wie oft der flüchtige Schlüssel eines Protokoll-1Servers neu generiert werden muss. Der Defaultwert liegt bei 3600 Sekunden. Wenn Sie den Wert 0 übergeben, so wird der Schlüssel niemals neu generiert.
-p port
Hiermit können Sie den Port, auf dem der Server lauschen soll, angeben. Normalerweise läuft der Server auf Port 22.
-q
Quiet mode. Falls Sie nicht wollen, dass der Server Ihr Systemlog füllt, können Sie das mit dieser Option erreichen. Falls Sie diese Option nicht angeben (empfehlenswert), werden der Beginn, die Authentifizierung und die Beendigung einer Verbindung geloggt.
-u len
Um die Größe des Feldes in der UTMP-Struktur, die den Namen des Remotehosts speichert, zu spezifizieren, können Sie diese Option verwenden. Falls der antwortende Rechner einen Namen hat, der länger ist als die von Ihnen hier angegebene Länge des Feldes, so wird die IPAdresse als Name verwendet. Dies hat zur Folge, dass auch Hosts mit sehr langen Namen immer noch eindeutig identifiziert werden können. Falls Sie nur IP-Adressen zur Identifizierung wünschen, können Sie dies erreichen, indem Sie -u0 angeben.
-D
Diese Option erlaubt es Ihnen, Ihren SSH-Server zu überprüfen. Falls Sie diese Option angeben, wird der Server nicht als Daemon laufen.
-4
Es werden nur IPv4-Adressen verwendet.
-6
Hiermit werden nur IPv6-Adressen verwendet. Tabelle 5.5 Verfügbare Optionen (Forts.)
266
5 Verschlüsselung
Konfiguration über die Konfigurationsdatei Nun werden wir uns mit der zweiten Konfigurationsmöglichkeit beschäftigen – der Konfigurationsdatei. Diese besteht aus Schlüsselwörtern, denen Sie bestimmte Werte oder Argumente zuweisen müssen. Kommentare läuten Sie durch das #-Zeichen ein. Verfügbare Schlüsselwörter Tabelle 5.6 stellt Ihnen die verfügbaren Schlüsselwörter vor und gibt zu jedem aufgeführten Punkt eine kleine Beschreibung. Schlüsselwort
Beschreibung
AFSTokenPassing
Dieses Schlüsselwort gibt an, ob AFS Token zum Server weitergeleitet werden sollen oder nicht. Der Defaultwert steht auf »yes«.
AllowGroups
Hiermit können Sie den Login auf Mitglieder bestimmter Gruppen beschränken. Falls Sie mehrere Gruppen angeben wollen, können Sie die einzelnen Namen durch Leerzeichen trennen. Beachten Sie dabei aber, dass nur Gruppennamen erlaubt sind. Falls Sie die numerische Gruppen-ID angeben, wird diese nicht erkannt. Per Default ist keine Gruppe angegeben und der Login somit für jeden User möglich. Sie können ebenfalls die Wildcard »*« (all) und »?« (any) benutzen.
AllowTcpForwarding Falls Sie TCP Forwarding verbieten wollen, müssen Sie diesem Schlüsselwort das Argument »no« übergeben. Hierbei gilt es aber zu beachten, dass das Verbieten von TCP Forwarding alleine die Sicherheit nicht erhöht, solange ein User Zugriff auf die Shell hat und dort somit seinen eigenen Forwarder installieren kann. Der Defaultwert ist »yes« und TCP Forwarding ist somit erlaubt. AllowUsers
Diese Option erlaubt es Ihnen, den Login auf bestimmte User zu beschränken. Die User, die Sie diesem Schlüsselwort übergeben können Sie durch Leerzeichen trennen. User, die Sie nicht aufführen, haben keine Loginberechtigung. Beachten Sie, dass nur Usernamen erlaubt sind, falls Sie eine numerische User-ID angeben, wird diese nicht erkannt. Per Default ist kein User angegeben und der Login somit für jeden User möglich. Sie haben die Möglichkeit die Wildcard »*« (all) und »?« (any) zu benutzen.
Banner
Sie können diesem Schlüsselwort eine bestimmte Datei (zum Beispiel /etc/ssh/warning) übergeben, deren Inhalt dann vor jeder Authentifizierung an den betreffenden User geschickt wird. Sie sollten diese Option nutzen, da Sie danach rechtlich besser abgesichert sind. Diese Option ist allerdings nur für Protokollversion 2 verfügbar. Tabelle 5.6 Verfügbare Schlüsselwörter
5.2 OpenSSH
267
Schlüsselwort
Beschreibung
ChallengeResponseAuthentication
Gibt an, ob »Challenge Response Authentication« erlaubt ist oder nicht. Zurzeit gibt es nur Unterstützung für skey-Authentifizierung (werden wir im Verlauf dieses Kapitels noch genauer besprechen). Der Defaultwert ist »yes«.
Ciphers
Mit Hilfe dieser Option können Sie die erlaubten Cipher-Algorithmen für Protokoll 2 angeben. Falls Sie mehrere angeben wollen, müssen Sie diese mit einem Komma voneinander trennen. Der Defaultwert ist: »aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour«.
CheckMail
Gibt an, ob der SSH Server überprüfen soll, ob neue Mails für interaktive Logins vorhanden sind. Der Defaultwert ist »no«.
ClientAliveInterval
Hiermit können Sie einen bestimmten Zeitraum (in Sekunden) angeben, in dem der Client keine Daten an den Server schicken muss. Hat er aber dieses Intervall überschritten, schickt der Server eine Nachricht zum Client, in der er eine Antwort vom Client erbittet. Falls Sie diesem Schlüsselwort den Wert 0 übergeben, so wird diese Nachricht niemals losgeschickt. Diese Option funktioniert nur unter Protokollversion 2. Beachten Sie aber bitte, dass diese Option völlig anders agiert als die Option Keepalive, welche weiter unten beschrieben wird. Die hier vorgestellte Option schickt die Nachrichten an den Client durch den verschlüsselten Sitzungskanal und macht es somit unmöglich, dass diese Nachrichten gefälscht werden.
ClientAliveCountMax
Sie können mit dieser Option angeben, wie viele Client-Alive-Messages (siehe vorhergehende Option) an den Client geschickt werden, ohne dass der Server eine Antwort erhält. Falls diese Schwelle überschritten wird, trennt der Server die Verbindung und beendet die Sitzung. Der Defaultwert ist 3. Falls Sie der ClientAliveInterval-Option den Wert 15 übergeben und den Wert dieser Option auf 3 lassen, so wird ein Client, der nicht antwortet, nach ca. 45 Sekunden vom Server getrennt.
DenyGroups
Sie können dieser Option Gruppennamen übergeben, deren Mitglieder sich danach nicht mehr am SSH-Server einloggen dürfen. Falls Sie mehrere Gruppennamen übergeben wollen, können Sie die einzelnen Einträge durch Leerzeichen voneinander trennen. Beachten Sie dabei aber bitte, dass Sie nur Gruppennamen übergeben dürfen, falls Sie eine numerische Gruppen-ID übergeben, wird diese nicht erkannt. Per Default ist keine Gruppenbeschränkung angegeben.
DenyUser
Auch hierbei können Sie bestimmten Usern den Login auf Ihrem SSHServer verbieten. Falls Sie mehrere User angeben wollen, können Sie die einzelnen Namen durch Leerzeichen voneinander trennen. BeachTabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
268
Schlüsselwort
5 Verschlüsselung
Beschreibung ten Sie dabei aber bitte, dass Sie nur Usernamen angeben dürfen, falls Sie eine numerische User-ID übergeben, wird diese nicht erkannt. Per Default darf sich jeder User anmelden.
GatewayPorts
Gibt an, ob sich Remotehosts auf Ports, die vom Client weitergeleitet werden, verbinden dürfen. Der Defaultwert liegt bei »no«.
HostbasedAuthentication
Gibt an, ob rhosts oder /etc/hosts.equiv-Authentifizierung zusammen mit erfolgreicher Public Key Client Hostauthentifizierung erlaubt ist (hostbased Authentication). Diese Option ist gleichbedeutend mit der Option RhostsRSAAuthentication und benötigt Protokollversion 2. Der Defaultwert ist »no«.
HostKey
Dieser Option können Sie die Datei übergeben, welche die privaten Hostschlüssel, die von SSH Protokoll 1 und 2 genützt werden, enthält. Beachten Sie dabei aber, dass der Server eine Datei, die von der Gruppe World (also von jedermann) eingesehen werden kann, ablehnen wird. Sie können dabei auch mehrere Dateien angeben. RSA1 Schlüssel werden von Protokollversion 1 genutzt, wohingegen DSA und RSA von Protokollversion 2 genutzt werden. Der Defaultwert liegt bei /etc/ssh/ssh_host_key.
IgnoreRhosts
Falls Sie dieser Option den Wert »yes« übergeben, werden .rhostsund .shosts-Dateien nicht für RhostsAuthentication, RhostsRSAAuthentication oder HostbasedAuthentication benutzt. /etc/hosts.equiv und /etc/ssh/shosts.equiv werden weiterhin genutzt. Der Defaultwert ist »yes«.
IgnoreUserKnownHosts
Durch Verwendung dieser Option geben Sie an, ob die User Known Hosts in $HOME/.ssh/known_hosts während einer RhostsRSAAuthentication oder HostbasedAuthentication ignoriert werden sollen. Der Defaultwert ist »no«.
KeepAlive
Hiermit geben Sie an, ob KeepAlive-Nachrichten zur nicht antwortenden Seite geschickt werden sollen. Falls diese Nachrichten geschickt werden, werden Sie eine Meldung bekommen, ob ein Rechner abgestürzt ist oder die Verbindung getrennt wurde. Dies heißt aber auch, dass die Verbindung beendet wird, falls die Route zur nicht antwortenden Seite (Server oder Client) zeitweise nicht verfügbar ist. Andererseits verhindern Sie damit, dass Sitzungen unendlich lange auf dem Server »hängen bleiben«, während die Verbindung schon lange zu Ende ist. Dies kann Ihnen eine Menge Ressourcen sparen. Beachten Sie dabei aber, dass diese Nachrichten nicht durch den verschlüsselten Kanal geschickt werden und somit leicht gefälscht werden können. Tabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
5.2 OpenSSH
Schlüsselwort
269
Beschreibung Der Defaultwert ist »yes« (das heißt, Keepalive-Nachrichten werden verschickt). Falls Sie das Versenden dieser Nachrichten verhindern wollen, sollten Sie in der Server- und der Client-Konfigurationsdatei den Wert »no« übergeben.
KerberosAuthentication
Mit diesem Schlüsselwort spezifizieren Sie, ob Kerberos-Authentifizierung erlaubt ist oder nicht. Diese Authentifizierung kann in Form eines Kerberos-Tickets oder, wenn PasswordAuthentication den Wert »yes« gesetzt hat, in Form eines Passworts, das durch Kerberos KDC überprüft wird, stattfinden. Damit Sie diese Option nutzen können, braucht der Server eine »servtab«, die die Verifizierung von KDC-Identitäten erlaubt. Der Defaultwert ist auf »yes« gesetzt.
KerberosOrLocalPassword
Wenn die Passwortauthentifizierung durch Kerberos fehlgeschlagen ist, können Sie mit Hilfe dieser Option eine Überprüfung durch einen zusätzlichen Mechanismus wie /etc/passwd erreichen.
KerberosTgtPassing
Gibt an, ob ein Kerberos TGT zum Server weitergeleitet werden soll
Per Default ist die Option auf »yes« gesetzt. Der Defaultwert ist »no«. Beachten Sie, dass diese Option nur funktioniert, wenn der Kerberos KDV ein AFS kaserver ist. KerberosTicketCleanup
Dieses Schlüsselwort bestimmt, ob die Benutzerticketcachedatei nach einem Logout gelöscht werden soll. Der Defaultwert ist »yes«.
KeyRegenerationInterval
Hierbei geben Sie an nach wie vielen Sekunden der in Protokoll 1 genutzte flüchtige Schlüssel regeneriert werden soll. Falls Sie an dieser Stelle den Wert 0 übergeben, wird der Schlüssel niemals regeneriert. Der Defaultwert liegt bei 3600 (Sekunden).
ListenAddress
Hiermit spezifizieren Sie die lokale Adresse, auf der der SSH-Server lauschen soll. Sie können die folgenden Formate benutzen: ListenAddress host | IPv4_addr | IPv6_addr ListenAddress host | IPv4_addr : Port ListenAddress [host|IPv6_addr] : Port Per Default lauscht der Server auf allen lokalen Adressen. Sie können auch mehrere Adressen angeben. Falls Sie keinen Port angeben, wird der Port, den Sie dem Schlüsselwort Port (wird weiter unten besprochen) übergeben haben, verwendet.
LoginGraceTime
Dieses Schlüsselwort spezifiziert, nach welchem Zeitintervall der User getrennt wird, falls er sich nicht erfolgreich einloggen konnte. Um kein solches Limit anzugeben, übergeben Sie der Option den Wert 0. Per Default wird der User nach 600 Sekunden getrennt. Tabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
270
5 Verschlüsselung
Schlüsselwort
Beschreibung
LogLevel
Mit dieser Option können Sie das Log Level des SSH Servers spezifizieren. Mögliche Werte hierfür sind: QUIET FATAL ERROR INFO VERBOSE DEBUG Beachten Sie dabei aber bitte, dass das Argument DEBUG die Privatsphäre des Benutzers verletzen könnte und daher nur in gerechtfertigten Situationen eingesetzt werden sollte. Per Default ist das Log Level INFO.
MACs
Spezifiziert die verfügbaren MAC (Message Authentication Code)Algorithmen, die unter Protokollversion 2 benutzt werden, um die Integrität von Daten zu schützen. Falls Sie mehrere Algorithmen angeben wollen, müssen Sie die einzelnen Argumente durch Kommas voneinander trennen. Der Defaultwert ist: »hmac-md5, hmac-sha1, hmac-ripemd160, [email protected] , hmac-sha1-96, hmac-md5-96«
MaxStartups
Hiermit können Sie die maximale Anzahl von noch nicht authentifizierten Verbindungen zum SSH-Server spezifizieren. Falls nach dem Erreichen des hier angegebenen Limits weiter Verbindungsanfragen von Clients durchgeführt werden, werden diese abgelehnt, bis eine Verbindung authentifiziert wurde oder die LoginGraceTime für eine Verbindung abgelaufen ist. Der Defaultwert liegt bei 10. Es gibt dafür aber noch eine zweite Möglichkeit, bei der die Verbindungsanfragen nach dem Erreichen des Limits zufällig abgelehnt werden. Die Syntax hierfür lautet: start:rate:full (zum Beispiel 10:50:30) Der Platzhalter start gibt das Limit für nicht authentifizierte Verbindungen an (10). Rate beschreibt die Wahrscheinlichkeit, dass eine Verbindungsanfrage abgelehnt wird (50%). Falls die Zahl, die Sie dem Platzhalter full übergeben haben, erreicht wird (60), werden alle Verbindungsanfragen abgelehnt.
PAMAuthenticationViaKbdInt
Gibt an, ob PAM Challenge Response Authentication erlaubt ist oder nicht. Falls ja, wird es dadurch ermöglicht, die meisten PAM Challenge Response Authentication-Module zu benutzen. Weiter wird aber auch die Passwort-Authentifikation erlaubt, egal ob die Option PasswordAuthentication aktiviert oder deaktiviert ist. Der Defaultwert ist »no«. Tabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
5.2 OpenSSH
271
Schlüsselwort
Beschreibung
PasswordAuthentication
Mit Hilfe dieses Schlüsselwortes können Sie angeben, ob PasswortAuthentifizierung erlaubt sein soll oder nicht. Der Defaultwert ist »yes«.
PermitEmptyPasswords
Falls Sie die vorhergegangene Option PasswordAuthentication aktivieren, können Sie mit dieser Option hier angeben, ob es dem User erlaubt ist, sich in Accounts einzuloggen, die nur mit einem leeren Passwort geschützt sind.
PermitRootLogin
Sie können mit dieser Option angeben, ob sich der Superuser (root) mit Hilfe des SSH-Clients an Ihrem SSH-Server einloggen darf. Mögliche Werte für dieses Schlüsselwort sind:
Der Defaultwert ist »no«.
yes no without-password forced-commands-only Der Defaultwert ist »yes«. Falls Sie das Argument »without-password« übergeben, wird die Passwortauthentifizierung für den Superuser deaktiviert. Falls Sie das Argument »forced-commands-only« übergeben, darf sich der Superuser via Public Key-Authentifizierung einloggen, aber nur wenn die Option command spezifiziert wurde. Alle anderen Authentifizierungsmethoden werden deaktiviert. PidFile
Diese Option erlaubt es Ihnen, die Datei, die den Process Identifier Ihres SSH-Servers enthält, zu spezifizieren. Der Defaultwert liegt bei »/var/run/sshd.pid«.
Port
Gibt die Portnummer an, auf der der Server lauscht. Sie können auch mehrere Ports angeben
PrintLastLog
Falls Sie diesem Schlüsselwort das Argument »yes« übergeben, zeigt der SSH Server das Datum und die Zeit des letzten erfolgreichen Logins eines Users.
PrintMotd
Gibt an, ob der SSH Server die Datei /etc/motd ausgeben soll, wenn sich ein User interaktiv einloggt
Der Defaultport ist 22.
Der Defaultwert ist »yes«.
Der Defaultwert ist »yes«. Protocol
Gibt die Version des Protokolls an, die der SSH-Server benutzen soll. Verfügbare Protokollversionen sind 1 und 2. Sie können auch beide Versionen angeben. Dann müssen Sie diese aber durch ein Komma voneinander trennen. Der Defaultwert liegt bei »2,1«. Tabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
272
5 Verschlüsselung
Schlüsselwort
Beschreibung
PubkeyAuthentication
Hiermit können Sie Public-Key-Authentication erlauben. Beachten Sie dabei aber, dass dies nur von Protokoll 2 unterstützt wird. Der Defaultwert liegt bei »yes«.
ReverseMappingCheck
Diese Option stellt eine Art »kleinen Spoofingschutz« des SSH-Servers dar, da es ihn mit diesem Schlüsselwort dazu anweist, den Namen des Remotehosts und die dazugehörige IP-Adresse zu verifizieren, indem es überprüft, ob Antwortpakete zu derselben IP zurückgehen. Der Defaultwert ist »no«.
RhostsRSAAuthentication
Gibt an, ob rhosts- oder /etc/hosts.equiv-Authentifizierung zusammen mit erfolgreicher RSA Host-Authentifizierung erlaubt ist. Der Defaultwert ist »no«. Diese Option bezieht sich nur auf Protokoll 1.
RSAAuthentication
Gibt an, ob reine RSA-Authentifizierung erlaubt ist. Der Defaultwert ist »yes«. Diese Option bezieht sich nur auf Protokoll 1.
ServerKeyBits
Hierbei können Sie die Anzahl der Bits im flüchtigen Serverschlüssel des Protokoll Version 1 definieren. Die minimale Anzahl beläuft sich auf 512 Bit. Per Default besteht dieser Key aus 768 Bit.
StrictModes
Mit Hilfe dieser Option können Sie Ihren SSH-Server anweisen, den Modus und den Ownership der Dateien und des Homeverzeichnisses des Users, der sich einloggen will, zu überprüfen. Der Defaultwert hierfür ist »yes«.
Subsystem
Dieses Schlüsselwort konfiguriert ein externes Subsystem (wie zum Beispiel den File Transfer Daemon – FTPD). So implementiert zum Beispiel das Argument »stfp-server« den »sftp« File Transfer Server als Subsystem. Per Default werden keine Subsysteme gestartet. Beachten Sie bitte, dass sich dieses Schlüsselwort auf die Benutzung des Protokolls Version 2 bezieht.
SyslogFacility
Hiermit können Sie den Facility Code für Logging-Nachrichten angeben. Mögliche Werte für dieses Argument sind: DAEMON USER AUTH LOCAL0 LOCAL1 LOCAL2 LOCAL3 LOCAL4 Tabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
5.2 OpenSSH
Schlüsselwort
273
Beschreibung LOCAL5 LOCAL6 LOCAL7 Der Defauftwert ist AUTH.
UseLogin
Sie können mit dieser Option festlegen, ob das Prgramm login für interaktive Sitzungen verwendet werden soll oder nicht. Bedenken Sie, dass login niemals für die Ausführung von Remotebefehlen benutzt wird.
X11DisplayOffset
Sie können hiermit die erste für Ihren SSH-Server verfügbare Displaynummer für X11 Forwarding spezifizieren. Damit wird gewährleistet, dass der SSH Server die »wirklichen« X11-Server nicht stört.
X11Forwarding
Gibt an, ob X11 Forwarding erlaubt ist. Wenn Sie dieses Feature verbieten, heißt das noch lange nicht, dass kein X11 Forwarding stattfindet, da jeder User sein eigenes Forwardingtool installieren kann.
Der Defaultwert ist »no«.
Der Defaultwert liegt bei 10.
Der Defaultwert ist »no«. XauthLocation
Gibt an, wo sich das Programm xauth befindet Der Defaultwert ist /usr/X11R6/xauth. Tabelle 5.6 Verfügbare Schlüsselwörter (Forts.)
Beispielkonfigurationsdatei Da wir nun alle verfügbaren Schlüsselwörter für die Serverkonfigurationsdatei kennen und verstehen gelernt haben, sollten wir einen Blick auf eine Beispielkonfigurationsdatei werfen. # $OpenBSD: sshd_config, v 1.38 2001/04/15 21:41:29 deraadt Exp $ # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # This is the sshd server system-wide configuration file. See sshd(8) # for more information. Port 22 Protocol 1,2 ListenAddress 209.100.190.116 HostKey /etc/ssh/ssh_host_key HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key ServerKeyBits 1024 LoginGraceTime 500 KeyRegenerationInterval 7200 PermitRootLogin no IgnoreRhosts yes
274
5 Verschlüsselung
StrictModes yes X11Forwarding no X11DislpayOffset 10 PrintMotd yes PrintLastLog yes KeepAlive no # # Loggingeinstellungen # SyslogFacility AUTH LogLevel INFO # # Ende Loggineinstellungen # RhostsAuthentication no RhostsRSAAuthentication no HostbasedAuthentication no RSAAuthentication yes PasswordAuthentication yes PermitEmptyPasswords no ChallengeResponseAuthentication no KerberosAuthentication no KerberosOrLocalPasswd yes AFSTokenPassing no KerberosTicketCleanup no CheckMail yes UseLogin no MaxStartups 20:50:100 Banner /etc/ssh/banner ReverseMappingCheck yes Subsystemsftp/usr/lib/ssh/sftp-server
Wir werden nun nicht auf die einzelnen Schlüsselwörter eingehen, da diese bereits ausführlich besprochen worden sind.
5.2.3
Wichtige Dateien
Sicherlich haben Sie bemerkt, dass ich bei der Besprechung der Serverkonfigurationsdatei jede Menge anderer Dateien erwähnt habe, die für den erfolgreichen Betrieb einer SSH-Umgebung ebenfalls wichtig sind. Wir werden uns nun einige der wichtigsten Dateien etwas genauer anschauen. Die Dateien, deren Syntax nicht zu wichtig ist, werden wir kürzer besprechen.
5.2 OpenSSH
275
AUTHORIZED_KEYS Diese Datei enthält alle RSA-Schlüssel, die für RSA-Authentifizierung unter Protokoll Version 1 benutzt werden dürfen. Standardmäßig lautet die Adresse dieser Datei: $HOME/.ssh/authorized_keys
Unter Protokoll Version 2 enthält diese Datei alle RSA- und DSA-Schlüssel, die für Public Key-Authentifizierung benutzt werden dürfen. Sie ist unter folgendem Namen zu finden: $HOME/.ssh/authorized_keys2
Formatierung An dieser Stelle werden wir kurz die Formatierung dieser Datei besprechen und die verfügbaren Optionen dazu kennen lernen. Jede Zeile in dieser Datei hat einen Schlüssel. Falls es sich bei einem Schlüssel um einen RSA Public Key handelt, so besteht diese Zeile aus folgenden Feldern, welche durch Leerzeichen voneinander getrennt sind:
options bits exponent modulus comment
Jeder Public Key unter Protokoll Version 2 besteht wiederum aus diesen Feldern:
options keytype base64 encoded key comment
Die »options«-Felder sind dabei optional. Ob sie erscheinen hängt davon ab, ob eine Zeile mit einer Zahl beginnt oder nicht (»options«-Felder beginnen niemals mit einer Zahl). Die Felder »bits«, »exponent«, »modulus« und »comment« ergeben den RSA-Schlüssel für Protokoll Version 1. Im Falle von Protokoll Version 2 kann das Feld »keytype« die beiden folgenden Werte annehmen: 1. ssh-dss 2. ssh-rsa
276
5 Verschlüsselung
3. Beachten Sie dabei aber bitte die Größe und Länge dieser Zeilen. Da die benutzten RSA »key modulus« sehr groß sind, sind die einzelnen Zeilen in dieser Datei mehrere hundert Bytes lang. Weil es schier unmöglich ist, diese gewaltige Menge an Zeichen abzutippen, sollten Sie folgende Dateien editieren und die gewünschten Einträge in die authorized_key-Datei übertragen:
identity.pub id_dsa.pub id_rsa.pub
Falls die erwähnten »options«-Felder vorhanden sind, bestehen Sie aus Optionsspezifikationen, die durch Kommas voneinander abgetrennt sein. Welche Optionsspezifikationen dabei zur Verfügung stehen, können Sie Tabelle 5.7 entnehmen. Optionsspezifikation
Beschreibung
from=»Patternliste«
Gibt an, dass zusätzlich zur RSA-Authentifizierung der kanonische Name des Remotehosts in einer durch Kommas getrennten Liste von Pattern vorhanden sein muss. Sie können dabei auch die Wildcards »*« (all) und »?« (any) benutzen. Diese Liste kann ebenfalls negierte Pattern erhalten (Eine Negierung erreichen Sie, indem Sie »!« vor den Pattern stellen.). Falls der kanonische Hostname auf ein negiertes Pattern zutrifft, wird der betreffende Schlüssel nicht akzeptiert. Damit wird es für einen Cracker, der einen akzeptierten Schlüssel gestohlen hat, schwieriger, diesen einzusetzen, da die Rechner (bzw. die Rechnernamen), die den Schlüssel benutzen dürfen, durch die eben vorgestellte Liste begrenzt werden können.
Command=»Befehl«
Hiermit geben Sie an, dass der von Ihnen spezifizierte Befehl jedes Mal ausgeführt wird, wenn der Schlüssel für eine Authentifizierung genutzt wird. Falls der User einen Befehl übergibt, wird dieser ignoriert. Wenn die Verbindung einen pty verlangt, wird der Befehl dort ausgeführt. Andernfalls wird er ohne tty ausgeführt. Falls Sie jedoch einen sauberen 8 Bit Kanal wünschen, dürfen Sie einen pty verlangen oder sollten no-pty spezifizieren. Sie können auch Anführungszeichen in Ihren Befehl einbauen, wenn Sie diese mit einem Backslash anführen. Sie können diese Option nutzen, um RSA- Schlüssel davon abzuhalten, bestimmte Operationen durchzuführen.
Environment= »NAME=Wert«
Falls sich ein User mit Hilfe des betreffenden Schlüssels einloggt, wird der hier angegebene String seiner ENV hinzugefügt. Beachten Sie hierbei aber, dass die durch diese Option spezifizierten Variablen die Defaultvariablen der ENV überschreiben. Tabelle 5.7 Verfügbare Optionsspezifikationen
5.2 OpenSSH
277
Optionsspezifikation
Beschreibung
no-port-forwarding
Diese Option verbietet TCP/IP-Weiterleitung, falls der betreffende Schlüssel für die Authentifizierung genutzt wurde. Jede Weiterleitungsanfrage des Clients wird mit einer Fehlermeldung beantwortet.
no-X11-forwarding
Hierbei wird X11-Weiterleitung verboten, falls der betreffende Schlüssel für die Authentifizierung genutzt wurde. Auch hier erhält der Client einer Fehlermeldung.
no-agent-forwarding
Falls der betreffende Schlüssel für die Authentifizierung genutzt wurde, wird »authentication agent« Weiterleitung untersagt.
no-pty
Mit dieser Option verhindern Sie, dass dem User ein tty zugewiesen wird.
Permitopen=»Host:Port«
Hiermit können Sie lokale Portweiterleitung (ssh -L) so weit limitieren, dass nur noch zum angegebenen Host und dem spezifizierten Port eine Verbindung aufgebaut werden kann. Falls Sie diese Option mehrmals aufführen möchten, müssen Sie die einzelnen Einträge durch Kommas voneinander trennen.
Tabelle 5.7 Verfügbare Optionsspezifikationen (Forts.)
SSH_KNOWN_HOSTS In folgenden Dateien finden Sie Informationen über die öffentlichen Schlüssel der bekannten Hosts:
/etc/ssh/ssh_known_hosts (Protokoll Version 1) /etc/ssh/ssh_known_hosts2 (Protokoll Version 2) $HOME/.ssh/known_hosts (Protokoll Version 1) $HOME/.ssh/known_hosts2 (Protokoll Version 2)
Formatierung Jede Zeile in einer dieser Dateien enthält folgende Felder:
hostnames bits exponent modulus comment
Diese Felder werden durch Kommas voneinander getrennt. Das Feld »hostnames« besteht aus einer Liste von Pattern, die durch Kommas voneinander abgetrennt werden. Jedes aufgeführte Pattern trifft abwechselnd auf den kanonischen Hostnamen (wenn ein Client authentifiziert wird) oder auf einen vom User angegebenen Namen (wenn ein Server authentifiziert wird). Sie können für die Pattern die Wildcards »*« (all) und »?« (any) benutzen oder sie
278
5 Verschlüsselung
durch Voranstellen des !-Operators negieren. Falls ein Hostname auf ein negiertes Pattern zutrifft, wird dieses von der betreffenden Zeile nicht akzeptiert. Die Felder »bits«, »exponent« und »modulus« werden direkt aus dem RSA-Hostschlüssel entnommen. Das optionale Feld »comment« wird nicht benutzt. Wenn die Authentifizierung durchgeführt wird, wird die Authentifizierung akzeptiert, sobald eine zutreffende Zeile einen passenden Schlüssel aufweist. Daher ist es zulässig (aber nicht empfehlenswert), mehrere Zeilen oder unterschiedliche Hostschlüssel für denselben Namen zu haben. Dies wird unvermeidlich geschehen, falls Sie die Kurzform von verschiedenen Hostnamen aus verschiedenen Domänen in dieselbe Datei stecken.
5.2.4
Alle Dateien
Nachdem wir nun die zwei »wichtigsten« Dateien besprochen haben, werden wir im Folgenden eine Art Referenz für alle Dateien schaffen. Wir werden dabei nicht zu tief in die Syntax der jeweiligen Files eingehen, sondern lediglich kurz die wichtigsten Informationen darüber beschreiben. In dieser Referenz finden Sie alle Dateien wieder. Auch diejenigen, die wir bereits ausführlich besprochen haben. /etc/ssh/sshd_config Dies ist die Serverkonfigurationsdatei. Diese Datei sollte nur für den Superuser beschreibbar sein. /etc/ssh/ssh_host_key, ssh_host_dsa_key, ssh_host_rsa_key In diesen Dateien befindet sich der private Teil der Hostschlüssel. Sie sollten Eigentum des Superusers sein, der auch der Einzige sein sollte, der diese Dateien lesen darf. /etc/ssh/ssh_host_key.pub, ssh_host_dsa_key.pub, ssh_host_rsa_key.pub Der öffentliche Teil der Hostschlüssel befindet sich in diesen Dateien. Sie sollten von jedermann eingesehen, aber nur vom Superuser geändert werden dürfen. Die Inhalte sollten auf die entsprechenden privaten Teile passen. Sie können diese Dateien mit dem Programm ssh-keygen generieren, das wir noch ausführlich besprechen werden. /etc/ssh/primes Diese Datei enthält »Diffie-Hellman«-Gruppen, welche für den »Diffie-Hellman Group Exchange« benötigt werden.
5.2 OpenSSH
279
/var/run/sshd.pid In dieser Datei befindet sich die Process ID (PID) des als letzten gestarteten SSH Servers. $HOME/.ssh/authorized_keys Die RSA-Schlüssel, die ein User zum Einloggen in seinen Account benutzten kann, befinden sich in dieser Datei. Sie sollte nur vom Superuser eingesehen werden dürfen. $HOME/.ssh/authorized_keys2 Diese Datei listet die öffentlichen Schlüssel (RSA und DSA) auf, die zum Einloggen in einen Useraccount benutzt werden können. Auch dieses File sollte nur vom Superuser eingesehen werden dürfen. /etc/ssh/ssh_known_hosts, $HOME/.ssh/known_hosts Diese Dateien werden befragt, wenn rhosts zusammen mit RSA Hostauthentifizierung benutzt wird, um den öffentlichen Schlüssel eines Hosts zu überprüfen. Der Schlüssel muss in einer dieser Dateien aufgelistet sein, ansonsten wird er nicht akzeptiert. Der Client benutzt dieselben Dateien, um sicherzugehen, dass er sich mit dem richten Remotehost verbindet. Diese Dateien sollten nur vom Superuser verändert werden dürfen. /etc/ssh/ssh_known_hosts2, $HOME/.ssh/known_hosts2 Diese Dateien werden befragt, wenn Protokoll Version 2 hostbasierende Authentifizierung genutzt wird, um den öffentlichen Schlüssel eines Host zu überprüfen. Der Schlüssel muss in einer dieser Dateien aufgelistet sein, ansonsten wird er nicht akzeptiert. Der Client benutzt dieselben Dateien, um sicherzugehen, dass er sich mit dem richtigen Remotehost verbindet. Diese Dateien sollten nur vom Superuser verändert werden dürfen. /etc/nologin Falls diese Datei existiert, ist es nur dem User Root erlaubt, sich einzuloggen. Alle Verbindungsanfragen, die nicht vom Superuser gestellt werden, werden abgelehnt. dabei bekommt jeder, der sich einzuloggen versucht, den Inhalt dieser Datei angezeigt. /etc/hosts.allow, /etc/hosts.deny Wenn Ihr Server mit LIBWRAP-Unterstützung erstellt wurde, können Sie die TCP Wrapper Zugriffskontrollen in diesen Dateien definieren. $HOME/.rhosts Diese Datei enthält in jeder Zeile genau ein »Host-Username« Paar, die durch Kommas voneinander getrennt ist. Der User, der in diesem Paar erwähnt wird, darf sich
280
5 Verschlüsselung
an dem angegebenen Host ohne Passwort anmelden. Diese Datei wird auch von den Servern rlogind und rshd genutzt. Sie können auch netgroups definieren. Entweder der Host- oder der Username können durch ein »+@Gruppenname« angegeben werden, um alle Hosts oder alle User in einer Gruppe zu spezifizieren. $HOME/.shosts Diese Datei ist das SSH-Gegenstück zu $HOME/.rhosts, wird aber nicht von den Servern rlogind und rshd genutzt. Falls Sie diese Datei also benutzen, ist ein Zugriff nur via SSH möglich. /etc/hosts.equiv Dieses File wird während einer .rhosts-Authentifizierung genutzt. Im einfachsten Fall enthält sie lediglich einen Hostnamen pro Zeile. Die User auf einem der aufgeführten Rechner dürfen Sie ohne Passwort einloggen, falls Sie auch User auf dem Remotesystem sind. Dieser Hostname kann aber auch von einem Benutzernamen gefolgt werden. Solche Benutzer haben das Recht, sich unter jedem Usernamen (außer root) auf dem Remotesystem einzuloggen. Sie können mit der Syntax +@group auch netgroups definieren. Um Einträge zu negieren, können Sie den Operator »-« benutzen. Bedenken Sie aber dabei, dass es sehr gefährlich sein kann, wenn Sie einen Usernamen in dieser Datei aufführen, da sich dieser – wie bereits erwähnt – unter jedem Benutzernamen anmelden kann. /etc/ssh/shosts.equiv Diese Datei funktioniert nach demselben Prinzip wie /etc/hosts.equiv mit dem Unterschied, dass hierbei rsh-, rlogin- und ssh-Logins betroffen sind. $HOME/.ssh/environment Falls diese Datei existiert, werden die Einträge (NAME=Wert) in die ENV übernommen. Diese Einträge überschreiben bereits vorhandene Umgebungsvariablen. $HOME/.ssh/rc Wenn diese Datei existiert, werden die darin aufgeführten Syntaxzeilen von der Shell /bin/sh ausgeführt. Dies geschieht, nachdem die Umgebungsvariablen gelesen wurden, aber bevor die Shell des Benutzers gestartet wird. Die Hauptaufgabe dieses Files ist es, Startroutinen, die laufen müssen, bevor das Homeverzeichnis des Users zugänglich ist, auszuführen. Ein Beispiel für die Einträge dieser Datei finden wir in dem Manual: if read proto cookie; then echo add $DISPLAY $proto $cookie | xauth -q fi
5.2 OpenSSH
281
Falls diese Datei nicht existiert, wird stattdessen das File /etc/ssh/sshrc ausgeführt. Wenn auch diese Datei nicht verfügbar ist, wird xauth benutzt, um den Cookie zu speichern. /etc/ssh/sshrc Diese Datei wird ausgeführt, falls die Datei $HOME/.ssh/rc nicht verfügbar ist, und kann benutzt werden, um globale Startroutinen zu definieren.
5.2.5
Der Client
Nachdem wir den SSH-Server nun ausführlich besprochen haben und damit in der Lage sind, einen sicheren Loginserver zu installieren, sollten wir uns den Client dazu näher anschauen. Der Client ermöglicht es, sich in einem Remotesystem, auf dem ein SSH Server läuft, einzuloggen und dort Befehle auszuführen. Falls Sie die Wahl haben, sollten Sie diesen Client auf jeden Fall Programmen wie rsh und rlogin vorziehen, da die Verbindungen über SSH über einen sicheren, verschlüsselten Kanal laufen. Obwohl wir die grundsätzlichen Abläufe bei einem Login bereits ausführlich besprochen haben, sollten wir einen Blick auf die Geschehnisse nach dem erfolgreichen Login anschauen. Sitzung Nachdem der Benutzer seine Identität gegenüber dem Client bewiesen und der Server den User akzeptiert hat, führt der Server entweder den übergebenen Befehl aus oder gibt dem Benutzer eine normale Shell. Falls der User einen pty (Pseudo-Terminal) zugewiesen bekommen hat, hat er die Möglichkeit so genannte Escape Characters zu benutzen. Falls aber kein pty zugewiesen wurde, ist die Sitzung transparent und kann zur zuverlässigen Übertragung von binären Daten dienen. Sie haben aber auch die Möglichkeit durch das Setzen des Escape Characters »none« eine transparente Sitzung zu erzeugen, obwohl Sie einen Terminal zugewiesen bekommen haben. Escape Characters Wie wir bereits gesehen haben, können Sie eine Vielzahl an Funktionen benutzen, falls Sie einen Pseudo-Terminal zugewiesen bekommen haben. Diese Funktionen können Sie über die Escape Characters ansprechen, welche Sie mit einer Tilde (~) einleiten. Falls Sie die Funktionen der Tilde wie bei einer lokalen Shell nutzen wollen, können Sie dies erreichen, indem Sie die Tilde doppelt aufführen (~~). Wie wir im Laufe dieses Kapitels noch erfahren werden, können Sie diese Escape Characters in der Konfigurationsdatei oder durch die Option -e ändern. Tabelle
282
5 Verschlüsselung
5.8 listet alle verfügbaren Standard-Escapes auf und gibt Ihnen zu jedem Punkt eine kurze Beschreibung. Escape Character
Beschreibung
~.
Verbindung trennen
~^Z
Hintergrund SSH
~#
Listet die weitergeleiteten Verbindungen auf
~&
Hintergrund SSH bei einem Logout, wenn auf weitergeleitete Verbindungen oder zu beendende X11-Sitzungen gewartet wird (Protokoll Version 1)
~?
Gibt eine Liste von verfügbaren »Escape Characters« aus
~R
Erbittet eine Rejustierung der Verbindung Tabelle 5.8 Verfügbare »Escape Characters«
X11- und TCP-Weiterleitungen Wenn der Benutzer X11 benutzt, wird die Verbindung zur X11-Anzeige automatisch zum Remotesystem weitergeleitet, so dass alle X11-Programme, die von der Shell oder über einen Befehl gestartet werden, durch den verschlüsselten Kanal gehen. Die Verbindungen zum echten X-Server werden dabei vom lokalen System initialisiert und verwirklicht. Sie können diese Weiterleitungen in der Konfigurationsdatei und über einen Befehl konfigurieren. Server-Authentifizierung Obwohl wir die Authentifizierung schon ausführlich besprochen haben, möchte ich nochmals kurz darauf eingehen. SSH verfügt über eine Datenbank, die Informationen zur Identifizierung alle bekannten Rechner enthält. In welchen Files diese Informationen untergebracht sind, werden Sie im Folgenden erfahren, falls Sie mehr Informationen über die einzelnen Dateien wünschen, werfen Sie einen Blick auf den bereits besprochenen Abschnitt »Wichtige Dateien«. $HOME/.ssh/known_hosts, $HOME/.ssh/known_hosts2 Diese Dateien enthalten Informationen über die RSA-Hostschlüssel. Informationen, die für Protokoll Version 1 interessant sind, werden in der Datei known_hosts gespeichert, wohingegen Informationen zu Protokoll Version 2 in dem File known_hosts2 zu finden sind. /etc/ssh/ssh_known_hosts, /etc/ssh/ssh_known_hosts2 Falls SSH die benötigten Daten in den vorhergehenden Dateien nicht finden kann, werden diese (globalen) Files zusätzlich überprüft. Wobei alle neuen Hosts automatisch zu den benutzerspezifischen Dateien hinzugefügt werden.
5.2 OpenSSH
283
Falls sich die Identifikation eines Hosts jemals ändert, erhält der Benutzer darüber eine Meldung. Außerdem wird die Passwort-Authentifizierung deaktiviert, damit das Benutzerkennwort nicht von einem Trojanischen Pferd abgefangen werden kann. Aufruf Der allgemeine Aufruf des SSH-Clients erfolgt über folgenden Befehl: Linux:~# ssh [Optionen] [Hostname | User@Hostname] [Befehl]
Die Optionen zu diesem Befehl werden Sie im folgenden Abschnitt kennen lernen. Optionen Der SSH-Client ist ein sehr komplexes und umfangreiches Tool. Um die Features dieses Programms voll ausschöpfen zu können, sollten Sie alle verfügbaren Optionen kennen. Tabelle 5.9 listet alle verfügbaren Optionen auf und gibt Ihnen eine kurze Beschreibung zu jeder aufgeführten Option. Option
Beschreibung
-a
Hiermit verhindern Sie, dass die Verbindung des »Authentication Agent« weitergeleitet wird.
-A
Diese Option aktiviert die Weiterleitung des »Authentication Agent«.
-c blowfish | 3des
Spezifiziert den Cipher-Algorithmus, der für die Verschlüsselung der Sitzung benutzt werden soll. 3des (triple-des) gilt als sicher und benutzt drei verschiedene Schlüssel. blowfish ist ebenfalls ein sehr sichere Algorithmus, aber wesentlich schneller als triple-des. Per Default wird der triple-des-Algorithmus verwendet.
-c cipher-spec
Zusätzlich können Sie unter Protokoll Version 2 eine Liste von CipherAlgorithmen übergeben. Dabei müssen Sie die einzelnen Felder durch Kommas voneinander trennen.
-e ch | ^ch | none
Hiermit können Sie den »Escape Character« setzen (Default: »~«). Dieser wird nur erkannt, wenn er am Anfang der Zeile übergeben wird. Falls Sie »none« übergeben, wird die Sitzung transparent.
-f
Diese Option bittet SSH kurz vor der Ausführung des Befehls in den Hintergrund zu gehen. Dies kann sehr nützlich sein, falls SSH nach einem Passwort verlangt, der Benutzer das Programm aber nur im Hintergrund laufen lassen will. Diese Option impliziert die Option »-n«. Es wird empfohlen, X11-Programme auf der Remoteseite folgendermaßen zu starten: ssh -f host xterm Tabelle 5.9 Verfügbare Optionen
284
5 Verschlüsselung
Option
Beschreibung
-g
Erlaubt Remotesystemen, sich zu lokal weitergeleitetem Port zu verbinden
-i Identifikations_ Datei
Diese Option erlaubt es Ihnen, die Datei, aus der der private Schlüssel für RSA- oder DSA-Authentifizierung gelesen wird, zu spezifizieren. Per Default ist diese Datei unter folgendem Namen zu finden: $HOME/.ssh/identity Sie können diese Datei aber auch über die Konfigurationsdatei angeben.
-k
Hiermit deaktivieren Sie die Weiterleitung von Kerberos Tickets und AFS Tokens. Auch diese Option lässt sich über die Konfigurationsdatei angeben.
-l Loginname
Falls Sie sich nicht unter Ihrem eigenen Usernamen am Remotesystem anmelden wollen, können Sie mit dieser Option den gewünschten Username (unter dem Sie sich anmelden werden) angeben. Auch diese Option kann in der Konfigurationsdatei spezifiziert werden.
-m mac_spec
Nur für Protokoll Version 2 Hiermit können Sie eine Liste von MAC (message authentication code) Algorithmen übergeben, wobei Sie die einzelnen Felder durch Kommas voneinander abtrennen müssen.
-n
Mit dieser Option können Sie verhindern, dass von der Standardeingabe gelesen wird. Sie müssen diese Option benutzen, wenn Sie wollen, dass SSH im Hintergrund läuft (zum Beispiel für X11 Programme).
-N
Dadurch wird verhindert, dass Remotebefehle ausgeführt werden. Sie können diese Option nutzen, falls Sie nur Ports weiterleiten wollen.
-o Option
Hiermit können Sie Optionen im Format der Konfigurationsdatei übergeben. Dies ist sehr hilfreich, falls Sie eine Option benötigen, für die es keinen separaten Kommandozeilenaufruf gibt.
-p Port
Gibt den Port an, auf den Sie sich am Remotesystem anmelden wollen.
-P
Bei Verwendung dieser Option wird für rausgehende Verbindungen ein nicht privilegierter Port benutzt. Sie können diese Option nutzen, falls Ihre Firewall den Port bis zur 1024er Grenze sperrt.
-q
Quiet Mode. Nachdem Sie diese Option angegeben haben, werden nur noch fatale Fehler angezeigt. Alle anderen Meldungen werden unterdrückt.
-s
Sie können diese Option nutzen, um ein Subsystem (zum Beispiel sftpd) auf einem Remotesystem aufzurufen.
-t
Hiermit bekommen Sie einen Pseudo-Terminal zugewiesen. Falls Sie diese Option mehrmals übergeben, bekommen Sie einen tty zugewiesen, selbst wenn SSH keinen lokalen Terminal besitzt.
-T
Zeigt die Zuordnung für Pseudo-Terminals Tabelle 5.9 Verfügbare Optionen (Forts.)
5.2 OpenSSH
285
Option
Beschreibung
-v
Verbose Mode. Damit erreichen Sie, dass SSH Debugnachrichten über die erreichten Fortschritte ausgibt. Falls Sie diese Option mehrmals übergeben, erhöht sich die Ausgabe noch weiter.
-x
Zeigt X11-Weiterleitungen
-X
Aktiviert X11-Weiterleitungen. Sie können dies aber auch in der Konfigurationsdatei aktivieren.
-C
Falls Sie eine langsame Leitung (zum Beispiel eine Modemleitung), können Sie mit dieser Option alle Daten (STDIN, STDOUT, Dateien für X11-Weiterleitungen und TCP/IP-Verbindungen) komprimieren. Bei schnellen Leitungen sollten Sie diese Option aber nicht benutzen, da dies nur zu einer Verlangsamung führen würde.
-L Port:Host:Hostport
Gibt an, dass der übergebene Port auf dem lokalen Rechner (Client) zum Rechner und Port auf dem Remotesystem weitergeleitet wird. Beachten Sie dabei, dass Sie für IPv6-Adressen eine andere Syntax verwenden sollten: port/host/hostport
-1
Nur Protokoll Version 1 wird verwendet.
-2
Nur Protokoll Version 2 wird verwendet.
-4
Es werden nur IPv4-Adressen benutzt.
-6
Es werden nur IPv6-Adressen benutzt. Tabelle 5.9 Verfügbare Optionen (Forts.)
Konfigurationsdateien SSH liest die Konfigurationen aus den folgenden Quellen und in der aufgeführten Reihenfolge: 1. Kommandozeilenoptionen (Tabelle 5.9) 2. Benutzerkonfigurationsdatei $HOME/.ssh/config 3. Systemweite Konfigurationsdatei /etc/ssh/ssh_config 4. Da wir die Kommandozeilenoptionen bereits kennen gelernt haben, können wir uns nun mit den Konfigurationsdateien beschäftigen. 5. Sie können für jeden Parameter in diesen Dateien mehrere Werte angeben, wobei immer der erste passende benutzt wird. Sie sollten daher die hostspezifischen Deklarationen am Anfang der Zeile unterbringen. Syntax Die Konfigurationsdatei besteht aus Zeilen, die das Format »Schlüsselwort Argumente« haben. Die Dateien enthalten Sektionen, die durch die Spezifikationen des
286
5 Verschlüsselung
Schlüsselwortes »Host« eingeschlossen werden. Eine solche Sektion wird nur für den Hosts, der auf eine der gemachten Spezifikationen zutrifft, angewendet. Tabelle 5.10 stellt Ihnen die verfügbaren Schlüsselwörter vor und gibt zu jedem Punkt eine kleine Beschreibung. Schlüsselwort
Beschreibung
Host
Begrenzt die folgenden Deklarationen bis zum nächsten Hostschlüsselwort. Diese Deklarationen gelten nur für einen Host, der auf einen der nachfolgenden Patterns zutrifft. Sie können für die Deklaration der Patterns die Wildcard »*« (all) und »?« (any) benutzen.
AFSTokenPassing
Diese Option ist nur für Protokoll Version 1 nutzbar und gibt an, ob ein AFS Token zum Remotesystem geleitet werden soll oder nicht. Das übergebende Argument für dieses Schlüsselwort muss »yes« oder »no« sein.
BatchMode
Hiermit deaktivieren Sie die Abfrage von Passwörtern und Passphrases. Diese Option ist sehr nützlich, falls Sie ein Skript schreiben wollen. Das übergebende Argument für dieses Schlüsselwort muss »yes« oder »no« sein. Der Defaultwert ist »yes«.
CheckHostIP
Wenn Sie diese Flag setzen, wird SSH zusätzlich die Host IP-Adresse im known_hosts-File überprüfen. Damit ist SSH in der Lage festzustellen, ob sich der Hostschlüssel durch DNS Spoofing geändert hat. Der Defaultwert ist »yes«, das heißt die Überprüfung wird per Default durchgeführt.
Cipher
Hiermit geben Sie den Cipher-Algorithmus an, mit dem die Sitzungen in Protokoll Version 1 verschlüsselt werden sollen. Zurzeit werden folgende Algorithmen unterstützt: blowfish 3des Per Default wird der »3des«-Algorithmus benutzt.
Ciphers
Hiermit geben Sie die Cipher-Algorithmen für Protokoll Version 2 an. Falls Sie mehrere Angaben machen, müssen Sie die einzelnen Felder mit Kommas voneinander trennen. Der Default ist: »aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour, aes192-cbc, aes256-cbc«
Compression
Durch dieses Schlüsselwort legen Sie fest, ob die Daten komprimiert werden sollen. Das zu übergebende Argument muss »yes« oder »no« sein. Der Defaultwert ist »no«. Beachten Sie, dass Sie diese Option nur für extrem langsame Leitungen (Modem) benutzen sollen, da Sie ansonsten die Prozesse nur künstlich verlangsamen. Tabelle 5.10 Verfügbare Schlüsselwörter
5.2 OpenSSH
287
Schlüsselwort
Beschreibung
CompressionLevel
Falls Sie sich für die Benutzung von Kompression entschieden haben, können Sie mit diesem Schlüsselwort den Level dazu bestimmen. Das Argument hierzu muss ein Integerwert zwischen 1 und 9 sein, wobei 1 die schnellste Kompression darstellt und 9 die beste (aber auch langsamste). Das Defaultlevel ist 6. Diese Option ist nur für Protokoll Version 1 verfügbar.
ConnectionAttempts
Gibt die Anzahl der Verbindungsversuche (einer pro Sekunde) an, bevor das Programm zu rsh zurückfällt oder abbricht. Das Argument, das Sie hierbei verwenden, muss ein Integerwert sein. Der Defaultwert liegt bei 4.
EscapeChar
Mit diesem Schlüsselwort können Sie den »Escape Character« bestimmen (Default: »~«). Das Argument sollte ein einzelnes Zeichen gefolgt von einem Buchstaben sein. Falls Sie »none« übergeben, erhalten Sie eine transparente Verbindung.
FallBackToRsh
Falls eine Verbindung mit SSH wegen eines »connection refused error« (z.B. kein Remoteserver verfügbar) abgelehnt wird, können Sie mit diesem Schlüsselwort festlegen, ob stattdessen eine Verbindung mit rsh aufgebaut werden soll. Der Defaultwert ist »no«. Das heißt, dass keine Verbindung aufgebaut wird.
ForwardArgent
Gibt an, ob die Verbindung zum »authentication agent« zum Remotesystem weitergeleitet werden soll Der Defaultwert ist »no«.
ForwardX11
Gibt an, ob X11-Verbindungen automatisch über den sicheren und verschlüsselten Kanal weitergeleitet werden sollen Der Defaultwert ist »no«.
GatewayPorts
Hiermit können Sie bestimmen, ob es Remotesystemen erlaubt ist, sich an lokal weitergeleitete Ports zu verbinden. Der Defaultwert ist »no«.
GlobalKnownHostsFile
Mit diesem Schlüsselwort können Sie die Adresse der globalen Hostschlüsseldatenbank für Protokoll Version 1 angeben, falls diese nicht unter /etc/ssh/ssh_known_hosts zu finden ist.
GlobalKnownHostsFile2
Mit diesem Schlüsselwort können Sie die Adresse der globalen Hostschlüsseldatenbank für Protokoll Version 2 angeben, falls diese nicht unter /etc/ssh/ssh_known_hosts2 zu finden ist.
HostbasedAuthentication
Sie können mit diesem Schlüsselwort bestimmen, ob rhostsbasierende Authentifizierung zusammen mit Public Key-Authentifizierung genutzt werden soll. Diese Option ist gleichbedeutend mit dem Schlüsselwort RhostsRSAAuthentication und benötigt Protokoll Version 1. Der Defaultwert ist »yes«. Tabelle 5.10 Verfügbare Schlüsselwörter (Forts.)
288
5 Verschlüsselung
Schlüsselwort
Beschreibung
HostKeyAlgorithms
Hiermit geben Sie die Schlüsselalgorithmen für Protokoll Version 2 an, die der Client benutzen soll. Der Defaultwert ist »ssh-rsa, ssh-dss«.
HostKeyAlias
Falls Sie nicht wollen, dass bei einem Lookup oder einem Eintrag in den Hostschlüsseldatenbankdateien der echte Hostname auftaucht, können Sie einen Alias für diesen Hostnamen mit diesem Schlüsselwort spezifizieren. Diese Option kann sehr hilfreich sein, falls Sie SSH-Verbindungen tunneln wollen.
HostName
Sie können diesem Schlüsselwort den wahren Hostnamen übergeben. Hiermit können Sie Spitznamen oder Abkürzungen für Ihren Rechner angeben. Es ist auch erlaubt, dass Sie eine IP-Adresse angeben.
IdentityFile
Gibt die Datei an, aus der die RSA- oder DSA-Authentifizierungsidentität gelesen werden soll (Default ist $HOME/.ssh/identity). Zusätzlich werden die Identitäten, die durch den Authentifizierungsagenten repräsentiert werden, ebenfalls für die Authentifizierung genutzt. Sie können mehrere Dateien angeben, die dann der Reihe nach durchsucht werden.
KeepAlive
Hiermit geben Sie an, ob das System Keepalive-Nachrichten zu der nicht antwortenden Seite schicken soll. Beachten Sie aber, dass diese Nachrichten nicht durch den verschlüsselten Tunnel gehen und somit gefälscht werden können. Falls Sie diese Nachrichten aber nicht verschicken, könnte es sein, dass eine Verbindung ewig »hängen bleibt«. Falls Sie diese Option deaktivieren wollen, sollten Sie dies in der Serverkonfigurationsdatei sowie in der Clientkonfigurationsdatei angeben.
KerberosAuthentication
Dieses Schlüsselwort bestimmt, ob Kerberos-Authentifizierung genutzt werden soll oder nicht. Falls Sie diese Art der Authentifizierung abschalten wollen, müssen Sie das Argument »no« übergeben, ansonsten »yes«.
KerberosTgtPassing
Gibt an, ob ein Kerberos TGT zum Server weitergeleitet wird oder nicht. Dies wird nur funktionieren, wenn der Kerberosserver ein AFS kaserver ist.
Der Defaultwert ist »yes«.
Das zu übergebende Argument muss entweder »yes« oder »no« sein. LocalForward
Gibt an, dass ein TCP/IP Port auf der lokalen Maschine über den sicheren verschlüsselten Kanal zum angegebenen Port auf dem angegebenen Server (Syntax Host:Port) weitergeleitet wird. Das erste Argument muss folglich eine Portnummer sein, wohingegen das zweite Argument eines Host, gefolgt von einem Port auf diesem Host sein muss. Diese beiden letzten Felder sind durch einen Doppelpunkt zu trennen. Sie können auch mehrere Weiterleitungen angeben. Beachten Sie dabei aber, dass nur der Superuser auf privilegierte Ports weiterleiten kann. Tabelle 5.10 Verfügbare Schlüsselwörter (Forts.)
5.2 OpenSSH
289
Schlüsselwort
Beschreibung
LogLevel
Gibt den LogLevel an. Je höher das Level, desto mehr Loggingeinträge werden Sie bekommen. Verfügbare Levels sind: QUIET (niedrigstes Level) FATAL ERROR INFO VERBOSE DEBUG (höchstes Level) Der Defaultwert ist INFO.
MACs
Gibt die MAC (message authentication code)-Algorithmen an, welcher unter Protokoll Version 2 für den Schutz der Datenintegrität genutzt wird. Falls Sie mehrere Algorithmen angeben wollen, müssen Sie diese durch Kommas voneinander trennen. Der Defaultwert ist: »hmac-md5, hmac-sha1, [email protected] , hmac-sha1-96, hmac-md5-96«.
NumberOfPasswordPrompts
Spezifiziert die Anzahl der Passwortprompts, bevor aufgegeben wird. Das Argument für dieses Schlüsselwort muss ein Integerwert sein. Der Defaultwert ist 3.
PasswordAuthentication
Gibt an, ob Passwort-Authentifizierung genutzt werden soll
Port
Hiermit können Sie den Port auf dem Remotesystem, an dem sich der Client anmelden soll, angeben.
Der Defaultwert ist »yes«.
Der Defaultwert ist 22. PreferredAuthentications
Mit diesem Schlüsselwort können Sie die Reihenfolge der verschiedenen Authentifizierungsmethoden unter Protokoll Version 2 angeben. Somit können Sie eine bestimmte Methode einer anderen vorziehen. Der Defaultwert lautet »publickey, password, keyboard-interactive«.
Protocol
Sie haben die Möglichkeit mit diesem Schlüsselwort die Reihenfolge der zu unterstützenden Protokoll-Versionen anzugeben. Falls Sie nur ein Protokoll (1 oder 2) angeben, wird das nicht angegebene Protokoll auch nicht unterstützt.
ProxyCommand
Diesem Schlüsselwort müssen Sie den Befehl zur Verbindung zum Server übergeben. Der Befehlsstring erstreckt sich dabei bis zum Ende der Zeile und wird mit /bi/sh ausgeführt. In diesem String können Sie folgende Platzhalter verwenden:
Der Defaultwert ist »2,1«.
%h (wird durch den Hostname des Servers ersetzt) %p (wird durch den Port ersetzt). Dieser Befehl kann grundsätzlich alles sein. Beachten Sie dabei aber, dass die Option CheckHostIP für solche Verbindungen nicht zur Verfügung steht. Tabelle 5.10 Verfügbare Schlüsselwörter (Forts.)
290
5 Verschlüsselung
Schlüsselwort
Beschreibung
PubkeyAuthentication
Gibt an, ob die Public Key-Authentifizierung durchgeführt werden soll. Der Defaultwert ist »yes«. Dieses Schlüsselwort ist nur für Protokoll Version 2 verfügbar.
RemoteForward
Gibt an, dass ein TCP/IP Port auf dem Remotesystem über den sicheren verschlüsselten Kanal zum angegebenen Port auf dem lokalen System (Syntax Host:Port) weitergeleitet wird. Das erste Argument muss folglich eine Portnummer sein, wohingegen das zweite Argument eines Host gefolgt von einem Port auf diesem Host sein muss. Diese beiden letzten Felder sind durch einen Doppelpunkt zu trennen. Sie können auch mehrere Weiterleitungen angeben. Beachten Sie dabei aber, dass nur der Superuser auf privilegierte Ports weiterleiten kann.
Rhostsauthentication
Gibt an, ob Rhostsbasierende Authentifizierung durchgeführt werden soll. Beachten Sie, dass diese Deklaration nur die Clientseite betrifft und keine Auswirkungen auf die Sicherheit hat. Da diese Art der Authentifizierung sehr unsicher ist, erlauben die meisten Server keine Rhostbasierende Authentifizierung. Der Defaultwert ist »yes«. Beachten Sie, dass sich dieses Schlüsselwort auf Protokoll 1 bezieht.
RSAAuthentication
Hiermit geben Sie an, ob RSA-Authentifizierung durchgeführt werden soll. Diese Art der Authentifizierung wird jedoch nur unternommen, wenn ein Authentifizierungsagent läuft oder ein »identity« File existiert. Der Defaultwert ist »yes«. Beachten Sie, dass sich diese Option nur auf Protokoll 1 bezieht.
ChallengeResponseAuthentication
Mit diesem Schlüsselwort können Sie festlegen, ob »Challenge ResponseAuthentifizierung« durchgeführt werden soll. Zurzeit ist lediglich Unterstützung für skey-Authentifizierung vorhanden. Der Defaultwert ist »no«.
StrictHostKeyChecking
Wenn Sie diese Flag auf »yes« setzen, wird SSH niemals Hostschlüssel automatisch zu den Dateien $HOME/.ssh/known_hosts und $HOME/.ssh/ known_hosts2 hinzufügen. Außerdem wird das Programm eine Verbindung zu Rechnern, deren Hostschlüssel sich geändert haben, ablehnen. Dies bietet einen sehr guten Schutz vor Trojanischen Pferden. Sie müssen neue Hosts dadurch allerdings per Hand in die entsprechenden Dateien eintragen. Falls Sie die Flag aber auf »no« setzen, wird SSH neue Hosts automatisch in die beiden vorher aufgeführten Dateien eintragen. Sie können aber auch das Argument »ask« übergeben. In solchen Fällen wird SSH Sie vor dem Hinzufügen eines neuen Hosts in eine der Dateien informieren. Nur wenn Sie damit einverstanden sind, wird der neue Host hinzugefügt. Verbindungen zu Hosts, deren Schlüssel sich geändert hat, werden weiterhin abgelehnt. Der Defaultwert ist »ask«. Tabelle 5.10 Verfügbare Schlüsselwörter (Forts.)
5.2 OpenSSH
291
Schlüsselwort
Beschreibung
UsePrivilegedPort
Gibt an, ob für ausgehende Verbindungen ein privilegierter Port benutzt werden soll Der Defaultwert ist »no«.
User
Hiermit können Sie den Usernamen spezifizieren, unter dem Sie sich einloggen möchten. Dies ist sehr nützlich falls, Sie auf verschiedenen Servern unterschiedliche Benutzernamen haben.
UserKnownHostsFile
Hiermit können Sie eine alternative Datei für die Hostschlüssel unter Protokoll Version 1 angeben (normalerweise werden diese aus der Datei $HOME/.ssh/known_hosts gelesen).
UserKnownHostsFile2
Hiermit können Sie eine alternative Datei für die Hostschlüssel unter Protokoll Version 2 angeben (normalerweise werden diese aus der Datei $HOME/.ssh/known_hosts2 gelesen).
UseRsh
Hiermit geben Sie an, dass für den betreffenden Host für das Einloggen die Programme rlogin/rsh benutzt werden sollen. Alle anderen Optionen (außer HostName) werden ignoriert, falls Sie diese Option aufgeführt haben. Das Argument, das Sie übergeben, muss entweder »yes« oder »no« sein.
XAuthLocation
Hiermit geben Sie den Speicherort des Programms xauth an. Der Defaultspeicherort ist /usr/X11R6/bin/xauth Tabelle 5.10 Verfügbare Schlüsselwörter (Forts.)
Umgebungsvariablen Tabelle 5.11 zeigt die von SSH gesetzten Umgebungsvariablen und gibt eine kurze Beschreibung zu den einzelnen Punkten. Umgebungsvariable
Beschreibung
DISPLAY
Diese Variable enthält die Adresse des X11-Servers. Sie wird automatisch von SSH gesetzt und hat folgendes Format: Hostname:n Wobei das Feld »Hostname« den Host, auf dem die Shell läuft, angibt und das Feld ein Integerwert >= 1 ist. SSH benutzt diesen Wert, um X11-Verbindungen über einen sicheren Kanal weiterzuleiten. Sie sollten diese Variable nicht manuell setzen, da dies zu Sicherheitsrisiken führen kann.
HOME
Enthält die Adresse des Homeverzeichnisses des Benutzers
LOGNAME
Enthält den Namen des Benutzers, unter dem sich der User eingeloggt hat Diese Variable ist ein Synonym zur Variable USER und wurde aus Kompatibilitätsgründen zu anderen Systemen eingeführt.
MAIL
Zeigt auf die Mailbox des Users Tabelle 5.11 Umgebungsvariablen
292
5 Verschlüsselung
Umgebungsvariable
Beschreibung
PATH
Enthält den Default-Pfad, den Sie während der Erstellung von SSH angegeben haben
SSH_AUTH_SOCK
Diese Umgebungsvariable enthält den Pfad zu einem Unix-DomainSocket, der zur Kommunikation mit dem Agenten benötigt wird.
SSH_CLIENT
Identifiziert den Client einer Verbindung. Diese Variable enthält folgende drei Felder, die durch Leerzeichen voneinander getrennt sind: Client IP-Adresse Client Portnummer Server Portnummer
SSH_ORIGINAL Diese Variable enthält den originalen Befehl aus der Kommandozeile. _COMMAND SSH_TTY
Enthält den Namen des Terminals (tty), der mit der aktuellen Shell oder dem aktuellen Befehl verbunden ist Falls die aktuelle Sitzung keinen Terminal hat, wird diese Variable nicht gesetzt.
TZ
Diese Variable enthält die gegenwärtige Zeitzone, falls sie beim Start des Daemons angegeben wurde.
USER
Enthält den Namen des Benutzers, unter dem sich der User eingeloggt hat Tabelle 5.11 Umgebungsvariablen (Forts.)
5.2.6
Authentifizierungsagent
Der SSH-Authentifizierungsagent ist ein Programm, das die privaten Schlüssel, die für Public Key-Authentifizierung genutzt werden, aufbewahrt. Der ssh-agent wird dabei beim Beginn einer X- oder Login-Sitzung gestartet, so dass alle danach gestarteten Programme als Clients des SSH-Authentifizierungsagenten gestartet werden. Syntax Der Aufruf des SSH-Authentifizierungsagenten erfolgt über den anschließenden Befehl: Linux:~# ssh-agent [Optionen]
Die verfügbaren Optionen dazu werden Sie im nächsten Abschnitt kennen lernen. Optionen Tabelle 5.12 zeigt die verfügbaren Optionen und gibt zu jedem dort aufgeführten Punkt eine kurze Beschreibung.
5.2 OpenSSH
Option -c
293
Beschreibung Generiert C-Shell-Befehle auf STDOUT Dies ist der Defaultwert, falls die Shell dem Typ einer csh ähnelt.
-s
Generiert Bourne Shell-Befehle auf STDOUT Dies ist der Defaultwert, falls die Shell nicht wie eine csh Shell aussieht.
-k
Killt den aktuellen Agenten Tabelle 5.12 Verfügbare Optionen
Befehle Falls dem Authentifizierungsagenten ein Befehl übergeben wurde, wird dieser als Unterprozess des Agenten ausgeführt. Wenn der Befehl beendet ist, ist auch der Agent beendet. Schlüssel hinzufügen Wenn Sie den Agenten das erste Mal benützen, wird dieser noch keine Schlüssel besitzen. Sie können ihm bestimmte Schlüssel hinzufügen, indem Sie das Programm ssh-add, welches wir im Laufe dieses Kapitels noch ausführlicher besprechen werden, benutzen. Falls Sie diesem Programm keine Argumente übergeben, wird es die Datei $HOME/.ssh/identity hinzufügen und gegebenenfalls nach einer Passphrase fragen. Danach schickt es die Identität zum Authentifizierungsagenten. Schlüssel anzeigen Sie haben leider keine Möglichkeit die im Authentifizierungsagenten gespeicherten Schlüssel (der Authentifizierungsagent kann mehrere Schlüssel speichern und benutzen) anzeigen zu lassen. Sie können aber auf das schon erwähnte Programm ssh-add ausweichen und somit folgenden Befehl übergeben, um die Schlüssel anzuzeigen, die der Authentifizierungsagent aktuell aufbewahrt: Linux:~# ssh-add -l
Nutzen Der Nutzen eines Authentifizierungsagenten liegt klar auf der Hand: Wenn der Agent auf dem Rechner des Users (oder auf seiner Shell) läuft, müssen Authentifizierungsdaten auf keinem fremden System mehr gespeichert werden und somit müssen die Passphrases, die zur Authentifizierung benötigt werden, nicht mehr über das Netzwerk verschickt werden. Wichtige Dateien Auch der Authentifizierungsagent benutzt einige Dateien, deren Nutzen und Aufgabe Sie kennen sollten. Wir werden uns im Folgenden diese Files anhand einer dazugehörigen Beschreibung genauer ansehen.
294
5 Verschlüsselung
$HOME/.ssh/identity Diese Datei enthält die Protokoll Version 1 RSA-Authentifizierungsidentität des Benutzers. Dieses File sollte nur vom User gelesen werden können. Es ist dabei möglich, bei der Erstellung des Schlüssels eine Passphrase zu spezifizieren, welche dann genutzt wird, um den privaten Teil dieser Datei zu verschlüsseln. Diese Datei wird nicht vom Authentifizierungsagenten selbst genutzt, wird aber zumeist vom Befehl ssh-add hinzugefügt. $HOME/.ssh/id_dsa In dieser Datei finden Sie die Protokoll Version 2 DSA-Authentifizierungsidentität des Benutzers. $HOME/.ssh/id_rsa Die Protokoll Version 2 RSA-Authentifizierungsidentität des Benutzers wird in dieser Datei abgespeichert. /tmp/ssh-XXXXXXXX/agent. Dieses File enthält Unix-Domain-Sockets, die die Verbindung zum Authentifizierungsagenten enthalten. Diese Sockets sollte nur der Eigentümer lesen können und sie sollten entfernt werden, wenn der Agent sich beendet.
5.2.7
SSH-ADD
Mit dem Programm ssh-add können Sie dem eben kennen gelernten Authentifizierungsagenten RSA- und DSA-Identitäten hinzufügen. Wie wir gesehen haben, wird dabei die Datei $HOME/.ssh/identity hinzugefügt, falls Sie dem Programm keinen alternativen Speicherort beim Aufruf zuweisen. Da diese zwei Sätze eigentlich schon den kompletten Nutzen und Sinn dieses Programms grob dargestellt haben, können wir uns sofort mit der Syntax beschäftigen. Syntax Der Aufruf erfolgt über die anschließende Syntax: Linux:~# ssh-add [Optionen] [alternativer Speicherplatz bzw. Datei]
Tabelle 5.13 stellt uns die verfügbaren Optionen kurz vor. Option
Beschreibung
-l
Hiermit werden alle Fingerabdrücke der Identitäten angezeigt, die im Moment vom Agenten repräsentiert werden.
-L
Sie können diese Option benutzen, um die Public Key-Parameter der Identitäten, die der Agent zurzeit hält, anzeigen zu lassen. Tabelle 5.13 Verfügbare Optionen für ssh-add
5.2 OpenSSH
295
Option
Beschreibung
-d
Mit dieser Option können Sie eine Identität löschen.
-D
Um alle Identitäten zu löschen, können Sie diese Option benutzen. Tabelle 5.13 Verfügbare Optionen für ssh-add (Forts.)
Wichtige Dateien Auch an dieser Stelle werden wir uns die für dieses Programm wichtigen Dateien kurz anschauen und gegebenenfalls besprechen. $HOME/.ssh/identity Diese Datei enthält die Protokoll Version 1 RSA-Authentifizierungsidentität des Benutzers und sollte daher nur vom betreffenden Eigentümer gelesen werden dürfen. Falls diese Datei jedoch auch für andere Benutzer lesbar sein sollte, wird ssh-add es ignorieren. Beim Erstellen dieser Datei ist es möglich, eine Passphrase zu spezifizieren, die dann genützt wird, um den privaten Teil dieser Datei zu verschlüsseln. Dies ist die Defaultdatei bzw. der Defaultspeicherplatz für Identitäten, falls Sie keine Alternative angeben. $HOME/.ssh/id_dsa In diesem File finden Sie die Protokoll Version 2 DSA-Authentifizierungsidentität des Benutzers. $HOME/.ssh/id_rsa In diesem File finden Sie die Protokoll Version 2 RSA-Authentifizierungsidentität des betreffenden Users.
5.2.8
Hostschlüssel zusammentragen
Wir haben im Verlauf dieses Kapitels schon einige wichtige Informationen über den praktischen, effektiven und sicheren Gebrauch der Secure Shell erfahren. Vielleicht haben Sie ja bemerkt, dass das Zusammentragen der Hostschlüssel in einem Netzwerk richtig viel Arbeit bereiten kann. Damit dieser Prozess verkürzt wird, wurde das Programm ssh-keyscan entwickelt, das die Hostschlüssel eines jeden Hosts in einer Domäne mit mehr als 1000 Rechnern unter einer Minute zusammentragen kann. Falls Sie Ihre ssh_known_hosts-Files auf diese Art und Weise erstellen, sollten Sie dabei beachten, dass die Scandurchläufe und damit auch die Antworten nicht verschlüsselt werden. Syntax Der allgemeine Aufruf dieses Programms lautet: Linux:~# ssh-keyscan [Optionen] Hostname
296
5 Verschlüsselung
Optionen Die für dieses Programm verfügbaren Optionen finden Sie in Tabelle 5.14. Option
Beschreibung
-t
Mit dieser Option können Sie den Timeout für Verbindungsanfragen setzen. Falls ein Host über den Zeitraum des Timeouts nicht antwortet, wird der Verbindungsversuch abgebrochen. Der Defaultwert liegt bei 5 Sekunden.
-f
Diese Option erlaubt es Ihnen, eine Datei anzugeben, aus der ssh-keyscan die zu scannenden Hosts liest. Dabei liest es jeweils die einzelnen Hosts (10.209.100.1, 10.209.100.2) oder Adressenlisten-Namenslisten Paare (joey.testdomain.de, joey) ein. Falls Sie anstelle des Dateinamens den Operator »-« übergeben, liest sshkeyscan die Werte aus der Standardeingabe. Tabelle 5.14 Optionen für ssh-keyscan
5.2.9
Schlüssel generieren
In diesem Abschnitt des Buchs werden Sie ein Tool kennen lernen, das es Ihnen ermöglicht, Ihre Authentifizierungsschlüssel zu generieren, zu verwalten und zu konvertieren. Per Default generiert dieses Programm RSA-Schlüssel für Protokoll 1. Wie Sie Schlüssel für Protokoll 2 erstellen können, erfahren Sie im Abschnitt über die Syntax. Sie können mit ssh-keygen Schlüssel für die folgenden Dateien (oder die von Ihnen angegebenen Alternativen dazu) erstellen:
$HOME/.ssh/identity $HOME/.ssh/id_dsa $HOME/.ssh/id_rsa /etc/rc
Funktionsweise Wenn Sie einen Schlüssel durch ssh-keygen erstellen lassen, werden Sie nach der Datei, in die der private Schlüssel gespeichert werden soll, gefragt. Der öffentliche Schlüssel wird in einer Datei mit demselben Namen, aber mit der Endung .pub geschrieben. Danach will das Programm die Passphrase von Ihnen wissen, falls Sie keine Passphrase angeben wollen, lassen Sie das Feld leer. Beachten Sie dabei, dass Hostschlüssel eine leere (bzw. keine) Passphrase haben müssen. Sie können die hier angegebene Passphrase später ändern (mit der Option »-p«). Falls Sie Ihre Passphrase vergessen haben, müssen Sie einen neuen Schlüssel erstellen. Es gibt keinen Weg eine vergessene Passphrase aus dem Schlüssel auszulesen.
5.2 OpenSSH
297
Wenn Sie einen RSA1-Schlüssel erstellen, beinhaltet dieser zusätzlich ein Kommentarfeld, das dem User helfen soll, den Schlüssel zu identifizieren. Dieses Feld erhält bei der Erstellung automatisch den Wert user@host, kann aber später durch die Option -c geändert werden. Syntax Um einen Schlüssel zu generieren, zu verwalten oder zu konvertieren, benutzen Sie bitte folgende allgemeine Syntax: Linux:~# ssh-keygen [Optionen]
Optionen Tabelle 5.15 stellt Ihnen die für dieses Programm verfügbaren Optionen anhand einer kurzen Beschreibung vor. Option
Beschreibung
-b Bits
Hiermit geben Sie die Anzahl der Bits für den zu erstellenden Schlüssel an. Das Minimum hierfür beträgt 512 Bits. Sie sollten aber eine Bitgröße von 1024 wählen. Der Defaultwert ist 1024. Schlüssel, die größer als der Defaultwert sind, erhöhen das Sicherheitslevel nicht mehr, sondern verlangsamen lediglich den Ablauf.
-c
Mit dieser Option können Sie den Kommentar im privaten und öffentlichen Schlüssel ändern. Hierfür müssen Sie den Speicherort des Schlüssels und gegebenenfalls die Passphrase angeben.
-e
Diese Option liest einen privaten oder öffentlichen OpenSSH-Schlüssel und gibt diesen Schlüssel im »SECSH Public Key File-Format« auf die Standardausgabe aus.
-f
Gibt den Dateinamen der Schlüsseldatei an
-i
Diese Option liest ein unverschlüsseltes privates oder öffentliches Schlüsselfile im SSH2-kompatiblen Format und gibt den OpenSSHkompatiblen Schlüssel dann auf der Standardausgabe aus. Dies erlaubt Ihnen den Import von verschiedenen kommerziellen SSHSchlüsseln.
-l
Zeigt den Fingerabdruck des angegebenen privaten oder öffentlichen Schlüsselfiles
-p
Hiermit können Sie die Passphrase einer privaten Schlüsseldatei ändern. Um dies machen zu können, müssen Sie die alte Passphrase angeben.
-q
Sie werden danach kaum Ausgaben von ssh-keygen bekommen.
-y
Diese Option liest ein Datei im privaten OpenSSH-Format und gibt danach ein OpenSSH Public File auf die Standardausgabe aus. Tabelle 5.15 Verfügbare Optionen für ssh-keygen
298
5 Verschlüsselung
Option
Beschreibung
-t type
Mit dieser Option können Sie den Typen des zu erstellenden Schlüssels angeben. Mögliche Werte hierfür sind: RSA1 (Protokoll Version 1) RSA (Protokoll Version 2) DSA (Protokoll Version 2) Der Defaultwert ist RSA1.
-B
Zeigt die »bubblebabble« Übersicht des spezifizierten privaten oder öffentlichen Schlüsselfiles
-C Kommentar
Übergibt den neuen Kommentar
-N Neue_Passphrase
Übergibt die neue Passphrase
-P Alte_Passphrase
Übergibt die alte Passphrase
Tabelle 5.15 Verfügbare Optionen für ssh-keygen (Forts.)
Wichtige Dateien Wie Sie es von den vorhergehenden Programmen, die sich auf die SSH-Programmsuite beziehen, schon kennen, werden wir auch zu ssh-keygen die wichtigsten Dateien auflisten und eine kurze Beschreibung dazu liefern. $HOME/.ssh/identity In diese Datei wird der Schlüssel, der generiert werden soll, geschrieben. $HOME/.ssh/identity.pub Hier finden Sie den passenden öffentlichen Schlüssel. Sie sollten den Inhalt dieser Datei in die Datei $HOME/.ssh/authorized_keys auf allen Rechnern, auf denen Sie sich via SSH einloggen wollen, einfügen. $HOME/.ssh/id_dsa Diese Datei enthält die Protokoll Version 2 DSA-Authentifizierungsidentität des Benutzers. $HOME/.ssh/id_dsa.pub Dieses File enthält den Protokoll Version 2 RSA-öffentlichen Schlüssel für die Authentifizierung. Sie sollten den Inhalt dieser Datei in die Datei $HOME/.ssh/ authorized_keys2 auf allen Rechnern, auf denen Sie sich via SSH anmelden wollen, einfügen. $HOME/.ssh/id_rsa Sie werden in diesem File die Protokoll Version 2 Authentifizierungsidentität des Benutzers finden. $HOME/.ssh/id_rsa.pub In diesem File finden Sie den öffentlichen Schlüssel für das Protokoll 2, den Sie für die Authentifizierung benötigen. Sie sollten den Inhalt dieser Datei in die Datei
5.2 OpenSSH
299
$HOME/.ssh/authorized_keys2 auf allen Rechnern, auf denen Sie sich via SSH anmelden wollen, einfügen.
5.2.10 Sicheres Kopieren im Netzwerk Das nächste Programm, das wir in unserer SSH-Reihe besprechen werden, heißt scp und ermöglicht es Ihnen, Dateien sicher zwischen zwei Rechnern in einem unsicheren Netzwerk zu kopieren. Es wurde als Alternative zu rcp entwickelt, bietet jedoch – da es die Daten über einen verschlüsselten Kanal überträgt – mehr Sicherheit. Sie können damit sogar Dateien von einem Remotesystem zum anderen kopieren. Syntax Ich denke, dass sich die Syntax im Großen und Ganzen selbst erklärt: Linux:~# scp [Optionen] [[Username@Host1:]Datei1 […] ] [[Username@Host2:] Datei2
Optionen Tabelle 5.16 stellt Ihnen die für scp verfügbaren Optionen vor und gibt zu den aufgeführten Punkten eine kurze Beschreibung. Option
Beschreibung
-c Cipher
Mit dieser Option können Sie den Cipher-Algorithmus auswählen, der danach für die Verschlüsselung des Datentransfers zuständig ist.
-i identity_Datei
Hiermit geben Sie an, in welcher Datei der private Schlüssel für die RSAAuthentifizierung zu finden ist.
-p
Sie können diese Option benutzen, um folgende Eigenschaften der Datei(en) zu erhalten: modification time (letzte Änderung) access time (letzter Zugriff) modes (Modi)
-r
Kopiert das gesamte Verzeichnis rekursiv.
-v
Verbose Mode. Hiermit veranlassen Sie scp und ssh Debugnachrichten über den Fortschritt des Prozesses auszugeben.
-B
Wenn Sie scp in einem Skript verwenden wollen, kann es hilfreich sein, wenn Sie in den Batchmodus gehen, da dort nicht nach Passwörtern und Passphrases gefragt wird.
-q
Um die Fortschrittsanzeige zu unterdrücken, können Sie diese Option übergeben.
-C
Mit dieser Option aktivieren Sie Kompression. Tabelle 5.16 Verfügbare Optionen für scp
300
5 Verschlüsselung
Option
Beschreibung
-P Port
Hiermit können Sie den Port auf dem Remotesystem, an dem Sie sich anmelden wollen, spezifizieren.
-S Programm
Falls Sie ein Programm für die Verschlüsselung der Verbindung selbst angeben wollen, können Sie dies mit dieser Option tun. Beachten Sie dabei aber, dass dieses Programm SSH-Optionen verstehen muss.
-o Option
Damit können Sie eine Option direkt an SSH weiterleiten.
-4
Veranlasst scp nur IPv4-Adressen zuzulassen
-6
Veranlasst scp nur IPv6-Adressen zuzulassen Tabelle 5.16 Verfügbare Optionen für scp (Forts.)
5.2.11 Sicherer FTP-Server An sich gibt es über diesen Server nicht allzu viel zu sagen, da er nur ein Subsystem des SSH Servers (sshd) ist und somit auch in der Serverkonfigurationsdatei konfiguriert wird. Wenn Sie also einen solchen Server betreiben wollen, müssen Sie einen sicheren SSH Server aufsetzen. Instruktionen dazu finden Sie im Abschnitt »Server« dieses Kapitels.
5.2.12 Sicherer FTP Client Dieser Client ermöglicht es Ihnen, Dateien von einem SFTP-Subsystem eines SSH Servers über einen verschlüsselten Kanal zu beziehen. Dabei können Sie auch einige SSH-spezifische Features wie Public Key-Authentifizierung und Kompression nutzen. Syntax Bevor wir uns mit der Syntax dieses Programms beschäftigen, sollten wir uns vor Augen führen, dass es drei verschiedene Möglichkeiten gibt, dieses Programm zu nutzen. Obwohl das Endprodukt immer gleich ist, sieht die entsprechende Syntax dafür immer etwas anders aus. Wir wollen uns also vor der Besprechung der verfügbaren Optionen kurz mit den drei verschiedenen Methoden beschäftigen. Interaktiver Befehlsmodus Die erste Methode ist die wohl bekannteste und am häufigsten genutzte. Hierbei verbindet sich der SFTP-Client mit einem vorher spezifizierten Host und geht dann in einen »interaktiven Befehlsmodus«. Die Syntax zu dieser ersten Methode sieht folgendermaßen aus: Linux:~# sftp [Optionen] [Host]
5.2 OpenSSH
301
Dateien automatisch holen Diese Methode dürfte für Programmierer interessant sein, da sie sie leicht und ohne Schwierigkeiten in Skripte einbauen können. Hierbei werden Dateien automatisch vom Server geholt, falls eine nicht interaktive Authentifizierung benutzt wird. Falls Sie Eingaben bei der Authentifizierung machen müssen, werden die Dateien danach automatisch geladen. Für diese Methode sieht die zu benutzende Syntax etwas anders aus: Linux:~# sftp [[User@Host [:Datei [Datei]]]
Start in einem bestimmten Remoteverzeichnis Die letzte Methode erlaubt es Ihnen, in einem bestimmten Remoteverzeichnis zu starten. Dies erspart Ihnen etwas Tipparbeit und kann ebenfalls sehr gut in Skripten umgesetzt werden. Die Syntax hierzu lautet: Linux:~# sftp [[User@Host [:dir[/]]]
Optionen Nachdem Sie nun die drei verschiedenen Modi kennen gelernt haben, können wir uns mit den Optionen beschäftigen. Tabelle 5.17 listet alle verfügbaren Optionen auf und gibt zu jedem aufgeführten Punkt eine kurze Erläuterung. Option
Erläuterung
-b Batchdatei
Die hier übergebene Batchdatei wird als Standardinput für den Client benutzt, das heißt, dass dieser die Befehle aus dieser Datei lesen wird. Sie sollten diese Option für nicht interaktive Authentifizierungen verwenden. Der Client wird abbrechen, wenn die Ausführung eines der folgenden Befehle nicht gelingt: get put rename ln rm mkdir chdir lchdir mlkdir
-C
Mit dieser Option können Sie Kompression aktivieren. Tabelle 5.17 Verfügbare Optionen für sftp
302
5 Verschlüsselung
Option
Erläuterung
-o SSH_Option
Diese Option ermöglicht es Ihnen, eine SSH-Option direkt an SSH weiterzuleiten und ausführen zu lassen.
-v
Hiermit erhöhen Sie das Logginglevel. Tabelle 5.17 Verfügbare Optionen für sftp (Forts.)
Interaktive Befehle Wenn Ihr SFTP-Client in den interaktiven Befehlsmodus gegangen ist, können Sie ihm eine Reihe von Befehlen ähnlich zum normalen FTP-Client übergeben. Beachten Sie bitte, dass Sie Verzeichnisse, die ein Leerzeichen beinhalten, in Anführungszeichen setzen. Tabelle 5.18 stellt Ihnen alle zur Verfügung stehenden Befehle vor und gibt zu jedem Punkt eine kleine Beschreibung. Befehl
Beschreibung
cd Pfad
Hiermit wechseln Sie in das Remoteverzeichnis, das Sie mit dem Argument »Pfad« übergeben haben.
lcd Pfad
Hiermit wechseln Sie in das lokale Verzeichnis, das Sie mit dem Argument »Pfad« übergeben haben.
chgrp Gruppe-Pfad
Diese Option erlaubt es Ihnen, die Gruppe der Datei, die unter Pfad zu finden ist, zu ändern. Die dabei übergebene Gruppe muss eine numerische Gruppen-ID sein.
chmod Modus-Pfad
Sie können mit dieser Option die Zugriffserlaubnis (Argument Modus) der Datei, die unter dem angegebenen Pfad zu finden ist, ändern.
chown EigentümerPfad
Falls Sie den Eigentümer einer Datei ändern wollen, können Sie dies mit dieser Option machen. Der Eigentümer muss dabei als numerische UID übergeben werden.
Exit
Beendet den SFTP-Client
get [flags] RemotePfad [lokaler Pfad]
Diese Option bewirkt, dass das Remoteverzeichnis, das Sie mit dem Argument »Remote-Pfad« übergeben, auf dem angegebenen Pfad auf dem lokalen System (Argument »lokaler Pfad«) gespeichert wird. Falls Sie den lokalen Pfad nicht spezifizieren, erhält das Verzeichnis denselben Namen, den es auf dem Remotesystem hat. Falls Sie zusätzlich die Flag -P setzen, werden auch die Zugriffsberechtigungen und Zugriffszeiten kopiert.
Help
Listet eine kleine Hilfe auf
lls [ls-options [Pfad]]
Gibt ein ls-Listing des angegebenen lokalen Pfades an. Falls Sie den Pfad nicht weiter spezifiziert haben, erhalten Sie ein Listing des aktuellen lokalen Verzeichnisses. Tabelle 5.18 Interaktive Befehle
5.2 OpenSSH
303
Befehl
Beschreibung
lmkdir Pfad
Diese Option erlaubt es Ihnen, ein lokales Verzeichnis zu erstellen. Den Namen dieses Verzeichnisses übergeben Sie mit dem Argument »Pfad«.
ln Pfad_1 Pfad_2
Hiermit erstellen Sie einen symbolischen Link von Pfad_1 nach Pfad_2.
Lpwd
Wenn Sie diese Option benutzen, wird Ihnen das lokale Verzeichnis ausgegeben, in dem Sie sich gerade befinden.
ls [Pfad]
Gibt ein ls-Listing des angegebenen Remote-Pfades an. Falls Sie den Pfad nicht weiter spezifiziert haben, erhalten Sie ein Listing des aktuellen Remote-Verzeichnisses.
lumask umask
Setzt die lokale »umask« auf »umask«.
mkdir Pfad
Diese Option erstellt ein Remoteverzeichnis mit dem Namen, den Sie mit dem Argument »Pfad« übergeben haben.
put [flags] lokaler_Pfad [Remote_Pfad]
Hiermit laden Sie die Datei oder das Verzeichnis, das Sie mit dem Argument »lokaler_Pfad« übergeben haben, auf das Remotesystem. Falls Sie den Namen des neuen Remoteverzeichnisses nicht mit dem Argument »Remote_Pfad« übergeben haben, so erhält der neu erstellte Ordner oder die neu erstellte Datei denselben Namen, den er/sie auch auf dem lokalen System hat.
Pwd
Wenn Sie diese Option benutzen, wird Ihnen das Remote-Verzeichnis ausgegeben, in dem Sie sich gerade befinden
quit
Beendet den SFTP-Client
rename alter_Pfad neuer_Pfad
Benennt den Pfad, den Sie mit dem Argument »alter_Pfad« übergeben haben, in den Namen um, den Sie mit dem Argument »neuer_Pfad« übergeben haben.
rmdir Pfad
Wenn Sie diesen Befehl übergeben, wird das Verzeichnis, das Sie mit dem Argument »Pfad« übergeben haben, auf dem Remotesystem gelöscht.
rm Pfad
Wenn Sie diesen Befehl übergeben, wird das File, das Sie mit dem Argument »Pfad« übergeben haben, auf dem Remotesystem gelöscht.
symlink Pfad1 Pfad2
Hiermit erstellen Sie einen symbolischen Link von Pfad_1 nach Pfad_2.
! Befehl
Durch die Übergabe dieses Befehls wird der angegebene Befehl auf der lokalen Shell ausgeführt.
!
Hiermit kommen Sie auf die lokale Shell.
?
Listet eine kleine Hilfe auf. Tabelle 5.18 Interaktive Befehle (Forts.)
6 Tools Ich muss zugeben, der Titel für dieses Kapitel ist nicht besonders geistreich und lässt kaum auf den Inhalt schließen. Doch leider fiel mir kein besserer Titel für diesen Abschnitt des Buchs ein, in dem es sich nun mal einfach nur um gute Tools dreht, die einem genervten Administrator eine Menge Arbeit ersparen können. Da die hier beschriebenen Programme weit gefächerte Funktionsmöglichkeiten haben, werde ich nicht viel Zeit mit der Einleitung verschwenden und gleich mit der Besprechung des ersten Tools beginnen.
6.1
Superuser Do (sudo)
Oftmals ist es so, dass ein Administrator einfach zu viel zu tun hat und sich nicht um jedes kleine Problem, das einen User bei der Verrichtung der täglichen Arbeit hindert, kümmern kann. Meistens ringt er sich doch durch, den genervten User aufzusuchen und ihm zu helfen. Dabei könnte und möchte der gestresste User dem Administrator viel Arbeit abnehmen, aber leider ist dies nicht möglich, da er die nötigen Rechte dazu nicht hat. Da gäbe es nun die Möglichkeit dem User einfach die Rechte zu geben (zum Beispiel könnte man ihm das Rootpasswort geben), doch jeder vernünftige Systemverwalter weiß, dass dies mächtig in die Hose gehen kann! Also bleibt einem da nichts anderes übrig, als jedes Mal zum Benutzer zu laufen? Nein, nicht ganz. Sie haben die Möglichkeit dem Benutzer genau die Rechte zu erteilen die er braucht. Nehmen wir an, der User muss einmal am Tag eine bestimmte Arbeit verrichten, damit der Geschäftsablauf gewährleistet bleibt. Man könnte diesem Benutzer nun durch sudo erlauben, genau die Befehle, die er ausführen muss, auszuführen. Damit sind der Arbeitsablauf und die Omnipotenz des Rootaccounts gesichert.
6.1.1
Installation
Beschaffen Sie sich die neueste stabile Version aus einer sicheren Quelle, wie zum Beispiel:
Der Buchseite Der offiziellen SUDO-Page www.courtesan.com/courtesan/products/sudo Aus der Paketdatenbank Ihrer Distribution
Nachdem Sie sich das Paket beschafft haben, sollten Sie es folgendermaßen kompilieren und installieren: Linux:~# tar -xfz sudo-version.tar.gz Linux:~# cd sudo-version Linux:~# ./configure --with pam \ --with-timeout=0
306
6 Tools
Linux:~# make Linux:~# make install Linux:~# cp sample.pam /etc/pam.d/sudo
Mit dieser Befehlskette wird sudo mit pam-Unterstützung und einem Timeout von 0 kompiliert. Das heißt, dass bei jeder Befehlseingabe über sudo ein Passwort nötig wird.
6.1.2
Konfiguration und Einsatz
Falls wir nur die Optionen von sudo besprechen müssten, wäre dies innerhalb weniger Seiten getan. Da wir aber die Konfiguration von sudo ebenfalls besprechen wollen, wird sich dies etwas platzunfreundlicher gestalten. visudo Die Konfiguration erfolgt über die Datei /etc/sudoers. Diese Datei können Sie durch visudo editieren. Dafür müssen Sie logischerweise als root eingeloggt sein. Falls Sie die Konfigurationsdatei /etc/sudoers also verändern wollen, müssen Sie folgenden Befehl eingeben: Linux:~# visudo
Danach wird mit Hilfe des Visual Editors die Konfigurationsdatei geöffnet und kann editiert werden. Natürlich könnten Sie die Datei auch direkt über den Editor verändern, doch ich rate stark davon ab. Die Gründe dafür wären: 1. Die Konfigurationsdatei ist so konzipiert, dass eine zentrale Administration von verteilten sudo-Zugriffsrechten ermöglicht wird. Nehmen wir an, mehrere Systemverwalter haben das Recht die Konfigurationsdatei zu ändern. Falls nun zwei Administratoren zur selben Zeit die Datei ändern würden (über einen Editor oder über die Pipe), hätte das fatale Folgen (im worst case). Visudo verhindert das, da dieses Programm simultane Zugriffe auf /etc/sudoers unterbindet. 2. Falls Sie sudo nur auf einem Rechner ansetzen, ist das gerade eben beschriebene Problem für Sie nicht von allzu großer Bedeutung, da höchstwahrscheinlich nur Sie an der Konfigurationsdatei arbeiten. Dies schützt Sie aber noch nicht vor Syntaxfehlern. Falls Sie die Konfigurationsdatei mit visudo ändern, wird die Syntax vor dem Abspeichern noch einmal auf Fehler gecheckt. Wenn ein Fehler gefunden wird, wird die Datei nicht abgespeichert und visudo zeigt Ihnen die Zeilen, in denen die Syntaxfehler gefunden wurden, an und bittet Sie darum, das Problem zu klären (what’s now). Der User hat nun die Möglichkeit über die Option e die Konfigurationsdatei nochmals zu editieren. Er kann aber die Datei mit Hilfe der Option x verlassen, ohne dass die Änderungen gespeichert werden. Die letzte – und nicht zu empfehlende – Option lau-
6.1 Superuser Do (sudo)
307
tet Q. Hierbei wird die Datei ebenfalls verlassen, die Änderungen (inklusive der falschen Syntax) werden aber gespeichert. Sie sollten diese Option nur in extremen Ausnahmefällen benutzen! Syntax Ich denke, Sie wissen nun, dass es unbedingt empfehlenswert ist, die Konfigurationsdatei nur über visudo zu öffnen. Damit Sie dies auch tun können, werden wir Ihnen im Folgenden die verfügbaren Optionen für diesen Befehl kurz vorstellen. Der allgemeine Aufruf sollte keine Überraschungen in sich bergen: Linux:~# visudo [Optionen]
Tabelle 6.1 zeigt die verfügbaren Optionen und gibt jeweils eine kleine Beschreibung dazu ab: Option
Beschreibung
-c
Falls Sie diese Option verwenden, wird die Konfigurationsdatei nicht bearbeitet, sondern auf Fehler in der Syntax überprüft. Dabei bekommen Sie 0 als Rückgabewert, wenn keine Fehler gefunden werden. Andernfalls erhalten Sie eine 1.
-f [alternative Konfigurationsdatei]
Mit dieser Option können Sie visudo eine alternative Konfigurationsdatei übergeben. Per Default wird die Datei /etc/sudoers editiert.
-q
Bei dieser Option werden keine Details über die gefundenen Syntaxfehler ausgegeben.
-s
Um eine sehr genau Überprüfung der Syntax vorzunehmen, können Sie sich dieser Option bedienen.
-V
Zeigt die aktuelle Versionsnummer von visudo und bricht ab. Tabelle 6.1 Optionen für visudo
Fehlermeldungen Wie bereits besprochen, gibt Ihnen visudo in bestimmen Situationen eine Fehlermeldung zurück. Welche Fehlermeldungen dabei angezeigt werden können und was sie bedeuten, sollte aus Tabelle 6.2 hervorgehen. Fehlermeldung
Bedeutung
Sudoers file busy, try again later
Sie können die Konfigurationsdatei momentan nicht bearbeiten, da gerade ein anderer Administrator Änderungen daran vornimmt.
/etc/sudoers.tmp: Permission denied
Sie haben visudo nicht als root aufgerufen. sudoers.tmp ist die Datei, die erzeugt wird, wenn Sie Änderungen an der Konfigurationsdatei vornehmen wollen. Aus Sicherheitsgründen werden diese Änderungen nicht direkt an der Datei /etc/sudoers vorgenommen. Tabelle 6.2 Fehlermeldungen
308
6 Tools
Fehlermeldung
Bedeutung
Can't find you in the passwd database
Ihre User-ID ist nicht in der Passwortdatei zu finden.
Warning: undeclared Alias Entweder benutzen Sie einen {User, Runas, Host, Cmnd}_Alias, referenced near ... bevor Sie diesen definiert haben, oder Sie haben einen Usernamen oder einen Hostnamen aufgeführt, der nur aus Großbuchstaben, Ziffern oder einem Unterstrich besteht. Falls Sie die –sOption benutzen, werden diese Meldungen nicht als Warnungen, sondern als Fehler ausgegeben. Tabelle 6.2 Fehlermeldungen (Forts.)
Nachdem Sie nun wissen, wie Sie die Konfigurationsdatei editieren können, sollen wir uns der Syntax dazu widmen. Konfigurationsdatei Vorwort zum Manual Falls Sie sich denken, dass die Beschreibung in diesem Buch etwas zu knapp geraten ist (was ich nicht hoffe, da ich versuche, jeden einzelnen Punkt genau zu beschreiben), können Sie einen Blick in das Manual werfen. Seien Sie aber nicht überrascht, falls Sie nicht auf Anhieb alles verstehen werden. Die Erklärungen in der Manpage sind in Extended Backus Naur Form (EBNF) verfasst. Falls Sie aber dennoch einen Blick in die Manpage werfen wollen oder eine andere Manpage, die in EBNF verfasst wurde, verstehen wollen, können Sie einen Blick in den folgenden Exkurs werfen, welcher kurz die Metazeichen dafür erläutert. Danach sollten Sie nach einiger Einarbeitungszeit EBNF lesen können. Extended Backus Naur Form (EBNF) Sprachkonstrukt
Sprachkonstrukt der Programmiersprache
<1> ::= <2>
Ableitungsregel: Der linke Teil <1> wird durch den rechten Teil <2> definiert.
|
Oder-Definition
{ }
Das in Mengenklammern eingeschlossene Konstrukt kann 0-mal oder mehrfach vorkommen.
[ ]
Das in Intervallklammern eingeschlossene Konstrukt kann 0-mal oder höchstens 1-mal vorkommen
Für weitergehende Informationen sollten Sie sich die RFC dazu ansehen: http://www.ietf.org/rfc/rfc2234.txt
6.1 Superuser Do (sudo)
309
Bestandteile Die Syntax der Konfigurationsdatei /etc/sudoers besteht grundsätzlich aus zwei Einträgen:
Aliase Benutzerspezifikationen
Aliase Sudo bietet grundsätzlich vier verschiedene Aliase zur Auswahl an. Tabelle 6.3 stellt Ihnen diese Aliase kurz vor und gibt zu jedem Punkt eine kurze Beschreibung. Aliase
Beschreibung
User_Alias
Hiermit können Sie einzelne User oder Gruppen zusammenfassen.
Runas_Alias
Hiermit können Sie einzelne User oder Gruppen zusammenfassen, deren UIS durch die »-u«-Option von Sudo angenommen werden.
Host_Alias
Hiermit können Sie einzelne Hosts, IP-Adressen oder ganze Netzwerke zusammenfassen.
Cmnd_Alias
Hiermit können Sie einzelne Befehle oder Verzeichnisse, in denen sich Befehle befinden, zusammenfassen. Tabelle 6.3 Verfügbare Aliase
Lassen Sie uns dazu ein Beispiel ansehen: Nehmen wir an, Sie wollen, dass alle Dominoentwickler in Ihrem Haus bestimmte Befehle ausführen dürfen. Dazu müssen Sie als Erstes eine Gruppe erstellen, die alle betreffenden Dominoentwickler enthält. Der Aufruf hierfür sieht folgendermaßen aus: User_Alias
DOMINO = roland, joe, aga, aj
Wie Sie sehen können, haben wir die User roland, joe, aga und aj in die Gruppe DOMINO verfrachtet. Der Gruppenname ist absichtlich in Großbuchstaben verfasst. Sie könnten aber zusätzlich auch Ziffern oder Unterstriche verwenden (jedoch keine Kleinbuchstaben). Als Nächstes müssen Sie sich Gedanken machen, auf welchen Hosts diese Entwickler die bestimmten Rechte haben sollten. Sie kommen zu dem Schluss, dass es reicht, wenn Sie die benötigten Befehle auf den Dominoservern ausführen dürfen (domina1 und domina2). Host_Alias
DOMINOSERVER = domina1, domina2
310
6 Tools
Der letzte Schritt, den wir mit unserem derzeitigen Wissen durchführen können, besteht in der Befehlsdefinition. Hierbei müssen Sie einen Namen für die Befehle angeben (ahnlich den beiden zuvor gesehenen Definitionen). Dafür sollten Sie sich überlegen, welche Befehle die Entwickler benötigen. Nach einiger Zeit und nach einer intensiven Befragung des Teams kommen Sie zum Schluss, dass folgende Befehle benötigt werden: 1. /usr/bin/kill 2. /usr/sbin/halt, /usr/sbin/fasthalt 3. /usr/bin/su 4. Jetzt müssen Sie diese Befehle noch zusammenfassen: Cmnd_Alias DOM_CMND = /usr/bin/kill, /usr/sbin/halt, /usr/ sbin/fasthalt, /usr/bin/su
5. Die genaue Definition und die Bedingungen für die Ausführung können wir im Moment noch nicht realisieren. Defaults Bestimmte Konfigurationsoptionen können während der Laufzeit von Ihrem Defaultwert geändert werden. Diese Änderung kann dabei jeden Host, jeden User auf einem bestimmten Host oder einen bestimmten User betreffen. Falls mehrere Zeilen zutreffen, werden diese der Reihe nach angewendet. Falls bestimmte Werte im Konflikt zueinander stehen, wird der letzte Wert angewendet. Sehen wir uns hierzu drei kurze Beispiele an: Sie wollen alle User aus der Gruppe DOMINA spezifizieren: Defaults:DOMINA Parameter
Sie wollen den User joe spezifizieren: Defaults:joeParameter
Sie wollen alle Hosts der Gruppe SERVERS spezifizieren: Defaults@SERVERSParameter
Aus den Beispielen können Sie die unterschiedliche Verwendung der Syntax gut erkennen. Nun sollten wir uns dem Wert Parameter widmen. Dieser kann aus folgenden Werten bestehen:
flags Integerwerte
6.1 Superuser Do (sudo)
311
strings lists
Flags Operator Sie können bestimmte Flags mit dem !-Operator abschalten. Zum Beispiel: Defaults:joe
!authenticate
Integerwerte, strings- und lists-Operatoren Auch diese Werte können Sie abschalten (ähnlich zu den Flags). Wenn Sie diesen Werten mehrere Wörter übergeben wollen, müssen Sie diese in Anführungszeichen setzen. Listen haben jedoch zwei weitere Operatoren zur Verfügung: Mit Hilfe des +=-Operators können Sie bestimmte Werte zu einer Liste hinzufügen. Um Werte zu entfernen benutzen Sie den -=-Operator. Platzierung Am besten platzieren Sie die Defaultspezifikationen zwischen den Aliasen und Benutzerspezifikationen. Flags Tabelle 6.4 zeigt alle verfügbaren Flags und gibt zu jedem Punkt eine kleine Beschreibung. Flag
Beschreibung
long_otp_prompt
Falls ein One Time Passwort verwendet wird (S/Key oder OPIE), wird die Abfrage in zwei Zeilen durchgeführt, um Cut and Paste leichter durchführen zu können. Dieses Flag ist per Default off.
ignore_dot
Mit dieser Option wird der Punkt (aktuelles Verzeichnis) in der PATH-Variablen ignoriert. Diese Flag ist per Default off.
mail_always
Schickt dem mailto-User jedes Mal eine Mail, wenn Sudo benutzt wird. Dieses Flag ist per Default off.
mail_badpass
Schickt dem mailto-User jedes Mal eine Mail, wenn der aktuelle User ein falsches Passwort benutzt hat. Dieses Flag ist per Default off.
mail_no_user
Schickt dem mailto-User jedes Mal eine Mail, wenn der User, der Sudo aufrufen will, nicht in der Konfigurationsdatei zu finden ist. Dieses Flag ist per Default on.
mail_no_host
Schickt dem mailto-User jedes Mal eine Mail, wenn der User, der Sudo aufruft, zwar in der Konfigurationsdatei zu finden ist, aber keine Befehle auf dem aktuellen Host ausführen darf. Dieses Flag ist per Default off. Tabelle 6.4 Verfügbare Flags
312
6 Tools
Flag
Beschreibung
mail_no_perms
Schickt dem mailto-User jedes Mail eine Mail, wenn der User, der Sudo aufruft, dazu berechtigt ist, aber der Befehl, den er ausführen will, nicht in der Konfigurationsdatei gefunden werden kann.
tty_tickets
User müssen sich an einer tty-Basis authentifizieren. Normalerweise benutzt Sudo ein Verzeichnis im Ticketverzeichnis mit dem Namen des aktuellen Users. Wenn dieses Flag aktiviert ist, wird Sudo eine Datei mit dem Namen des tty, an dem der User angemeldet ist erstellen. Dieses Flag ist per Default off.
lecture
Der User erhält beim ersten Benutzen von Sudo einen kurzen Vortrag. Dieses Flag ist per Default on.
authenticate
Die User müssen sich mit einem Passwort authentifizieren, bevor sie Befehle ausführen dürfen. Dieser Defaultwert kann mit den Flags PASSWD und NOPASSWD überschrieben werden. Dieses Flag ist per Default on.
root_sudo
Root darf ebenfalls Sudo benutzen. Sie sollten diese Option deaktivieren, da sie es Usern ermöglicht, durch die Verkettung von Befehlen eine Rootshell zu bekommen: sudo sudo /bin/sh Dieses Flag ist per Default on.
log_host
Der Hostname wird im Sudologfile festgehalten. Dieses Flag ist per Default off.
log_year
Das Jahr (vierstellig) wird im Sudologfile festgehalten. Dieses Flag ist per Default off.
shell_noargs
Wenn Sudo mit keinen Argumenten aufgerufen wird, agiert es, als wäre das -s-Flag gesetzt. Das heißt Sudo öffnet eine Rootshell. Dieses Flag ist off per Default.
set_home
Wenn Sudo mit der –s-Option aufgerufen wird, setzt Sudo die HOME-Umgebungsvariable auf das Homeverzeichnis des Zielusers (root, außer es wurde die –u-Option benutzt). Dies bedeutet, dass die –s-Option die –H-Option impliziert. Dieses Flag ist per Default off.
always_set_home
Sudo setzt die HOME-Umgebungsvariable auf das Homeverzeichnis des Zielusers (root, außer es wurde die –u-Option benutzt). Dies bedeutet, dass die –s-Option die –H-Option impliziert. Dieses Flag ist per Default off.
path_info
Normalerweise teilt Sudo dem User mit, wenn ein Befehl nicht in der PATH-Umgebungsvariable zu finden ist. Sie können dies deaktivieren, das kann aber zu sehr verwirrenden Ergebnissen führen. Dieses Flag ist per Default off. Tabelle 6.4 Verfügbare Flags (Forts.)
6.1 Superuser Do (sudo)
313
Flag
Beschreibung
preserve_groups
Per Default initialisiert Sudo den Gruppenvektor zu der Liste der Gruppe, in der sich der Zieluser befindet. Falls Sie aber diese Flag setzen, wird der Gruppenvektor nicht verändert. Die richtigen Gruppen IDs werden jedoch weiterhin so gesetzt, dass sie der ID des Zielusers entsprechen. Dieses Flag ist per Default off.
fqdn
Sie können dieses Flag setzen, um vollständige Hostnamen anzugeben. Anstatt joey können Sie joey.testdomain2.de angeben. Es ist aber weiterhin erlaubt die Kurzform anzugeben, Sie können diese beiden Formen sogar mischen. Beachten Sie dabei aber, dass Sudo nicht mehr lauffähig ist, wenn der DNS stoppt. Weiter müssen Sie den offiziellen Hostnamen benutzen, den der DNS auch kennt. Das heißt, dass Sie keinen Hostaliase benutzen können! Dieses Flag ist per Default off.
insults
Sudo wird den User »beleidigen«, wenn Sie ein falsches Passwort eingeben. Dieses Flag ist per Default off.
requiretty
Sudo läuft nur dann, wenn der User in einen echten tty eingeloggt ist. Dies verhindert, dass User, die über bestimmte Remotedienste eingeloggt sind und dadurch keinen tty zugewiesen bekommen, Sudo ausführen können. Dieses Flag ist per Default off.
env_editor
Falls dieses Flag gesetzt ist, wird visudo den Editor, der in der Umgebungsvariable EDITOR oder VISUAL angegeben ist, benutzen. Beachten Sie, dass diese Option eine große Sicherheitslücke aufbricht, da der User jeden beliebigen Befehl als Root ausführen kann, ohne sich davor einloggen zu müssen. Wir werden dafür einen sichereren Weg kennen lernen. Dieses Flag ist per Default off.
rootpw
Sudo wird nach dem Rootpasswort fragen (normalerweise fragt Sudo nach dem Passwort des aktuellen Users). Dieses Flag ist per Default off.
runaspw
Sudo wird nach dem Passwort des in runas_default definierten Users fragen, anstatt nach dem Passwort des aktuellen Users. Dieses Flag ist per Default off.
targetpw
Sudo wird nach dem Passwort des mit der –u-Option angegebenen Users fragen (anstatt des Passwortes des aktuellen Users). Dieses Flag ist per Default off.
set_logname
Normalerweise setzt Sudo die LOGNAME- und USER-Umgebungsvariablen auf den Wert des Zielusers (meistens root, außer die – u-Option wurde benutzt). Es gibt jedoch einige Programme, die die Variable LOGNAME benutzen, um die Identität des Users festzustellen. Sie sollten daher diese Option deaktivieren, falls Sie solche Programme auf Ihrem System laufen haben. Tabelle 6.4 Verfügbare Flags (Forts.)
314
6 Tools
Flag
Beschreibung
stay_setuid
Normalerweise setzt Sudo die UID des aktuellen Users auf die Ziel-Uid (zumeist root), wenn der User einen Befehl ausführt. Mit diesem Flag erreichen Sie, dass dies nicht mehr so gehandhabt wird. Die UID bleibt auf den Wert des aktuellen Users gesetzt. Sudo arbeitet also wie ein setuid-wrapper.
env_reset
Falls Sie dieses Flag setzen, wird Sudo die ENV (Umgebungsvariablen) so setzen, dass diese nur noch folgende Variablen beinhaltet: HOME LOGNAME PATH SHELL TERM USER Dabei müssen Sie weiter beachten, dass nur die Variable TERM unverändert aus der ursprünglichen ENV übernommen wird. Die anderen Variablen werden auf Defaultwerte gesetzt. Falls Sudo mit der SECURE_PATH-Option kompiliert wurde, wird dieser Wert für die PATH-Variable verwendet. Sie können weitere Umgebungsvariablen mit der env_keep-Option schützen.
use_loginclass
Falls dieses Flag gesetzt wird, wird der angegebene Defaultwert für die User Login Class angewendet (falls sie existiert). Diese Flag ist nur verfügbar, falls Sudo mit der --with-logincapOption kompiliert wurde. Dieses Flag ist per Default off. Tabelle 6.4 Verfügbare Flags (Forts.)
Integerwerte Nachdem Sie nun alle verfügbaren Flags kennen, können wir uns den Integerwerten widmen. Sie finden alle dafür verfügbaren Integerwerte in Tabelle 6.5. Integerwert
Beschreibung
passwd_tries
Gibt an, wie oft ein User sein Passwort falsch eingeben darf, bevor dies geloggt wird und Sudo beendet.
loglinelen
Gibt die Anzahl der Zeichen pro Zeile in einem Logfile an. Dies hat keine Auswirkungen auf das Syslogfile! Der Default liegt bei 80. Um diese Option zu deaktivieren, können Sie die 0 wählen.
timestamp_timeout
Gibt an, wie viele Minuten vergehen dürfen, bis Sudo den User erneut nach einem Passwort fragt. Der Defaultwert liegt bei 5 Minuten. Um immer nach einem Passwort zu fragen, setzen Sie diese Option auf 0. Falls Sie einen Wert kleiner als 0 angeben, wird der User niemals nach einem Passwort gefragt. Tabelle 6.5 Verfügbare Integerwerte
6.1 Superuser Do (sudo)
315
Integerwert
Beschreibung
passwd_timeout
Gibt an, wie lange der Passwortprompt angezeigt werden soll. Der Default liegt bei 5 (also 5 Minuten). Sie können diesen Wert auf 0 setzen, um keinen timeout zu definieren.
umask
Gibt die umask an, die benutzt werden soll, wenn ein Befehl ausgeführt wird. Setzen Sie den Wert 0777 um die umask des Users zu bewahren. Der Defaultwert liegt bei 022. Tabelle 6.5 Verfügbare Integerwerte (Forts.)
Strings Werfen wir nun einen Blick auf die verfügbaren Strings. Tabelle 6.6 stellt uns alle verfügbaren Strings kurz anhand einer Beschreibung vor. String
Beschreibung
mailsub
Gibt das Subject (Betreffzeile) der Mail an, die an den mailto User geschickt wird.
badpass_message
Gibt die Nachricht an, die angezeigt wird, wenn ein User ein falsches Passwort eingibt. Falls insults nicht aktiviert sind, liegt der Default bei: Sorry, try again.
timestampdir
Gibt das Verzeichnis an, in dem Sudo seine Timestampdateien aufbewahrt. Der Default liegt bei /var/run.
passprompt
Gibt den Defaultprompt an, der gezeigt wird, wenn nach einem Passwort gefragt werden soll. Dieser Wert kann mit der –p-Option oder mit der SUDO_PROMPT-Umgebungsvariable überschrieben werden. Sie können dabei auch zwei Sonderwerte benutzen: %u gibt den Usernamen an %h gibt den lokalen Hostnamen an Der Defaultwert liegt bei: Password:
runas_default
Gibt den User an, unter dem die Befehle ausgeführt werden (nur wenn die –u-Option nicht beim Start gewählt wurde). Der Defaultuser ist root.
syslog_goodpri
Gibt das Sysloglevel an, wenn sich der User erfolgreich angemeldet hat. Defaultwert liegt bei notice. Verfügbare Werte sind: debug info notice warning warn Tabelle 6.6 verfügbare Strings
316
String
6 Tools
Beschreibung err error crit alert emerg panic
syslog_babpri
Gibt das Sysloglevel an, wenn sich der User nicht erfolgreich angemeldet hat. Der Defaultwert liegt bei alert. Verfügbare Werte sind im vorherigen Punkt aufgeführt.
editor
Eine durch Doppelpunkt getrennte Liste von Editoren, die von visudo benutzt werden können. Falls in der Umgebungsvariable USER kein Editor vorhanden ist, der auch in der Liste vorhanden ist, wählt visudo den ersten Editor der angegebenen Liste. Per Default wird vi aufgerufen.
logfile
Gibt den Pfad zur Loggingdatei an. Falls ein Pfad angegeben wird, ist Logging aktiviert, falls nicht, ist es deaktiviert.
syslog
Gibt die Syslogfacility an, die für das Logging benutzt werden soll. Der Defaultwert liegt bei local2. Mögliche Wert hierfür sind: auth daemon user local0 local1 local2 local3 local4 local5 local6 local7
mailerpath
Gibt den Pfad zum Mailprogramm an, das benutzt wird, um Warnungen zu verschicken. Defaultwerte werden während der Konfiguration gesucht.
mailerflags
Flags, die beim Aufruf des Mailprogramms gesetzt werden sollen. Default liegt bei -t.
mailto
Gibt die Adresse an, an die Warnungen und Fehlermeldungen geschickt werden sollen. Dieser Wert sollte in Anführungszeichen angegeben werden, damit Sudo das @-Zeichen nicht falsch interpretiert. Default User und Mailadresse ist root. Tabelle 6.6 verfügbare Strings (Forts.)
6.1 Superuser Do (sudo)
317
String
Beschreibung
exempt_group
User in dieser Gruppe sind von Passwort und PATH-Bedingungen befreit. Es ist kein Defaultwert gesetzt.
verifypw
Diese Option kontrolliert, wann ein Passwort benötigt wird, wenn ein User Sudo mit der –v-Option startet. Mögliche Werte hierfür sind: all Alle den aktuellen User betreffenden Einträge müssen das NOPASSWD-Flag gesetzt haben, um zu verhindern, dass ein Passwort eingegeben wird. Dies ist der Standardwert. any Mindestens einen den aktuellen User betreffenden Eintrag muss das NOPASSWD-Flag gesetzt haben, um zu verhindern, dass ein Passwort eingegeben wird. never Der User braucht niemals ein Passwort einzugeben, wenn er die –v-Option benutzt. always Der User muss immer ein Passwort eingeben, wenn er die -v-Option benutzt.
listpw
Diese Option kontrolliert, ob ein Passwort benötigt wird, wenn ein User Sudo mit der -l-Option startet. Mögliche Wert sind: all Alle den aktuellen User betreffenden Einträge müssen das NOPASSWD-Flag gesetzt haben, um zu verhindern, dass ein Passwort eingegeben wird. any Mindestens einen den aktuellen User betreffenden Eintrag muss das NOPASSWD-Flag gesetzt haben, um zu verhindern, dass ein Passwort eingegeben wird. Dies ist der Defaultwertnever Der User braucht niemals ein Passwort einzugeben, wenn er die –l-Option benutzt. always Der User muss immer ein Passwort eingeben, wenn er die –l-Option benutzt.
env_check
Gibt die Umgebungsvariablen an, die aus der Umgebung (ENV) des Users gelöscht werden sollen. Diese müssen eines der beiden Zeichen enthalten: % / Tabelle 6.6 verfügbare Strings (Forts.)
318
String
6 Tools
Beschreibung Trennen Sie mehrere Argumente mit der Leertaste und setzen Sie sie in Anführungszeichen. Sie können außerdem folgende Operatoren verwenden: = Ersetzt vorhandene Liste += Addiert Wert zur vorhandenen Liste -= Löscht Wert aus vorhandener Liste ! Deaktiviert Liste Die Defaultliste für die zu überprüfenden Variablen erhalten Sie, wenn Sie Sudo als root mit der Option -V starten.
env_delete
Gibt die Umgebungsvariablen an, die aus der Umgebung (ENV) des Users gelöscht werden sollen. Trennen Sie mehrere Argumente mit der Leertaste und setzen Sie sie in Anführungszeichen. Sie können außerdem folgende Operatoren verwenden: = Ersetzt vorhandene Liste += Addiert Wert zur vorhandenen Liste -= Löscht Wert aus vorhandener Liste ! Deaktiviert Liste Die Defaultliste für die zu überprüfenden Variablen erhalten Sie, wenn Sie Sudo als root mit der Option -V starten.
env_keep
Gibt die Umgebungsvariablen an, die bei der Initialisierung der env_reset-Option geschützt werden sollen. Sie können eine Liste von Variablen übergeben, diese müssen Sie dann allerdings in Anführungszeichen setzen und durch die Leertaste trennen. Tabelle 6.6 verfügbare Strings (Forts.)
Benutzerspezifikationen Jetzt kennen Sie die Möglichkeiten und Tücken der verfügbaren Aliase und wir können uns den Benutzerspezifikationen widmen. Benutzerspezifikationen bestimmen, welcher User welchen Befehl unter der ID eines bestimmten Users auf einem bestimmten Host ausführen darf. Der allgemeine Aufruf in der Konfigurationsdatei erfolgt folgendermaßen:
6.1 Superuser Do (sudo)
319
USER_ALIAS HOST_ALIAS = [NOPASSWD:] [Wildcards, Metazeichen, Reservierte Wörter] CMND_ALIAS
RUNAS_SPEC Mit Hilfe des RUNAS_SPEC können Sie angeben, dass ein bestimmter User den Befehl CMND1 als TARGET1 und Befehl CMND2 als TARGET2 laufen lassen darf. Hierzu einige kurze Beispiele: joe
host1 = (operator) /bin/ls, /bin/kill, /usr/bin/who
Die eben gezeigte Syntax gibt an, dass der User joe die Befehle:
/bin/ls /bin/kill /usr/bin/who mit den Rechten des Operators am Host host1 ausführen darf. Der User kann diese Befehle dann durch einen besonderen Aufruf von Sudo ausführen: Linux:~# sudo -u operator /usr/bin/who
Sie können auch mehrere Targetuser in die Syntax einbauen: joe
host1 = (operator) /bin/ls, (root) /bin/kill, /usr/bin/who
Jetzt darf der User joe den Befehl /usr/ls mit den Rechten des Operators ausführen, die beiden weiteren aber als Root.
PASSWD und NOPASSWD Bevor ein User einen bestimmten Befehl ausführen darf, muss er sich normalerweise via Passwort authentifizieren. Man kann diesen Mechanismus aber durch das Setzen des NOPASSWD-Flags abschalten. Die Initialisierung erfolgt dabei ähnlich zu der Syntax der RUNAS_SPEC. So sind nur die Befehle, die nach dem NOPASSWD-Flag aufgeführt sind, von diesem Mechanismus befreit. Durch Setzen des PASSWD-Flag wird der Mechanismus wieder aktiviert. Auch hierzu sollten wir uns ein Beispiel ansehen: joe host1 = NOPASSWD: /usr/bin/who
Die eben vorgestellte Syntax bewirkt, dass der User joe auf dem Rechner host1 den Befehl /usr/bin/who ausführen darf, ohne dass er dabei nach einem Passwort gefragt wird. Die nächste Zeile einer Beispielkonfigurationsdatei besagt, dass der User joe den Befehl /usr/bin/who ohne Passworteingabe ausführen darf. Falls er aber den Befehl /bin/ls benutzt, wird er aufgefordert ein Passwort einzugeben. joe
host1 =NOPASSWD:/usr/bin/who, PASSWD: /bin/ls
Beachten Sie dabei aber, dass der User joe sich nicht in der exempt_group befinden darf, da das PASSWD-Flag nicht bei Usern in dieser Gruppe greift.
320
6 Tools
Wildcards und Metazeichen Sudo erlaubt shellähnliche Wildcards für den Aufruf von Pfadnamen genauso wie für Kommandozeilenargumente in der Konfigurationsdatei. Tabelle 6.7 zeigt die zusätzlich verfügbaren Sudo-Metazeichen (Wildcards): Metazeichen Beschreibung (Wildcard) *
Trifft bei jeder möglichen Kombination von einen oder mehreren Zeichen zu
?
Trifft bei einem einzelnen Zeichen zu
[… ]
Trifft auf jedes Zeichen in dem angegebenen Bereich zu
[!...]
Trifft auf jedes Zeichen zu, das sich nicht in dem angegebenen Bereich befindet
\x
Wird benutzt um besondere Zeichen zu escapen (wie zum Beispiel: *, ?...) Tabelle 6.7 Sudo Metazeichen
Ausnahmen zu Wildcards und Metazeichen Falls der leere String als einziges Argument in der Kommandozeile in der Konfigurationsdatei übergeben wird, bedeutet dies, dass der Befehl mit keinen Argumenten aufgerufen werden darf. Beispielkonfigurationsdatei Zum Abschluss werden wir unser eben erlangtes Wissen umsetzen und eine Konfigurationsdatei erstellen. Ich werde die nötigen Erklärungen als Kommentare in die Datei einfügen. Das sollte Ihnen eine Menge Sucharbeit ersparen. Beachten Sie aber, dass diese Datei auf keinen Fall vollständig ist. # sudoers file # # This file MUST be edited with the ‚visudo’ command as root. # # See the sudoers man page for the details on how to write a sudoers file. # # Als Erstes definieren wir unsere Aliase # # Beginnen wir mit den USER Aliasen # User_Alias ENTWICKLER = brunnerj, neutatza, maiers, User_Alias SECURITY = dau, paddy User_Alias USERADMIN = goetzs, mosers, schmidtw User_Alias WEBMASTER = muellera, meiern User_Alias NETZTECHNIK = thomsonb, rueffelf . . . #
6.1 Superuser Do (sudo)
321
# Nun definieren wir die RUNAS Aliase # Runas_Alias OP = root, operator Runas_Alias DB = oracle, sybase, mysql Runas_Alias RF = redfancy, ownuser Runas_Alias FW = firewall, sad . . . # # Jetzt kümmern wir uns um die Host Aliase # Host_Alias SOLARIS_SPARC = mail, firewall:\ LINUX_INTEL = net1, net2, net3, dev1, dev2, :\ LINUX_ALPHA = dev5, dev6, dev7, dev9, net6, net7, :\ SOLARIS_INTEL = backup1, backup2 Host_Alias ADMINS_WS= 10.209.100.0/255.255.255.0 Host_Alias TEST = 132.128.24.0/24 Host_Alias STORAGE = stor1, stor2, stor3, storback Host_Alias SEC_DATA = psst1, psst2 Host_Alias DIALIP = dial1, dial2 . . . # # Als Letztes definieren wir noch die Befehls-Aliase # Cmnd_Alias FILESHIP = /bin/chown, /bin/chmod Cmnd_Alias MOUNT = /bin/mount, /bin/umount Cmnd_Alias KILL = /usr/bin/kill Cmnd_Alias PRINTING = /usr/sbin/lpc, /usr/bin/lprm Cmnd_Alias SHUTDOWN = /usr/sbin/shutdown, /sbin/init Cmnd_Alias HALT = /usr/sbin/halt, /usr/sbin/fasthalt Cmnd_Alias REBOOT = /usr/sbin/reboot, /usr/sbin/fastboot Cmnd_Alias SHELLS = /usr/bin/sh, /usr/bin/csh, /usr/bin/ksh, \ /usr/local/bin/tcsh, /usr/bin/rsh, /bin/ash, \ /usr/local/bin/zsh Cmnd_Alias SU = /usr/bin/su Cmnd_Alias DEL = /bin/rm, /bin/rmdir Cmnd_Alias COPY = /bin/mv, /bin/cp . . . # # Jetzt überschreiben wir einige Defaultwerte # Defaults syslog=auth
322
6 Tools
Defaults:WEBMASTER !lecture, mail_no_perms Defaults:joe !authenticate Defaults@LINUX_INTEL log_year, log_host, logfile=/var/log/ sudo.log . . . # # Jetzt machen wir uns an die eigentliche Arbeit und vergeben # bestimmte Rechte # # Benutzerspezifikationen # # Dieser erste Block bedeutet, dass wir dem User Root und jedem User # aus den Gruppen # fastroot und chef jeden Befehl unter jedem Usernamen auf jedem # Host erlauben. root ALL = (ALL) ALL %fastroot ALL = (ALL) ALL %chef ALL = (ALL) ALL # Jetzt beschäftigen wir uns mit den vorher definierten Gruppen # Diese Zeile besagt, dass die Benutzer aus # der Gruppe Security jeden Befehl # auf jedem Host ausführen dürfen, ohne dass sie dabei # ein Passwort angeben müssen. SECURITYALL = NOPASSWD: ALL # Für die USERADMIN gilt dasselbe mit dem Unterschied, # dass sie ein Passwort angeben müssen. USERADMINALL = ALL # Nun erlauben wir dem User inge auf jedem Host # der Gruppe LINUX_INTEL jeden Befehl auszuführen. ingeLINUX_INTEL = ALL # Jetzt erlauben wir, dass der User franz jedes Userpasswort auf # Rechnern # des Aliase Test ändern darf. franz TEST = /usr/bin/passwd [A-z]* # Nun erlauben wir den Usern tom und cherry noch, # dass sie auf ihren eigenen Rechnern Prozesse # killen dürfen. tom tom_ws = KILL cherry cherry_ws = KILL . . . # # Jetzt fügen wir noch eine Run_as Zeile ein. # # Diese Zeile gibt unserem Chef das Recht die aufgeführten Befehle
6.1 Superuser Do (sudo)
323
# auf seinem Rechner auszuführen. Allerdings nur als Operator. chef chef_ws= (operator) /bin/ls, /bin/kill, /bin/mv . . .
Wie Sie sehen, ist die Umsetzung der kennen gelernten Argumente und Optionen nicht schwer. Sie sollten sich aber einige Zeit nehmen, um die Bedürfnisse genauestens zu studieren, so dass Sie eine sichere Sudo-Umgebung schaffen können.
6.1.3
Sudo-Befehl
Nun endlich kommen wir zum eigentlichen Sudo-Befehlsaufruf. Ich denke, wir brauchen an dieser Stelle nicht mehr allzu viel zu erklären und können sofort mit der Syntax beginnen: Linux:~# sudo [Optionen]
Tabelle 6.8 enthält alle verfügbaren Optionen mit einer entsprechenden Beschreibung zu jedem Argument. Option
Beschreibung
-V
Sudo gibt die Versionsnummer aus und beendet danach. Falls der Benutzer, der Sudo mit dieser Option aufruft, root ist, bekommt dieser eine Liste von Defaultwerten ausgegeben (wir haben dies bereits bei der Konfigurationsbesprechung gesehen).
-l
Diese Option gibt dem User eine Liste der erlaubten und verbotenen Befehle auf dem aktuellen Host aus.
-L
Durch Angabe dieser Option wird eine Parameterliste des Defaultabschnittes (siehe Konfiguration) mit einer kurzen Beschreibung ausgegeben.
-h
Sie können diese Option benutzen, um eine kurze Bedienungsanleitung zu bekommen.
-v
Hierbei wird der Timestamp des Users auf den neuesten Stand gebracht und – falls nötig – nach einem Passwort gefragt.
-k
Mit dieser Option neutralisieren Sie den Timestamp des Users. Beim nächsten Start von Sudo wird nach einem Passwort gefragt. Für die Durchführung dieser Option wird aber kein Passwort benötigt.
-K
Hiermit löschen Sie den Timestamp des Users vollkommen. Auch hier brauchen Sie kein Passwort anzugeben.
-b
Sudo wird den angegebenen Befehl im Hintergrund ausführen.
-p
Falls Sie den Defaultpasswortprompt ändern wollen, können Sie dies mit dieser Option erledigen. Sie können durch den Platzhalter %u den Usernamen angeben. Zum Beispiel ergibt dieser Aufruf: Hey %u, gib dein Passwort ein. Tabelle 6.8 Optionen
324
Option
6 Tools
Beschreibung folgenden Prompt für den User joe: Hey joe, gib dein Passwort ein.
-c
Dieser Option muss eine Loginklasse folgen. Danach wird Sudo mit den Limitationen dieser Klasse ausgeführt. Dieser Klassenname kann dabei entweder aus einem einzelnen Zeichen »-« bestehen (gibt an, dass der Befehl strikt nach den Möglichkeiten des Users, unter dem der Befehl ausgeführt wird, laufen sollen) oder einem Eintrag aus der Logindatei /etc/login.conf. Falls die angegebene Klasse eine vorhandene Usergruppe angibt, muss Sudo als root ausgeführt werden. Beachten Sie dabei, dass für dieses Argument Sudo mit der Option --withlogincab erstellt worden sein muss.
-a
Hierbei können Sie den Authentifizierungstyp auswählen, der benutzt wird um User zu verifizieren. Sie können eine Liste von möglichen Methoden in der Datei / ec/login.conf hinterlegen. Dabei leiten Sie diese Liste mit dem Schlüsselwort authsudo. Sudo muss dabei mit der --with-bsdauth-Option erstellt worden sein.
-u
Falls Sie diese Option benutzen, wird Sudo den spezifizierten Befehl nicht unter dem User root, sondern unter dem von Ihnen angegebenen User laufen lassen.
-s
Diese Option bringt Sudo dazu, die in der Umgebungsvariable SHELL angegebene Shell laufen zu lassen. Falls diese an dieser Stelle nicht verfügbar ist, wird die Shell aus /etc/passwd gestartet.
-H
Diese Option setzt die HOME-Umgebungsvariable auf das Homeverzeichnis des Zielusers (zumeist root). Dabei wird das Verzeichnis gewählt, das in der Passwortdatei /etc/passwd spezifiziert wurde.
-P
Hierbei wird der Groupvektor nicht verändert.
-S
Veranlasst Sudo das Passwort von der Standardeingabe (STDIN) zu lesen
--
Gibt an, dass Sudo mit dem Bearbeiten von Kommandozeilenbefehlen aufhören soll. Ist sinnvoll in Kombination mit der Benutzung der –s-Option. Tabelle 6.8 Optionen (Forts.)
Beispiele Nachdem wir nun fit im Umgang mit Sudo sind, sollten wir uns abschließend noch einige Befehle anschauen, um unser erlangtes Wissen noch zu vertiefen. Listing eines geschützten Verzeichnisses Nehmen wir an, ein User will das Listing eines (für ihn) nicht lesbaren Verzeichnisses erhalten, so muss er folgenden Befehl aufrufen: Linux:~# sudo ls /verzeichnis
Datei als User root editieren Das nächste Beispiel zeigt den Befehl, der es einem User ermöglicht, die Passwortdatei als User root zu editieren. Linux:~# sudo -u root vi /etc/passwd
7 Remoteadministration In diesem Kapitel werden wir uns mit Open-Source-Tools beschäftigen, die es uns erlauben, unser System remote zu administrieren. Remoteadministration hat in den letzten Jahren immer mehr an Beliebtheit gewonnen und ist bei der Verwaltung von Serversystemen kaum mehr wegzudenken. Dies hat unter anderem folgende Gründe:
Ein Administrator kann Systeme von jedem Punkt in der Welt (solange es dort einen für ihn nutzbaren Internetanschluss gibt) verwalten. Serversysteme brauchen keine Ein- und Ausgabeperipherie wie Monitore, Tastaturen oder Mäuse mehr, da sie über das Netz konfiguriert werden können. Der Administrator muss unter Umständen nur das Passwort für das Remoteadministrationstool kennen, um das System zu verwalten.
Wie Sie sehen können, bieten Remoteadministrationstools einige Vorteile gegenüber der normalen Administration vor Ort.
7.1
Webmin
Webmin ist ein Programm, das Ihnen die Administration eines Serversystems über einen einfachen Browser ermöglicht. Dabei brauchen Sie nicht einmal einen eigenen Webserver laufen zu haben, da dieser bereits von Webmin gestellt wird. Die von Ihnen gewünschten Änderungen werden durch die von Webmin mitgelieferten CGI-Skripte ins System übernommen. Falls Sie einmal ein Problem haben, das Sie mit Webmin nicht lösen können oder nicht wissen, wie Sie es mit diesem Programm lösen können, haben Sie die Möglichkeit, auch direkt Befehle an die Shell auf dem Server zu geben (Dazu wird SSH benutzt).
7.1.1
Installation
Als erstes sollten Sie sich Webmin von der offiziellen Webseite oder der Buchpage besorgen. Dabei stehen zwei Pakete zur Auswahl bereit, Tar und RPM. RPM Wir werden uns zuerst mit der Installation des RPM-Pakets beschäftigen. Nachdem Sie das Paket geladen haben, können Sie es mit folgendem Befehl installieren: Linux:~# rpm -iv webmin-version.rpm
326
7 Remoteadministration
Danach sollten die in Tabelle 7.1 gezeigten Module in Ihr System eingebunden sein. Modul
Beschreibung
Webmin Configuration
Hiermit lassen sich die Einstellungen ändern, die die Operationen von Webmin steuern.
Webmin Help
Durchsuchbarer Index des Webmin-Hilfesystems
Webmin Servers Index
Lokalisiert und listet alle Webminservers im lokalen Netz
Webmin Users
Verwaltet Webminbenutzer und deren Rechte
Bootup and Shutdown
Kontrolliert die Startup- und Shutdown-Prozesse des Systems
Disk and Network Filesystems
Nimmt lokale gemountete Filesysteme in Betrieb und listet sie auf
NFS Exports
Editiert, löscht und fügt neue NFS-exportierte Dateisysteme ein
Running Processes
Gibt detaillierte Informationen über die laufenden Prozesse aus
Scheduled Cron Jobs
Zeigt und kontrolliert Cronjobs
Software Packages
Ein grafisches Interface zum RPM-System
Users and Groups
Verwaltet Benutzer und Gruppen
Apache Webserver
Konfiguriert den Apache Webserver
BIND 8 DNS Server
Konfiguriert den Bind 8 DNS
FTP-Server
Konfiguriert den Wu-FTPD Server
Internet Services and Protocols
Verwaltet Internetdienste
Majordomo List Manager
Verwaltet den Majordomo Listserver (grafisch)
PPP Usernames and Passwords Kontrolliert den PPP Server Samba Windows File Sharing
Bringt den SAMBA-Server und -Client zum Laufen
Sendmail Configuration
Editiert die Sendmail-Konfigurationsdatei
Squid Proxy Server
Konfiguriert Squid
Linux Bootup Configuration
Editiert lilo.conf
Network Configuration
Kontrolliert die Netzwerkkarten und das Netzwerk
Partitions on Local Disks
Editiert, löscht und fügt neue Plattenpartitionen ein
Printer Administration
Verwaltet Druckerwarteschlangen, lokale und RemoteDrucker
System Time
Setzt die Systemzeit und die Hardwareuhr
Custom Commands
Hiermit können Sie benutzerdefinierte Befehle spezifizieren, die Sie dann über Webmin ausführen können
File Manager
Java-basierender Dateimanager Tabelle 7.1 Perl 5-Module
7.1 Webmin
327
Modul
Beschreibung
Telnet Login
Java-basierendes Telnet-Applet
DHCP Server
Konfiguriert den DHCP-Server Tabelle 7.1 Perl 5-Module (Forts.)
Wie Sie sehen können, bieten Ihnen die Webmin Perl 5-Module eine große Plattform an, die es Ihnen ermöglicht, ein System vollkommen remote zu verwalten.
7.1.2
Start
Um Ihren Webmin-Server zu starten, geben Sie bitte folgenden Befehl ein: Linux:~# /etc/init.d/init.d/webmin start
Zum Stoppen übergeben Sie stattdessen das Argument stop. Jetzt können Sie Ihren Webmin-Server über den Port 10000 erreichen. Wenn Sie sich das erste Mal einloggen, brauchen Sie zur Identifizierung das Rootpasswort. Später können Sie die Einstellungen abändern, so dass Sie auch ohne das Rootpasswort Zugang zu Ihrem Webmin-Server haben. Nachdem Sie nun einen laufenden Webmin-Server besitzen, können wir uns daran machen, die nun zur Verfügung stehenden Möglichkeiten ausführlich zu besprechen. Dabei werden wir auf jeden der vorhandenen sechs Oberpunkte genau eingehen: 1. Webmin 2. System 3. Servers 4. Hardware 5. Cluster 6. Other Bevor wir mit der Besprechung beginnen, möchte ich Sie darauf hinweisen, dass wir das Paket Usermin nicht installiert haben, da es dafür bessere Alternativen (auch in diesem Buch) gibt. Wir werden daher die wenigen Punkte, die Webmin mit Usermin verbinden, nicht besprechen. Login Nachdem Sie die URL Ihres Webminsystems eingegeben haben (IP:Port), haben Sie die Möglichkeit sich in das System einzuloggen. Da Sie sich das erste Mal anmelden, benötigen Sie dafür das Rootpasswort.
328
7 Remoteadministration
Abbildung 7.1 zeigt die Loginseite.
Abbildung 7.1 Loginseite
7.1.3
Webmin
Nachdem Sie sich erfolgreich eingeloggt haben, werden Sie zur Indexseite (Abbildung 7.2) des ersten Oberpunktes »Webmin« weitergeleitet, wo Sie nun die Möglichkeit haben, die folgenden Unterpunkte zu wählen:
Usermin Configuration (Wie bereits erwähnt werden wir Punkte, die im Zusammenhang mit Usermin stehen, nicht besprechen) Webmin Actions Log Webmin Configuration Webmin Servers Index Webmin Users
7.1 Webmin
329
Abbildung 7.2 Webmin
Webmin Actions Log Dieser Punkt ermöglicht es Ihnen, nach Einträgen in der Logdatei zu suchen. Sie können die Suche dabei durch drei Angaben verfeinern. Abbildung 7.3 zeigt diese Seite. Benutzer Mit dieser Option können Sie folgende Parameter zur Suche festlegen:
Suche nach bestimmten Usern Suche ist nicht auf einen bestimmten User begrenzt Alle User bis auf einen bestimmten Benutzer werden in der Suche mit aufgenommen
Module Die nächste Möglichkeit die Suchtreffer einzuschränken bzw. ausweiten, besteht darin, die Module, nach denen gesucht werden soll, zu spezifizieren.
Suche ist nicht auf bestimmte Module eingeschränkt Suche ist auf ein bestimmtes Modul begrenzt
330
7 Remoteadministration
Zeitrahmen Der letzte Parameter, den Sie für die Suche setzen können, ist der Zeitrahmen. Dabei stehen Ihnen folgende Auswahlmöglichkeiten zur Verfügung:
Eintrag muss zu keiner bestimmten Zeit gemacht worden sein Eintrag muss von heute stammen Eintrag muss in einem bestimmten Zeitintervall gemacht worden sein
Abbildung 7.3 Actionslog
Webmin Konfiguration Dieser Abschnitt ermöglicht es Ihnen, Ihr Webmin-System Ihren Bedürfnissen entsprechend zu konfigurieren. Wir werden im Folgenden auf die einzelnen Punkte, die Ihnen dabei zur Verfügung stehen, eingehen. Abbildung 7.4 zeigt diese Seite. IP Access Control Mit Hilfe dieser Seite können Sie den Zugriff auf Ihr Webmin-Serversystem auf bestimmte Adressen einschränken. Sie sollten dieses Feature auf jeden Fall nutzen, besonders, wenn Ihr System über das Internet erreichbar ist.
7.1 Webmin
331
Abbildung 7.4 Webmin Config
Kriterien Es stehen Ihnen dabei folgende Kriterien zur Zugriffsbeschränkung zur Verfügung (Abbildung 7.5):
Erlaube alle spezifizierten Adressen Verweigere den Zugriff für alle angegebenen Adressen Erlaube Zugriff von allen Adressen
Dabei steht es Ihnen frei, eine IP-Adresse, ein Subnet oder einen Hostnamen zu übergeben. Port und Adressen Falls Sie den Standardport, auf dem Webmin horcht, ändern wollen (empfehlenswert), können Sie dies unter diesem Menüpunkt erledigen. Des Weiteren ist es möglich dem Server eine bestimmte IP-Adresse zuzuweisen. Wenn Sie dies nicht tun, wird Webmin auf allen IP-Adressen des Servers erreichbar sein (Abbildung 7.6).
332
7 Remoteadministration
Abbildung 7.5 IP Access Control
Abbildung 7.6 Port and Addresses
7.1 Webmin
333
Logging An dieser Stelle können Sie das Logging für bestimmte Aktionen (actions) aktivieren. Wenn Sie das Logging aktiviert haben, werden Sie die Einträge in den beiden folgenden Dateien finden (Abbildung 7.7): 1. /var/webmin/miniserv.log 2. /var/webmin/webmin.log Optionen Sie haben bei der Aktivierung des Loggings die Möglichkeit zwischen folgenden Optionen auszuwählen:
Aufgelöste Hostnamen werden mitgeloggt Zeitdauer, nach der die Einträge gelöscht werden Aktionen eines bestimmten Users werden mitgeloggt Aktionen aller User werden mitgeloggt Alle Aktionen in allen Modulen werden geloggt Nur Aktionen in bestimmten Modulen werden mitgeloggt
Abbildung 7.7 Logging
334
7 Remoteadministration
Proxy Server Falls der Webmin-Server hinter einer Firewall oder einem Proxy steht, können Sie an dieser Stelle die entsprechende Adresse angeben, so dass Module, die Zugriff auf Seiten im externen Netz haben müssen (Software Packages), fehlerfrei laufen können. Sie haben dabei die Möglichkeit folgende Angaben zu machen:
HTTP Proxy FTP Proxy Kein Proxy für … Benutzername für den Proxyzugriff Passwort für den Proxyzugriff
Sie finden diese Seite in Abbildung 7.8. User Interface Falls Sie mit der farblichen Gestaltung Ihres Webmin-Interfaces nicht zufrieden sind, können Sie hier für die folgenden Punkte andere RGB-Farben (Hexwerte von 00 bis ff sind erlaubt) definieren.
Hintergrundfarbe der Seite Normaler Text Hintergrundfarbe von Tabellen Farbe für Tabellenüberschriften Farbe für Links
Des Weiteren können Sie hierbei definieren, wo der Login- und Hostname erscheinen soll. Webmin-Module Diese, in Abbildung 7.9 zu sehende Seite erlaubt es Ihnen, Webmin-Module nach der Installation in das System einzubinden. Meistens haben diese Module die Endung .wbm, wobei eine Datei auch mehrere Module enthalten kann. Diese Dateien können Sie entweder vom internen oder vom externen Netzwerk beziehen. Daher ist es auch möglich, Dateien von einer http- oder FTP-Adresse ins System einzubinden. Weiter ist es möglich, ein Modul mit mehreren Konfigurationen in einem System unterzubringen, dabei muss sich lediglich der Name unterscheiden (diese Module nennt man Klone). Logischerweise können Sie Module auch aus Ihrem Webmin-System löschen. Dies ist aber nur dann möglich, wenn die betreffenden Module in keiner »Abhängigkeit« zu anderen Modulen stehen. Falls Sie ein Modul löschen, das vorher »geklont« wurde, so werden die Klone ebenfalls gelöscht.
7.1 Webmin
335
Abbildung 7.8 Proxy
Abbildung 7.9 Webmin Module
336
7 Remoteadministration
Operating System Die in Abbildung 7.10 gezeigte Seite ermöglicht es Ihnen, Webmin ein anderes Betriebssystem zu übergeben. Das heißt, dass ab dem Änderungsdatum Webmin das von Ihnen angegebene OS als vorhanden und aktuell ansieht. Sie können diese Option nutzen, wenn Sie Ihr Betriebssystem tatsächlich auf den neuesten Stand gebracht haben. Beachten Sie aber, dass die Konfigurationen der installierten Module sich dabei nicht ändern werden. Außerdem haben Sie hierbei die Möglichkeit den Pfad ($PATH), den Webmin bei der Ausführung von Programmen und Prozessen benutzt, zu ändern. Zusätzlich können Sie ebenfalls den Library Search Path ändern.
Abbildung 7.10 Operating System
Language Falls Sie die Sprache, die Webmin benutzt, ändern wollen, können Sie dies mit der in dieser Seite zur Verfügung gestellten Option machen (Abbildung 7.11). Wir werden bei unserer Besprechung Englisch verwenden, da viele Unternehmen international agieren.
7.1 Webmin
337
Abbildung 7.11 Language
Index Page Options Hiermit können Sie die Eigenschaften der Indexseite ändern. Zu diesem Zweck können Sie folgende Eigenschaften definieren:
Anzahl der Spalten Module kategorisieren Defaultkategorie Alternativen Header benutzen Direkt zum Modul gehen, falls der User nur eines installiert hat
Einen Screenshot der Seite zeigt Abbildung 7.12. Upgrade Webmin Mit dieser Seite, die Sie in Abbildung 7.13 sehen, können Sie Ihr Webmin-System auf den neuesten Stand bringen. Grundsätzlich bietet diese Seite drei Features, die wir nun besprechen werden: 1. Webmin aktualisieren 2. Module sofort aktualisieren 3. Module nach einem definierten Zeitplan aktualisieren
338
7 Remoteadministration
Abbildung 7.12 Index Page Options
Webmin aktualisieren Diese Option erlaubt es Ihnen, mit der Upgradefunktion von RPM Ihr WebminSystem auf den neuesten Stand zu bringen. Dabei können Sie zwischen einer lokalen oder heraufgeladenen Datei wählen. Es ist auch möglich, die Aktualisierungsdateien direkt von der offiiziellen Webminseite zu beziehen. Module sofort aktualisieren Diese Seite erlaubt es Ihnen, bestimmte Module, die Sicherheitslöcher aufweisen oder nicht mehr aktuell sind, zu aktualisieren. Da das Update von der offiziellen Webminseite kommt, wird vor der Aktualisierung überprüft, für welche Module ein Update verfügbar ist. Sie können dabei auch angeben, dass Module, die zwar verfügbar sind, aber auf Ihrem System nicht installiert wurden, ebenfalls in Ihr System eingebunden werden. Module nach einem definierten Zeitplan aktualisieren Hiermit können Sie Webmin auffordern, dass es zu einem bestimmten wiederkehrenden Zeitpunkt überprüft, ob für die installierten Module ein Update verfügbar ist. Falls dies der Fall ist, wird dieses installiert. Auch hier haben Sie die Möglichkeit nicht installierte Module automatisch installieren zu lassen.
7.1 Webmin
339
Wenn ein Modul aktualisiert wurde, bekommen Sie dies per E-Mail mitgeteilt (falls Sie diese Option aktiviert haben).
Abbildung 7.13 Upgrade Webmin
Authentication Hier können Sie Authentifizierungsoptionen und Timeouts für Passwörter definieren. Sie sollten dieses Feature unbedingt nutzen und einen solchen Timeout setzen, da Sie sich damit gut vor Brute-Force-Attacken schützen können. Abbildung 7.14 zeigt einen Screenshot. Timeout Für die eben beschriebenen Timeouts stehen folgende Optionen zur Verfügung:
Passwort-Timouts deaktivieren Passwort-Timeouts aktivieren
Rechner, die eine bestimmte Anzahl von Fehllogins verursacht haben, für eine bestimmte Zeitspanne blockieren.
Geblockte Hosts, Logins und Authentifizierungsfehler loggen (syslog)
340
7 Remoteadministration
Authentifizierung Die Authentifizierungsmechanismen können Sie durch folgende Optionen an Ihre Bedürfnisse anpassen:
Authentifizierung deaktivieren (absolut nicht empfehlenswert) Authentifizierung aktivieren
Benutzer abmelden, falls er über einen bestimmten Zeitraum keine Eingaben gemacht hat. »Kennung speichern« anbieten. Den Hostnamen auf dem Loginbildschirm zeigen.
Benutzername und Passwort immer fragen.
Anmeldung ohne Passwort für Benutzer des Rechners »localhost«.
Abbildung 7.14 Authentication
Reassign Modules In dieser Seite (Abbildung 7.15) können Sie alle installierten Systeme nach Kategorien ordnen. Die verfügbaren Kategorien dafür lauten wie folgt:
7.1 Webmin
341
Cluster Hardware Information Networking Others Servers Syslets System Webmin
Abbildung 7.15 Reassign Modules
Edit Categories Wie Sie in den vorhergegangenen Beschreibungen gesehen haben, können Sie die Webmin-Module in bestimmte Kategorien einteilen. Diese Seite (Abbildung 7.16) bietet Ihnen nun die Möglichkeit diese bereits vordefinierten Kategorien zu editieren oder neue hinzuzufügen.
342
7 Remoteadministration
Abbildung 7.16 Edit Categories
Webmin Themes An dieser Stelle können Sie das Erscheinungsbild (die so genannten Themes) von Webmin ändern. Dabei haben Sie die Auswahl aus vier vordefinierten Themes:
MSC.Linux Theme Caldera Theme KDE-style Icon Theme Standard Webmin Theme
Falls Ihnen diese vier vorhandenen Erscheinungsbilder noch nicht ausreichen, können Sie neue Webmin-Themes installieren. Abbildung 7.17 zeigt die entsprechende Seite. Trusted Referers Auf dieser Seite (Abbildung 7.18) können Sie Weiterleitungen auf Ihr WebminSystem überprüfen lassen. Damit können Sie bösartige Links anderer Seiten abwehren, die Ihren Browser dazu veranlassen könnten, unkontrollierte Aktionen mit Webmin durchzuführen. Weiter können Sie Websites, denen Sie vertrauen (die zum Beispiel von Ihren Systemen kommen), als »vertrauenswürdig« definieren.
7.1 Webmin
343
Abbildung 7.17 Webmin-Themes
Abbildung 7.18 Trusted Referers
344
7 Remoteadministration
SSL Encryption Falls auf Ihrem Rechner das SSL-Perl-Modul installiert ist, können Sie SSL-Verschlüsselung für Ihr Webmin-System aktivieren. Sie sollten dieses Feature unbedingt nutzen, wenn Ihr Webmin-System Zugriff aus dem Internet erhalten kann, da ansonsten die Gefahr besteht, dass Angreifer bestimmte Daten (Kennwörter etc.) abfangen. Nachdem Sie SSL aktiviert haben, ist Ihr Server nicht mehr unter der gewohnten Adresse erreichbar. Die neue Adresse lautet nun: http://IP-Adresse | Hostname : Portnummer
Abbildung 7.19 SSL Encryption
Certificate Authority Hier können Sie Ihren Webmin-Server als Zertifizierungsauthorität einrichten. Falls Sie dies bereits getan haben, können Sie das erstellte Zertifikat bearbeiten oder ein neues erstellen. Dabei müssen Sie allerdings beachten, dass die Zertifikate, die Sie bereits an die Benutzer verteilt haben, nicht mehr funktionieren werden. Wenn Sie ein neues CA (Certificate Authority) erstellen wollen, müssen Sie folgende Angaben machen:
7.1 Webmin
345
Autoritätsname E-Mailadresse Abteilung Organisation Bundesland Ländercode
Abbildung 7.20 zeigt einen Screenshot des Fensters.
Abbildung 7.20 Certificate Authority
Webmin Servers Index Falls Sie einen neuen Server registrieren wollen, können Sie das hier tun. Dafür stehen Ihnen zwei Methoden zur Verfügung: Broadcast for servers Wenn Sie sich für diese Option entscheiden, wird Ihr gesamtes lokales Netzwerk nach Webminservern durchsucht. Scan for servers Um nur ein bestimmtes Netzwerk nach Webminservern zu durchsuchen, können Sie diese Option benutzen. Einen Screenshot des Fensters zeigt Abbildung 7.21.
346
7 Remoteadministration
Abbildung 7.21 Webmin Servers Index
Webmin Users Diese Seite (Abbildung 7.22) bietet Ihnen folgende Möglichkeiten:
Neue Webmin User zu erstellen Unix User in Webmin User zu konvertieren Unix User-Synchronisation zu konfigurieren Unix User-Authentifizierung zu konfigurieren Neue Webmin-Gruppen zu erstellen Modulkonfigurationen (benutzerdefiniert) zu ändern
Neuen Webmin User anlegen Wie Sie aus Abbildung 7.23 erkennen können, müssen Sie, um einen neuen Benutzer anlegen zu können, folgende Angaben machen:
Benutzername Gruppe Passwort
PAM-Authentifizierung Unixpasswort Kein Passwort
7.1 Webmin
347
SSL Zertifikatsname Sprache Sollen Module in Kategorien aufgeteilt werden? Benutzerdefiniertes Erscheinungsbild (Theme) IP-Zugangskontrolle
Zugriff von allen Adressen gestatten Zugriff nur von aufgelisteten Adressen aus erlaubt Zugriff von aufgelisteten Adressen nicht erlaubt
Sollen zu den Gruppenmodulen noch weitere benutzerdefinierte hinzugefügt werden?
Abbildung 7.22 Webmin Users
Neue Webmin-Gruppe anlegen Wenn Sie eine neue Gruppe anlegen möchten, müssen Sie den Gruppennamen spezifizieren und die Module für die Gruppe definieren. Danach können Sie Benutzer in diese Gruppe »verfrachten«.
348
7 Remoteadministration
Abbildung 7.23 Neuer User
Abbildung 7.24 Neue Gruppe
7.1 Webmin
349
Unix User zu Webmin User konvertieren Diese Seite erlaubt es Ihnen, bestehende Unixbenutzer in Webmin User zu konvertieren. Die Rechte eines Users werden dabei von der gewählten Gruppe bestimmt. Neben der Gruppenzugehörigkeit müssen Sie noch weitere Angaben machen:
Sollen alle Benutzer konvertiert werden? Sollen nur bestimmte User konvertiert werden? Sollen alle User bis auf die angegebenen Ausnahmen konvertiert werden? Sollen alle Benutzer aus der angegebenen Gruppe konvertiert werden? Sollen alle User, die zwischen den definierten GIDs liegen, konvertiert werden? Soll das Unixpasswort verwendet werden?
Abbildung 7.25 zeigt die Seite.
Abbildung 7.25 Unix User konvertieren
Unix User Synchronisation Falls Sie grundsätzlich jedem Unix User Zugriff auf Webmin geben wollen, kann es ziemlich mühselig sein, jeden neuen Unix User per Hand als Webmin User zu definieren. Mit dem in Abbildung 7.26 gezeigten Formular wird es möglich, jeden neu angelegten Unix User sofort in einen Webmin User zu konvertieren. Dieses
350
7 Remoteadministration
Feature kann Ihnen eine Menge Arbeit sparen, sollte aber mit Vorsicht genossen werden, da eigentlich nicht jeder Unix User sofort Zugriff auf Webmin haben sollte. Dieses Formular benötigt folgende Angaben von Ihnen:
Soll jeder neue Unix User sofort in einen Webmin User konvertiert werden? Wenn ein Unix User gelöscht wird, soll dann auch der entsprechende Webmin User gelöscht werden? Welcher Gruppe sollen auf diese Weise entstandene Webmin User zugeteilt werden?
Abbildung 7.26 User synchronisieren
Modulkonfiguration ändern Um eine benutzerdefinierte Modulkonfiguration zu ändern, klicken Sie einfach auf das entsprechende Modul. User-Authentifizierung Falls Sie jedem Unix User Zugriff auf Ihr Webmin-System geben wollen und dieser dazu die Rechte eines bestimmten Benutzers bekommen soll, können Sie das mit dem Formular aus Abbildung 7.27 erreichen.
7.1 Webmin
351
Abbildung 7.27 User Authentifizierung
7.1.4
System
Nachdem wir nun den Menüpunkt »Webmin«, der sich mit der Konfiguration Ihres Webminservers auseinander setzt, ausführlich besprochen haben, können wir uns mit der Konfiguration Ihres Systems beschäftigen. Die dazu zur Verfügung stehenden Unterpunkte finden Sie unter dem Register SYSTEM (Abbildung 7.28). Bootup and Shutdown Um bestimmte Dienste beim Systemstart hochzufahren, können Sie dieses Formular benutzen (Abbildung 7.29). Die Startseite zeigt an, welche Dienste beim Start gestartet werden. Sie haben weiter die Möglichkeit das komplette System neu zu starten oder es einfach herunterzufahren.
352
7 Remoteadministration
Abbildung 7.28 Register System
Wenn Sie auf den entsprechenden Link für einen bestimmten Serverdienst klicken, kommen Sie in ein neues Formular, das Ihnen die folgenden Möglichkeiten bietet:
Name des Dienstes ändern Skript editieren Beim Systemstart starten Sofort starten Jetzt neu starten Status anzeigen Sofort stoppen
Change Passwords Falls Sie das Unixpasswort eines Benutzers ändern wollen, können Sie dies unter diesem Menüpunkt machen. Dazu klicken Sie auf den entsprechenden User und übergeben danach zweimal das neue Passwort (Abbildung 7.30).
7.1 Webmin
353
Abbildung 7.29 Bootup and Shutdown
Abbildung 7.30 Change Passwords
354
7 Remoteadministration
Disk Quotas Unter diesem Punkt können Sie Ihr Quotasystem konfigurieren. Disk and Network Filesystems Hier bekommen Sie eine Übersicht über die in Ihrem System vorhandenen Platten- und Netzwerkdateisysteme. Sie können ebenfalls neue Dateisysteme mit den unterschiedlichsten Typen hinzufügen (Abbildung 7.31).
Abbildung 7.31 Disk and Network Filesystems
NFS Exports Dieser Unterpunkt erlaubt es Ihnen, Ihre NFS-Verzeichnisse zu verwalten oder neue anzulegen (Abbildung 7.32). Falls Sie ein neues NFS-Verzeichnis anlegen wollen, haben Sie folgende Angaben zu machen:
Das zu exportierende Verzeichnis Soll der NFS-Export aktiv sein oder nicht? Wer soll auf das Verzeichnis zugreifen dürfen? Jeder, der sich mit Ihrem System verbinden kann Nur bestimmte Hosts Nur Clients, die WeBNFS Protokoll von Sun benutzen
7.1 Webmin
355
Alle Mitglieder einer NIS-Netzgruppe Ein bestimmtes Netzwerk Sollen symbolische Links relativ gemacht werden? Soll der NFS Client einen UDP Port unter 1024 benutzen? Welcher Zugriffsmodus soll aktiviert werden? Schreibgeschützt Lese- und Schreibberechtigung Welchen Remoteusern soll vertraut werden? Jedem Jedem außer Root Niemandem Soll bestimmten Usern (spezifiziert durch ihre UID) nicht vertraut werden? Unter welcher UID sollen User, denen Sie nicht vertrauen wollen, in Webmin laufen? Zugriff auf Unterverzeichnisse verbieten Soll bestimmten Gruppen (spezifiziert durch ihre GID) nicht vertraut werden? Unter welche GID sollen Gruppen, denen Sie nicht vertrauen wollen, in Webmin laufen?
Abbildung 7.32 NFS-Export
356
7 Remoteadministration
NIS Client and Server Unter diesem Menüpunkt finden Sie einige weitere Punkte, unter denen Sie Formulare finden, die Ihnen bei der Konfiguration Ihres NIS-Servers bzw. -Clients helfen können:
NIS Client Client Services NIS Server NIS Tables Server Security
PAM-Authentication Die hier enthaltenen Formulare können genutzt werden, um die vorhandenen PAM Dienste zu verwalten oder neue hinzuzufügen. Um einen bereits vorhandenen Dienst zu editieren, müssen Sie nur auf den entsprechenden Link klicken (Abbildung 7.33).
Abbildung 7.33 PAM Authentication
7.1 Webmin
357
Running Processes Dieses Registerblatt enthält Informationen über die gerade laufenden Prozesse auf Ihrem System. Wenn Sie auf einen der angezeigten Prozesse klicken, erhalten Sie folgende Informationen:
Befehl Prozess-ID Besitzer Größe Nicelevel (Sie können das Nicelevel -also die Priorität- an dieser Stelle ändern) Gruppe Prozessgruppen-ID Echte Gruppe Übergeordneter Prozess CPU-Beanspruchung Laufzeit Echter Benutzer TTY
Sie haben weiter die Möglichkeit den Prozess zu beenden oder zu killen. Außerdem können Sie einige verfügbare Signale an den Prozess schicken. Einen Screenshot zeigt Abbildung 7.34.
Abbildung 7.34 Running Processes
358
7 Remoteadministration
Prozesse ordnen Falls Ihnen die vordefinierte Anzeige nicht gefällt, können Sie die laufenden Prozesse auch nach folgenden Kriterien ordnen:
PID (Standard) Benutzer Speicher CPU
Prozesse suchen Um einen bestimmten Prozess suchen zu lassen folgen Sie dem Link »suchen«. Danach erscheint ein neues Formular, das folgende Daten benötigt:
Prozesse finden, die einem bestimmten User gehören Prozesse finden, die einen bestimmten String enthalten (z.B. ftpd) Prozesse finden, die mehr als einen bestimmten Prozentsatz an Rechenkapazität benötigen Prozesse finden, die eine Datei oder ein Verzeichnis in einem bestimmten Dateisystem benutzen Prozesse finden, die eine bestimmte Datei benutzen Prozesse finden, die einen bestimmten Port (protokollabhängig) benutzen
Befehl ausführen Sie können in dieser Maske bestimmte Befehle ausführen, dazu müssen Sie dem Register »Ausführen« folgen. In der jetzt geöffneten Maske können Sie folgende Felder ausfüllen:
Auszuführender Befehl Modus Soll Befehl im Hintergrund laufen? Soll bis zur Beendigung gewartet werden? Parameter, die an das Programm übergeben werden sollen (Wenn der Befehl vi war, können Sie in diesem Feld die zu öffnende Datei spezifizieren)
Scheduled Commands Um zeitgesteuerte Befehle zu erstellen, können Sie die Maske aus Abbildung 7.35 benutzen (Falls Sie Befehle regelmäßig ausführen wollen, benutzen Sie bitte Cronjobs.), welche folgende Angaben von Ihnen benötigt:
User, unter dem der Befehl ausgeführt werden soll An welchem Tag soll der Befehl ausgeführt werden? Wann soll der Befehl ausgeführt werden? In welchem Verzeichnis soll er ausgeführt werden? Welcher Befehl soll ausgeführt werden?
7.1 Webmin
359
Abbildung 7.35 Scheduled Commands
Scheduled CronJobs Mit dieser Maske können Sie die vorhandenen CronJobs überprüfen, neue erstellen oder den Benutzerzugriff regeln (Abbildung 7.36). Neuen CronJob erstellen Um einen neuen Job zu erstellen müssen Sie folgende Angaben machen:
Unter welchem User soll der Job ausgeführt werden? Soll der Job aktiviert werden? Auszuführender Befehl? Parameter für den spezifizierten Befehl? Wann soll der Befehl ausgeführt werden? Minuten? Stunden? Tage? Monate? Wochentage?
360
7 Remoteadministration
Abbildung 7.36 Scheduled Cron Jobs
Benutzerzugriff regeln Mit diesem Formular können Sie angeben, welche Benutzer Cron Jobs erstellen dürfen. Software Packages Sie können dieses Formular benutzen, um nach bereits installierten RPM Paketen zu suchen, neue zu installieren oder die RPM-Datenbank nach bestimmten Dateien zu durchsuchen (um Dateien zu identifizieren). SysV Init Configuration Um die vorhandenen Initprozesse zu verwalten oder neue zu erstellen, können Sie dieses Formular benutzen. Dabei werden die Einträge aus der Datei /etc/inittab entnommen (Abbildung 7.38). Wenn Sie einen neuen Prozess erstellen wollen, müssen Sie folgende Angaben machen:
ID Runlevel Aktion Prozess
7.1 Webmin
361
Abbildung 7.37 Software Packages
Abbildung 7.38 SysV Init
362
7 Remoteadministration
System Documentation Dieses Formular erlaubt es Ihnen, die auf Ihrem System vorhandenen Manpages zu durchsuchen. Dafür stehen Ihnen folgende Filter zur Verfügung:
Suchbegriff Nur nach Titel suchen Nach allem suchen Suchen in Manpages Webmin Hilfe Paketdokumentation Howto-Dokumente Perl-Modul-Dokumentation Google
Abbildung 7.39 System Documentation
Falls Sie nach Dokumenten in anderen Modulen suchen lassen wollen, können Sie ebenfalls festlegen, was alles durchsucht werden soll:
Manpages Webmin Hilfe
7.1 Webmin
363
Paketdokumentation Howto-Dokumente Perl-Modul-Dokumentation Google
System Logs Dieser Menüpunkt erlaubt es Ihnen, die vorhandenen Logdateien zu verwalten und neue hinzuzufügen. Users and Groups Die hier zur Verfügung gestellte Maske erlaubt es Ihnen, die lokalen Benutzer und Gruppen zu verwalten und neue zu erstellen. Um die Konfiguration eines bestimmten Benutzers zu editieren, klicken Sie einfach auf den entsprechenden Benutzernamen (dasselbe gilt auch für lokale Gruppen). Neuer Benutzer Wenn Sie einen neuen User erstellen wollen, haben Sie folgende Angaben zu übergeben:
Benutzername Echter Name Shell UID Homeverzeichnis Kennwort Kein Kennwort Keine Anmeldung erlaubt Klartextkennwort Verschlüsseltes Kennwort Zeit zwischen dem Ändern des Passworts (Minimum und Maximum) Tage, nach denen der User eine Warnung erhalten soll Inaktive Tage Ablaufdatum Primäre Gruppe Sekundäre Gruppe Soll Homeverzeichnis erstellt werden? Sollen Dateien ins Homeverzeichnis kopiert werden? Soll der Benutzer in anderen Modulen erstellt werden?
364
7 Remoteadministration
Benutzerverwaltung via Skript Falls Sie mehrere Benutzer auf einmal editieren (erstellen, verwalten oder löschen) wollen, kann die eben gezeigte Methode sehr zeitaufwändig und fehleranfällig sein. Webmin bietet Ihnen ein Feature an, das es Ihnen erlaubt, diesen Job von einem Skript erledigen zu lassen. Für dieses Skript stehen drei Schlüsselwörter zur Verfügung (Tabelle 7.2). Schlüsselwort
Beschreibung
Create
Erstellt einen neuen Benutzer
Modify
Editiert einen bestehenden Benutzer
Delete
Löscht einen bestehenden Benutzer Tabelle 7.2 Schlüsselwörter für Benutzerverwaltungsskript
Die Syntax für das Schlüsselwort create sieht wie folgt aus: create:username:passwd:uid:gid:realname:homedir:shell:min:max:warn :inactive:expire
Tabelle 7.3 erklärt Ihnen die eben vorgestellten Argumente zum Schlüsselwort create anhand einer kurzen Beschreibung. Argument
Beschreibung
username
Gibt an, welchen Benutzernamen der neue User haben soll
passwd
An dieser Stelle können Sie das Passwort für den neuen User übergeben (verschlüsselt oder noch nicht verschlüsselt). Wenn Sie kein Passwort übergeben, kann sich der User ohne Passwort einloggen. Falls Sie ein x übergeben, wird das Konto für Logins gesperrt.
uid
Spezifiziert die UID des entstehenden Benutzers Falls dieses Feld nicht ausgefüllt ist, wird Webmin eine UID zuweisen.
gid
Gibt an, in welcher Gruppe der neue Benutzer Mitglied sein soll Falls dieses Feld nicht ausgefüllt ist, wird Webmin eine neue Gruppe mit dem Namen des Benutzers erstellen und den User in diese Gruppe verfrachten.
realname
Wie lautet sein richtiger Name?
shell
Welche Shell soll ihm beim Login zur Verfügung gestellt werden?
homedir
Hier können Sie das Homeverzeichnis des Benutzers angeben (dieses Verzeichnis kann bereits existieren, muss aber nicht unbedingt).
min
Minimum der Tage bis zur Passwortänderung
max
Maximum der Tage bis zur Passwortänderung Tabelle 7.3 Argumente zu create
7.1 Webmin
365
Argument
Beschreibung
warn
Wann soll der User gewarnt werden?
inactive
Wann ist das neu erstellte Benutzerkonto inaktiv?
expire
Wann läuft es aus? Tabelle 7.3 Argumente zu create (Forts.)
Um einen bereits bestehenden Benutzer zu modifizieren, können Sie das Schlüsselwort modify benutzen. Die Syntax hierzu lautet: modify:oldusername:username:passwd:uid:gid:realname:homedir:shell: min:max:warn:inactive:expire
Tabelle 7.4 erläutert die im eben aufgeführten Listing vorkommenden Argumente anhand einer kurzen Beschreibung. Argument
Beschreibung
oldusername
Um welchen User handelt es sich?
username
Welchen neuen Benutzernamen soll der User erhalten?
passwd
Gibt das neue verschlüsselte oder noch nicht verschlüsselte Passwort an
uid
Die neue UID
gid
Soll der User Mitglied in einer anderen Gruppe werden?
realname
Hat sich sein Name geändert (z.B. durch eine Hochzeit)?
homedir
Spezifiziert das neue Homeverzeichnis des Benutzers
shell
Hier können Sie dem User beim Login eine neue Shell zur Verfügung stellen.
min
Minimum an Tagen bis zur Passwortänderung
max
Maximum an Tagen bis zur Passwortänderung
warn
Nach wie vielen Tagen soll der Benutzer eine Warnung erhalten?
inactive
Wann soll das Benutzerkonto inaktiv sein?
expire
Wann läuft es aus? Tabelle 7.4 Argumente zu modify
Falls Sie eines der in Tabelle 7.4 erwähnten Felder leer lassen, so wird der bereits vorhandene Wert weiterhin verwendet. Um einen User zu löschen, können Sie das Schlüsselwort delete benutzen. Die Verwendung ist – wie Sie sehen – äußerst einfach: delete:username
366
7 Remoteadministration
Sie brauchen lediglich den zu löschenden Benutzernamen an das Schlüsselwort zu übergeben. Abbildung 7.40 zeigt den Screenshot des Fensters.
Abbildung 7.40 User and Groups
Nachdem Sie das Skript erstellt haben, müssen Sie noch einige abschließende Angaben machen:
Wo befindet sich das Skript? Sollen Benutzer in anderen Modulen bearbeitet werden? Soll das Homeverzeichnis erstellt werden? Sollen Dateien in das Homeverzeichnis kopiert werden? Soll der Name des Homeverzeichnisses geändert werden, wenn sich der Benutzername geändert hat? UID anpassen GID anpassen Soll das Homeverzeichnis gelöscht werden, wenn der Benutzer gelöscht worden ist? Sind die angegebenen Passwörter bereits verschlüsselt?
7.1 Webmin
367
Neue Gruppe erstellen Um eine Gruppe anzulegen haben Sie wesentlich weniger Angaben zu übergeben. Welche genau zu übergeben sind, erfahren Sie im Folgenden:
Gruppenname Kennwort (Sie können dieses Feld ignorieren, da Kennwörter für Gruppen nicht mehr aktuell sind) Gruppen-D Mitglieder
7.1.5
Server
Das dritte Registerblatt, das wir jetzt besprechen werden, beschäftigt sich mit den Servern, die auf Ihrem System laufen. Sie erhalten dadurch die Möglichkeit Ihren Dienst schnell, sauber und einfach zu konfigurieren. Da ein Großteil der Konfiguration grafisch erfolgt, sind Tippfehler als Fehlerquelle nahezu ausgeschlossen. Die Startseite zeigt Abbildung 7.41. Sie werden in dieser Besprechen auf viele Tools treffen, die für Sie uninteressant sind (es werden zum Beispiel mehrere FTP und Mailserver besprochen, auf normalen Systemen hingegen werden Sie nur jeweils einen solchen Dienst finden).
Abbildung 7.41 Servers Startseite
368
7 Remoteadministration
Es kann durchaus auch der Fall sein, dass Sie Dienste einsetzen, die per Default nicht über Webmin konfigurierbar sind. Wenn dies der Fall ist, ist es leider nicht so ohne weiteres möglich, diese Server über Webmin verfügbar zu machen. Wenn Sie dies wünschen -und die nötige Zeit mitbringen- können Sie aber die entsprechenden vorhandenen Perlmodule auf Ihre spezielle Software umschreiben. Bedenken Sie dabei aber den enormen Zeitaufwand und machen Sie auf jeden Fall zuvor eine Aufwand/Nutzen-Rechnung. Apache Webserver Wenn Sie Ihren Apache-Server nach der Installation von Webmin installieren und er noch nicht konfiguriert ist, werden Sie die in Abbildung 7.42 gezeigte Seite erhalten. Dort können Sie die unterstützenden und zu verwendenden Module auswählen und diese konfigurieren. Danach werden Sie auf die in Abbildung 7.43 gezeigte Seite weitergeleitet, die Sie ab jetzt immer hinter dem Link »Apache Webserver« finden werden. Wie Sie sehen stehen Ihnen dort zwei weitere Registerkarten zur Verfügung: 1. Modulkonfiguration 2. Apache starten Modulkonfiguration Hier können Sie grundsätzliche Einstellungen für Ihren Webserver treffen. Welche dies genau sind, erfahren Sie in der folgenden Aufzählung:
Apache Server Root-Verzeichnis Pfad für ausführbare httpd-Datei Pfad zum apachectl-Kommando Kommando für Apachestart Kommando für Apachestopp Wie sollen virtuelle Server angezeigt werden? Wie sollen diese sortiert werden? Wie viele Server dürfen maximal angezeigt werden? Pfad zur Konfigurationsdatei httpd.conf Pfad zu srm.conf Pfad zu access.conf Pfad zu mime.types Datei, der virtuelle Server hinzugefügt werden sollen Soll die Konfigurationsdatei getestet werden, bevor die Werte übernommen werden?
7.1 Webmin
369
Apache starten Startet logischerweise den Webserver. Nachdem Sie den Server gestartet haben, ändern sich die gezeigten Registerkarten in: 1. Änderungen zuweisen 2. Apache stoppen Änderungen zuweisen Dieser Punkt übergibt dem laufenden Apache Webserver die von Ihnen vorgenommenen Werte. Nachdem wir uns jetzt die vorhandenen Registerkarten angesehen und besprochen haben, können wir uns mit den Links zu den »großen« Konfigurationsformularen beschäftigen, die man grundsätzlich in zwei Teile unterteilen kann: 1. Globale Konfiguration 2. Virtuelle Server 3. Wir werden uns mit diesen beiden Oberpunkten nun ausführlich beschäftigen.
Abbildung 7.42 Startseite beim erstmaligen Aufruf
370
7 Remoteadministration
Abbildung 7.43 Neue Apache Startseite
Globale Konfiguration (Apache) Nun werden wir uns mit dem ersten Teil der Apache-Konfiguration genauer beschäftigen und zu diesem Zwecke die einzelnen verfügbaren Menüpunkte besprechen. Processes and Limits Über das Formular aus Abbildung 7.44 können Sie für folgende Prozesse Grenzwerte konfigurieren bzw. setzen:
Maximum headers in request Maximum request header size Maximum request line size Maximum concurrent requests Maximum requests per server process Maximum spare server processes Minimum spare server processes Initial server processes Display extended status information
7.1 Webmin
371
Abbildung 7.44 Processes and Limits
Networking and Addresses Mit dieser Maske (Abbildung 7.45) können Sie Netzwerkeinstellungen für Ihren Apache spezifizieren. Wie zum Beispiel:
Defaultport, auf dem Ihr Apache läuft und horcht Auf welchen Adressen und Ports Ihr Webserver verfügbar sein soll Wie viele Anfragen pro Verbindung erlaubt sind Länge der Warteschlange Die TCP »send buffer size« Request Timeouts Keep Alive Timeouts
Apache Modules An dieser Stelle können Sie bestimmte Module aktivieren bzw. deaktivieren (Abbildung 7.46). Mime-Typen Hier können Sie allgemeine Angaben zu Ihren MIME-Typen machen, die bereits vorhandenen editieren oder neue hinzufügen (Abbildung 7.47). Um einen vorhandenen MIME-Typ zu ändern, klicken Sie auf den entsprechenden Typ.
372
7 Remoteadministration
Abbildung 7.45 Networking and Addresses
Abbildung 7.46 Apache Modules
7.1 Webmin
373
Abbildung 7.47 MIME Typen
Miscellaneous Wie der Name schon sagt, können Sie an dieser Stelle verschiedene Konfigurationsangaben zu Ihrem Apache-Webserver machen (Abbildung 7.48):
Core dump-Verzeichnis Server PID-Datei Angaben zum HTTP Header Lockdatei Scoreboarddatei Servertyp (Standalone oder vom Superserver gestartet)
CGI Programs Diese Maske (Abbildung 7.49) nimmt bestimmte Angaben CGI-Programme betreffend entgegen. Dazu gehören:
CGI Skriptlog Maximale Größe des CGI Skriptlogs Maximale Datensatzgröße für Skriptlogs
374
7 Remoteadministration
Abbildung 7.48 Miscellaneous
Abbildung 7.49 CGI Programs
7.1 Webmin
375
Per-Directory Options Files (.htaccess) Dieses Formular nimmt Werte für die berühmten .htaccess-Dateien, die zumeist für Passwortabfragen genutzt werden, aber zu weitaus mehr fähig sind, entgegen (Abbildung 7.50).
Abbildung 7.50 Per-Directory Options Files
Re-Configure Known Modules Wie aus Abbildung 7.51 hervorgeht, erhalten Sie in dieser Seite Informationen über die von Webmin unterstützten Apache-Module. Falls Sie dynamische Module verwenden, können Sie diese an dieser Stelle aktivieren. Diese Seite verfährt ähnlich wie die Startseite, die Sie beim ersten Aufruf der Apachekonfiguration über Webmin erhalten haben. Edit Defined Parameters An dieser Stelle können Sie dem Apache-Webserver eine Liste von Parametern, die beim Start berücksichtigt werden sollen, übergeben. Diese Parameter können mit den und Sektionen in der Konfigurationsdatei benutzt werden (Abbildung 7.52).
376
7 Remoteadministration
Abbildung 7.51 Re-Configure Known Modules
Abbildung 7.52 Edit Defined Parameters
7.1 Webmin
377
Edit Config Files
Abbildung 7.53 Edit Config Files
Diese Maske (Abbildung 7.53) erlaubt es Ihnen Änderungen, »per Hand« in den verschiedenen Konfigurationsdateien vorzunehmen. Virtuelle Server Der zweite Teil der Apache-Konfigurationsmaske ist für die Konfiguration und Verwaltung der virtuellen Server in Ihrem System vorgesehen. So können Sie hier sofort einen neuen virtuellen Server anlegen. Dazu müssen Sie folgende Argumente übergeben:
Auf welcher Adresse bzw. auf welchen Adressen ist der Server erreichbar? Welcher Port soll benutzt werden? Wo liegt der Document Root? Servername?
Wenn Sie das Logo für die »Virtual Server Options« anklicken, gelangen Sie auf eine neue Seite, die es Ihnen erlaubt, die Standardeinstellungen für Ihre virtuellen Server zu treffen (Abbildung 7.54).
378
7 Remoteadministration
Abbildung 7.54 Virtual Server Options
Processes and Limits Folgende Grenzwerte und Prozesse können Sie als Standard für Ihre virtuellen Server spezifizieren:
Maximum request body size bytes CPU resource limit Memory resource limit Process limit
Abbildung 7.55 zeigt einen Screenshot. Networking and Addresses Diese Maske (Abbildung 7.56) erlaubt Ihnen folgende Defaultwerte zu setzen:
Soll ein Lookup für Hostnamen gemacht werden? Soll ein RFC 1413 User Lookup gemacht werden? E-Mail-Adresse des Serververwalters Name des Servers Soll der Name, der vom Browser übergeben wird, benutzt werden?
7.1 Webmin
379
Abbildung 7.55 Processes and Limits
Abbildung 7.56 Networking and Addresses
380
7 Remoteadministration
Log Files In dieser Maske (Abbildung 7.57) können Sie die Angaben, die das Logging betreffen, machen. Folgende Argumente können Sie dabei zum Beispiel übergeben:
Wo sollen die Fehler protokolliert werden? Wo befindet sich das Browserlogfile? Welches Format soll verwendet werden? Angaben zum Zugriffslogfile (access log file)
Abbildung 7.57 Log Files
Document Options Auch an dieser Stelle können Sie Angaben zu den Default-Einstellungen Ihres Servers machen. Diese Einstellungen beziehen sich hierbei hauptsächlich auf Dateien und Verzeichnisse und die dafür vorgesehenen Verwaltungs- und Sicherheitsmechanismen (Abbildung 7.58). Ein kleiner Auszug daraus:
Document-Root Verzeichnis User WWW-Verzeichnis Zugriffsrechte auf dieses Verzeichnis
7.1 Webmin
381
Per-Directory Options Datei (.htaccess) Optionen für diese Verzeichnisse Falsch geschriebene URLs korrigieren
Abbildung 7.58 Document Options
MIME-Typen Diese Maske (Abbildung 7.59) erlaubt die Konfiguration und Verwaltung der vorhandenen und verfügbaren MIME-Typen für die Standardeinstellungen Ihrer virtuellen Server. Sie können an dieser Stelle folgende Angaben machen (ein kleiner Auszug):
Extra MIME Typen Content Encodings Content Handlers Content Sprachen Extra Zeichensatz Default MIME Typ usw.
382
7 Remoteadministration
Abbildung 7.59 MIME Types
Error Handling In dieser Maske (Abbildung 7.60) können Sie die folgenden Werte für die Erzeugung einer Standardfehlermeldung übergeben:
Error-Code Antwort URL Nachricht
User and Groups Dieses Formular nimmt Werte entgegen, die dem Server angeben unter welchem User- und Gruppenname er laufen soll (Abbildung 7.61). Aliase and Redirects In diesem Formular können Sie die Weiterleitungen und Aliases für Ihre virtuellen Server spezifizieren (Abbildung 7.62). So können Sie hier zum Beispiel folgende Werte übergeben:
Aliase für Verzeichnisse URL-Weiterleitungen permanent zeitlich begrenzt und so weiter
7.1 Webmin
383
Abbildung 7.60 Error Handling
Abbildung 7.61 User and Groups
384
7 Remoteadministration
Abbildung 7.62 Aliases and Redirects
CGI Programs In diesem Formular können Sie die Spezifikationen für das Common Gateway Interface machen (Abbildung 7.63). Zum Beispiel:
Aliase für CGI-Verzeichnis Umgebungsvariablen für CGI Skripts Browserabhängige Variablen und vieles mehr
Directory Indexing Angaben zur Verzeichnisindizierung können Sie diesem Formular übergeben (Abbildung 7.64). Hierbei können Sie einige bekannte Werte spezifizieren:
Verzeichnisindizierungsoptionen Verzeichnisindexdatei (zumeist index.html) Verzeichnisindexheader Verzeichnisindexstandardbild Wie soll das Verzeichnis sortiert werden? Verzeichnisindexbeschreibungen
7.1 Webmin
385
Abbildung 7.63 CGI Programs
Abbildung 7.64 Directory Indexing
386
7 Remoteadministration
Proxying Die Angaben zum Proxying für Ihren Defaultserver können Sie in dieser Maske machen (Abbildung 7.65). So werden hier zum Beispiel folgende Daten verlangt:
Soll der Server als Proxy agieren? Wo liegt das Cacheverzeichnis? Sollen Anfragen zu bestimmten Domains geblockt werden? Sollen Anfragen an andere Proxy weitergeleitet werden? Sollen bestimmte Anfragen nicht weitergeleitet werden? Auf welchen Ports darf man sich verbinden? Größe des Cache? Welche Domains sollen nicht gecached werden? und noch einiges mehr
Abbildung 7.65 Proxying
Automatic Virtual Hosts In der Maske aus Abbildung 7.66 können Sie Angaben zum Root und zum CGIBIN-Verzeichnis machen und angeben, ob anstatt des Hostnamens die IPAdresse verwendet werden soll.
7.1 Webmin
387
Abbildung 7.66 Automatic Virtual Hosts
Show Directives An dieser Stelle erfahren Sie alles über die von Ihnen gemachten Direktiven in den verschiedenen Konfigurationsdateien (Abbildung 7.67). Per-Directory Options Im zweiten Abschnitt der »Virtual Server Options« können Sie weitere Angaben zu den Per-Directory Options machen. Da wir diese aber bereits besprochen haben, werden wir sie an dieser Stelle nicht besprechen. Bind 4 DNS Server Falls Sie Ihren Bind 4 DNS Server vor der Installation von Webmin noch nicht benutzt haben, werden Sie die in Abbildung 7.68 gezeigte Seite erhalten, die Sie daran erinnert, dass die Konfigurationsdatei noch nicht existiert. Sie haben dann die Möglichkeit diese unter verschiedenen Gesichtspunkten erstellen zu lassen. Danach werden Sie auf die in Abbildung 7.69 gezeigte Seite weitergeleitet, wo Sie folgende Optionen wählen können:
Neue Masterzone erstellen Neue Slavezone erstellen Defaultwerte für die Masterzone ändern
388
7 Remoteadministration
Abbildung 7.67 Show Directives
Abbildung 7.68 Bind 4 DNS beim erstmaligen Betreten
7.1 Webmin
389
Abbildung 7.69 Seite, auf die Sie weitergeleitet werden
Neue Masterzone erstellen Wenn Sie eine neue Masterzone erstellen wollen, müssen Sie folgende Angaben für die entstehende Zone machen:
Zonentyp Domänenname/Netzwerk Aufzeichnungsdatei Masterserver E-Mail-Adresse des Besitzers Zeit bis zum Refresh Ablaufzeit
Neue Slavezone erstellen Hier sind folgende Spezifikationen zu treffen:
Zonentyp Domänenname / Netzwerk Aufzeichnungsdatei Masterserver
390
7 Remoteadministration
Defaultwerte für die Masterzone ändern Im unteren Abschnitt dieser Seite können Sie folgende Defaultwerte ändern:
Zeit bis zum Refresh Zeit bis zum Ablauf Zeitspanne bis zu einem neuen Transferversuch Default ttl (time to live)
Bind 8 DNS Server Wenn Sie die Seite zur Konfiguration des Bind 8 DNS Servers öffnen, erhalten Sie eine Seite, die in zwei Teile aufgeteilt ist (Abbildung 7.70): 1. Globale Servereinstellungen 2. Existierende DNS-Zonen
Abbildung 7.70 Bind 8 DNS Server
Other DNS Servers Dies ist der erste Punkt der globalen Serveroptionen und erlaubt Ihnen die Konfiguration weiterer DNS Server (Abbildung 7.71).
7.1 Webmin
391
Abbildung 7.71 Other DNS Servers
Logging and Errors 1. Unter diesem Menüpunkt können Sie alle vorhandenen Protokollierungskanäle einsehen und neue hinzufügen. Des Weiteren können Sie hier die Protokollierungskategorien verwalten (Abbildung 7.72). 2. Um einen neuen Protokollierungskanal hinzuzufügen müssen Sie folgende Angaben machen:
Name des Kanals Protokolldatei Maximale Größe Syslog Level Minimale Meldestufe Soll die Kategorie in der Protokolldatei vermerkt werden? Sollen das Datum und die Uhrzeit in der Protokolldatei aufgeführt werden? usw.
392
7 Remoteadministration
Abbildung 7.72 Logging and Errors
Access Control Lists Diese Maske (Abbildung 7.73) ist für die Einrichtung der so genannten Zugriffskontrollen zuständig. Um eine neue Zugriffskontrolle zu spezifizieren müssen Sie folgende Daten an das Formular übergeben:
ACL-Name zutreffende Adressen, Netzwerke und Zugriffskontrollen
Files and Directories Diesem Formular können Sie die globalen Datei- und Verzeichniseinstellungen übergeben (Abbildung 7.74). Die vier folgenden Felder können Sie dabei vom Standard abweichend definieren:
Ausgabedatei für Statistiken Datenbanksicherungsdatei Prozess-ID-Datei Pfad zum Zonentransferprogramm
7.1 Webmin
393
Abbildung 7.73 Access Control Lists
Abbildung 7.74 Files and Directories
394
7 Remoteadministration
Forwarding and Transfers Um die globalen Weiterleitungs- und Transfereinstellungen zu definieren müssen Sie dieses Formular benutzen. So können Sie hier zum Beispiel folgende Parameter setzen:
Server, an die Anfragen weitergeleitet werden sollen Direkter Lookup, wenn keine Antwort von der Weiterleitung erhalten wird Maximale Zonentransferzeit Zonentransferformat Maximale Anzahl gleichzeitiger Zonentransfers
Einen Screenshot zeigt Abbildung 7.75.
Abbildung 7.75 Forwarding and Transfers
Addresses and Topology Hier können Sie die folgenden globalen Adressen- und Topologieeinstellungen vornehmen (Abbildung 7.76):
Abzuhörende Anschlüsse und Adressen Quell-IP für Anfragen Quellanschluss für Anfragen Nameserver Wahltopologie
7.1 Webmin
395
Abbildung 7.76 Addresses and Topology
Miscellaneous Options Wie Sie aus der folgenden Auflistung und Abbildung 7.77 erkennen können, können Sie in dieser Maske weitere verschiedenartige Optionen setzen:
Maximale Core-Dump-Größe Maximale Datenspeicherbenutzung Maximale Anzahl geöffneter Dateien Maximale Benutzung des Stapelspeichers Intervall zwischen Löschen abgelaufener Datensätze Intervall zwischen dem Überprüfen auf neue Schnittstellen Intervall zwischen der Protokollierung der Statistik Vollen rekursiven Lookup für die Clients ausführen? Mehrfache CNAME-Aliase für einen Namen erlauben? Glue-Datensätze holen? Maßgebliches AA-Bit bei Antworten einstellen?
396
7 Remoteadministration
Abbildung 7.77 Miscellaneous Options
Control Interface Options Wie aus Abbildung 7.78 hervorgeht, können Sie in diesem Formular die so genannten »Control Interface«-Optionen setzen. Zone Defaults Dieses Formular ist in zwei Teile aufgeteilt: 1. Defaults für neue Masterzonen 2. Standardzoneneinstellungen 3. Im Bereich für neue Masterzonen können Sie folgende Werte setzen:
Zeit aktualisieren Wiederholungszeit transferieren Ablaufzeit Standard-Time-To-Live Vorlagendatensätze Default-E-Mail-Adresse
7.1 Webmin
397
Abbildung 7.78 Control Interface Options
Folgende Felder können Sie im Bereich »Standardzoneneinstellungen« setzen:
Erlaube Transfers von.. Erlaube Anfragen von.. Überprüfe Namen in Master-Zonen? Überprüfe Namen in Slave-Zonen? Überprüfe Namen in Antworten? Slaves über Änderungen benachrichtigen?
Einen Screenshot zeigt Abbildung 7.79. Nun ist es an der Zeit, den zweiten Teil der Konfigurationsseite für den Bind DNS Server zu besprechen, der es Ihnen erlaubt, die bereits existierenden Zonen zu verwalten und neue Zonen anzulegen. Bereits existierende Zone verwalten Um eine existierende Zone zu editieren klicken Sie einfach auf das entsprechende Symbol und nehmen Sie in der darauf erscheinenden Seite die zu treffenden Änderungen vor.
398
7 Remoteadministration
Abbildung 7.79 Zone Defaults
Dabei können Sie je nach Masterzonen folgende Werte abändern:
Reverse-Adresse Nameserver Namensaliase Datensatzdatei Zonenparameter Zoneneinstellungen Mailserver Hostinformationen Text Bekannte Dienste Verantwortliche Person Location
7.1 Webmin
399
Neue Masterzone anlegen Wenn Sie eine neue Masterzone anlegen wollen, klicken Sie auf den entsprechenden Link am unteren Ende der Seite und übergeben Sie dem dann aufgerufenen Formular folgende Werte:
Zonentyp Domänenname/Netzwerk Datensatzdatei Master-Server E-Mail-Adresse Zonenvorlage benutzen? IP-Adresse für Vorlagendatensätze Zeit aktualisieren Wiederholungszeit transferieren Ablaufzeit Standard-Time-To-Live
Neue Slavezone anlegen Nachdem Sie dem entsprechenden Link für die Erstellung einer neuen Slavezone gefolgt sind, müssen Sie die nun aufgelisteten Felder ausfüllen:
Zonentyp Domänenname/Netzwerk Datensatzdatei Master-Server Serverport
Neue Subzone anlegen Auch hier haben Sie vor der Erstellung der Zone noch einige Angaben zu treffen:
Zonentyp Domänenname/Netzwerk Datensatzdatei Master-Server Serverport
Neue Weiterleitungszone anlegen Hier haben Sie folgende Werte zu übergeben:
Zonentyp Domänenname/Netzwerk Master-Server
400
7 Remoteadministration
DHCP Server
Abbildung 7.80 DHCP Server
Unter diesem Menüpunkt können Sie die Subnets und freigegebene Netzwerke konfigurieren und die Hosts und Hostgruppen verwalten (Abbildung 7.80). Des Weiteren stehen Ihnen folgende Features zur Verfügung:
Clienteinstellungen bearbeiten Server starten Aktive Vergaben auflisten
Neues Subnet hinzufügen Um ein neues Subnet hinzuzufügen müssen Sie dem entsprechenden Link folgen und diese Daten übergeben:
Netzwerkadresse Netzmaske Adressbereiche Dynamisches BOOTP? Freigegebenes Netzwerk
7.1 Webmin
401
Standardvergabezeit Boot-Dateiname Maximale Vergabezeit Boot-Datei-Server Server-Name Vergabelänge für BOOTP-Clients Vergabeende für BOOTP-Clients Hosts directly in this subnet Groups directly in this subnet
Neues freigegebenes Netzwerk hinzufügen Wenn Sie ein neues freigegebenes Netzwerk hinzufügen wollen, braucht die dafür aufzurufende Maske folgende Angaben von Ihnen:
Netzwerkname Standardvergabezeit Boot-Dateiname Maximale Vergabezeit Boot-Datei-Server Server-Name Vergabelänge für BOOTP-Clients Vergabeende für BOOTP-Clients Hosts directly in this shared network Groups directly in this shared network Subnets in this shared network
Einen neuen Host hinzufügen Dafür müssen Sie folgende Felder ausfüllen:
Host-Name Hardware Address Feste IP-Adresse Standardvergabezeit Boot-Dateiname Maximale Vergabezeit Boot-Datei-Server Server-Name Vergabelänge für BOOTP-Clients Vergabeende für BOOTP-Clients
402
7 Remoteadministration
Neue Hostgruppe hinzufügen Die Spezifizierung der Hostgruppendetails erfolgt über die aufgelisteten Parameter:
Hosts in dieser Gruppe Benutze Name als Client-Host-Name? Standardvergabezeit Boot-Dateiname Maximale Vergabezeit Boot-Datei-Server Server-Name Vergabelänge für BOOTP-Clients Vergabeende für BOOTP-Clients
Client-Einstellungen bearbeiten Unter diesem Menüpunkt finden Sie eine Maske, die es Ihnen erlaubt, die DHCP Client-Einstellungen zu ändern und diese auf alle Subnetze, alle freigegebenen Netzwerke, Hosts und Hostgruppen anzuwenden. Dafür sind folgende Angaben an das dafür zuständige Formular zu übergeben:
Client-Host-Name Standard-Router Subnet-Maske Broadcast-Adresse Domänenname DNS-Server Zeit-Server Protokoll-Server Swap-Server Stammverzeichnispfad NIS-Domäne NIS-Server Font-Server XDM-Server Statische Routen NTP-Server NetBIOS-Nameserver NetBIOS-Scope
7.1 Webmin
403
NetBIOS-Verbindungstyp Benutze Name als Client-Host-Name? Standardvergabezeit Boot-Dateiname Maximale Vergabezeit Boot-Datei-Server Server-Name Vergabelänge für BOOTP-Clients Vergabeende für BOOTP-Clients
Aktive Vergaben auflisten Wenn Sie den Button »Liste aktive Verbindungen auf« drücken, werden alle Vergaben aus der Datei /var/lib/dhcp/dhcpd.leases aufgelistet. Server starten Sie können diesen Button benutzen, um den Server zu starten. Fetchmail Mail Retrieval
Abbildung 7.81 Anfängliche Fetchmailseite
404
7 Remoteadministration
Falls Sie Fetchmail vor Ihrer Webmininstallation noch nicht genutzt haben (bzw. falls es von keinem User auf Ihrem Server genutzt wurde), erhalten Sie die in Abbildung 7.81 gezeigte Seite, die es Ihnen erlaubt, für einen bestimmten Benutzer die Datei .fetchmailrc anzulegen.
Nachdem Sie den User, für den die Datei angelegt werden soll, spezifiziert haben, müssen Sie noch die folgenden Angaben übergeben:
Mailserver-Optionen Mailservername
Abholung aktiviert? Identisch mit Mailserver Name Protokoll Mailserver Port
Mailserver Benutzerdetails Benutzername auf Mailserver Passwort auf Mailserver
Lokaler Benutzer Nachrichten auf dem Server belassen? Alle Nachrichten abholen? Befehl, der vor dem Verbindungsaufbau ausgeführt werden soll Befehl, der nach dem Verbindungsaufbau ausgeführt werden soll Wenn Sie die von Ihnen übergebenen Angaben durch Drücken des Buttons »Erstellen« bestätigen, wird die Datei für den angegebenen Benutzer erstellt.
Internet Services and Protocol Diese Maske ist in zwei Teile aufgeteilt: 1. Internetdienste 2. RPC-Programme Internetdienste Im ersten Teil der Seite können Sie die vorhandenen Internetdienste konfigurieren oder neue hinzufügen (Abbildung 7.82). Da die dabei zu treffenden Angaben für beide Features gleich sind, werden wir uns auf die Besprechung über das Hinzufügen neuer Internetdienste beschränken. Um neue Dienste hinzuzufügen sind folgende Angaben zu übergeben:
Servicename Portnummer Protokolle Aliase
7.1 Webmin
405
Serverprogramm Wartemodus Maximum pro Minute Unter welchen Usernamen soll das Programm ausgeführt werden? Unter welcher Gruppe soll das Programm ausgeführt werden?
Abbildung 7.82 Internet Services and Protocols
RPC-Programme Für die Erstellung eines neuen RPC-Programms müssen folgende Parameter übergeben werden:
Programmname Programmnummer Aliase Serverprogramm RPC-Versionen Sockettyp Protokolle Serverprogramm
406
7 Remoteadministration
Kommando Wartemodus Ausführen als User Max pro Minute Ausführen als Gruppe
Jabber IM Server Hier können Sie Ihre Jabber IM Server über Webmin konfigurieren. Leider unterstützt die von uns hier verwendete Version von Webmin den neuen Jabber Server nicht, so dass wir ihn an dieser Stelle leider nicht besprechen können. Wir werden dies aber auf der Buchseite nachholen. MySQL Database Server An dieser Stelle können Sie den MySQL Datenbankserver konfigurieren. Die Erfahrung hat aber gezeigt, dass es durchaus des Öfteren von Nöten ist, die MySQL Modulkonfiguration zu ändern, deshalb werden wir dies nun besprechen. Dafür haben Sie folgende Angaben zu übergeben:
Pfad zum mysqlshow-Befehl Pfad zum mysqladmin-Befehl Pfad zum mysql-Befehl Pfad zum mysqldump-Befehl Pfad zum mysqlimport-Befehl Befehl zum Start des MySQL Servers Befehl um den Server zu stoppen Pfad zu den »mysql shared libraries«-Verzeichnissen Administration login Administration password Anzahl der Reihen, die auf einer Seite angezeigt werden sollen Wie sollen die Datenbanken und Tabellen dargestellt werden? Soll das »vertical row editing« Interface benutzt werden? Zu welchem Host soll verbunden werden? Socketdatei Soll zur Verbindung DBI genutzt werden?
PPP Accounts Hinzufügen eines PPP-Kontos, wenn ein Unix-Benutzer für den nebenstehenden Server hinzugefügt wird:
Ändern des PPP-Kontos, wenn ein Unix-Benutzer geändert wird Löschen des PPP-Kontos, wenn ein Unix-Benutzer gelöscht wird
7.1 Webmin
407
Hier können Sie angeben, dass die Änderungen, die Sie an den Benutzerkonten der Linuxuser vorgenommen haben, direkt auf Ihr PPP-System übernommen werden. Postfix Configuration Hier können Sie die nötigen Einstellungen für Ihren Postfixserver treffen. General Options Unter dieser Maske (Abbildung 7.83) können Sie die nötigen allgemeinen Einstellungen für Ihren Server treffen. Dabei sei aber vorab gleich einmal darauf hingewiesen, dass Sie lange nicht alle Konfigurationsparameter über die Oberfläche von Webmin treffen können. Die wichtigsten und am häufigsten genutzten Parameter können Sie aber bequem über das Netz konfigurieren. Im Folgenden sehen Sie einige der Parameter, die Sie online setzen können:
Domäne für ausgehende Mails Domänen für E-Mail-Empfang Probleme, die an den Postmaster gemeldet werden Soll bei der Auslieferung von Mails ein Host zwischengeschaltet werden? Sollen Kopien der Nachrichten an eine bestimmte Adresse geschickt werden? Timeout beim Bearbeiten von Anfragen und so weiter
Abbildung 7.83 General Options
408
7 Remoteadministration
Address Rewriting and Masquerading Um die Adressumschreibung und Maskierung zu definieren können Sie die Maske aus Abbildung 7.84 verwenden. Somit lassen sich zum Beispiel folgende Angaben treffen:
Soll »Benutzer%Domäne« in »Benutzer@Domäne« umgeschrieben werden? Soll »Benutzer« in »Benutzer@$MeineDomäne« geändert werden? Soll »Benutzer@Host« durch »Benutzer@Host.$MeineDomäne« ersetzt werden? Soll statt »Site!Benutzer« »Benutze@Site« verwendet werden? Sollen Mails ohne Empfänger an den Mailer Daemon geschickt werden? Adressmaskierung Maskierungsausnahmen
Abbildung 7.84 Address Rewriting and Masquerading
Mail Aliases Wenn Sie Ihre vorhandenen Mail Aliase bearbeiten oder neue hinzufügen wollen, können Sie dies mit dieser Maske erledigen (Abbildung 7.85). Diese Seite ist in zwei Teile unterteilt. Im oberen Teil sehen Sie die allgemeinen Einstellungen zu den Aliasen und im unteren die vorhandenen und bereits eingerichteten Mail Aliase, die Sie mit einem einfachen Klick konfigurieren können.
7.1 Webmin
409
Abbildung 7.85 Mail Aliases
Canonical Mapping In dieser Maske (Abbildung 7.86) können Sie folgende Punkte bearbeiten:
Adressenverknüpfungstabellen Tabellen für Empfängeradressen Tabellen für Senderadressen
Virtual Domains Hier können Sie die vorhandenen Verknüpfungen für virtuelle Domains einsehen, bearbeiten und neue hinzufügen (Abbildung 7.87). Transport Mapping Ähnlich zu den eben kennen gelernten virtuellen Domains können Sie hier die Verknüpfungstabellen für den Transport definieren (Abbildung 7.88). Relocated Mapping Falls sich Adressen bestimmter Hosts oder Personen etc. geändert haben, können Sie dies in dieser Maske mit den so genannten Lookup-Tabellen spezifizieren (Abbildung 7.89). Dabei ist es auch hier möglich, neue Tabellen anzulegen oder die vorhandene zu editieren. Normalerweise sollte dieses Feature deaktiviert bleiben.
410
7 Remoteadministration
Abbildung 7.86 Canonical Mapping
Abbildung 7.87 Virtual Domains
7.1 Webmin
411
Abbildung 7.88 Transport Mapping
Abbildung 7.89 Relocated Mapping
412
7 Remoteadministration
Local Delivery Nachdem wir nun einige Formulare kennen gelernt haben, deren Bearbeitung eher simpel ist, können wir uns nun mit einer Maske beschäftigen, die etwas komplexer und umfangreicher ist.
Abbildung 7.90 Local Delivery
Wie Sie in Abbildung 7.90 sehen können, enthält dieses Formular die für die lokale Auslieferung von E-Mails nötigen Informationen. Um einen besseren Eindruck der zu treffenden Informationen zu bekommen, können Sie einen Blick in die folgende Aufzählung werfen:
Name des Transports für lokale Lieferungen Shell, die bei Lieferung zu externem Befehl benutzt wird (keine direkte Ausführung von Befehlen) Suchliste zur Weiterleitung Auslieferung gültiger E-Mail an externe Befehle Gültige Mail in externe Datei schreiben Standardrechte des Auslieferungsagenten Pfadname der Mailbox-Datei relativ zum Home-Verzeichnis Zieladresse für unbekannte Empfänger
7.1 Webmin
413
Verzeichnis für E-Mails in Warteschlange Externer Befehl, der anstelle Lieferung an Mailbox benutzt wird Optionaler tatsächlich zu benutzender Transport Optionaler Transport für unbekannte Empfänger Maximale Anzahl simultaner Auslieferungen an denselben lokalen Empfänger Maximale Anzahl von Empfängern je ausgelieferter lokaler Mail
General Resource Control Hier können Sie Einstellungen zur allgemeinen Ressourcenkontrolle treffen. Einige der zu treffenden Einstellungen können Sie im folgenden Listing sehen. Die Maske zeigt Abbildung 7.91.
Abbildung 7.91 General Resource Control
Maximale Größe zurückgesandter Nachrichten Maximale Zeit bei Auslieferung an externe Programme Maximale Anzahl von untergeordneten Postfix-Prozessen Maximale Anzahl von Adressen, die der Duplikatfilter behält Maximale Anzahl Versuche, um Dateisperrung zu erhalten
414
7 Remoteadministration
Zeit in Sekunden zwischen Dateisperrungsversuchen Maximale Anzahl der Versuche, um einen Prozess zu erzeugen Maximale Zeit zwischen den Versuchen Maximal benutzter Speicher zur Bearbeitung von Headers Maximal benutzter Speicher zur Bearbeitung von Eingabezeilen Maximale Größe einer Nachricht Maximale Anzahl von Nachrichten in der aktiven Warteschlange Maximale Anzahl von Empfängern im Speicher Minimaler freier Speicher im Dateisystem der Warteschlange Maximale Zeit, nach der eine alte Sperrung freigegeben wird Zeit in Sekunden zwischen Versuchen, einen defekten MDT zu erreichen
SMTP Server Options Sie können diesem Formular (Abbildung 7.92) folgende Parameter übergeben:
SMTP-Grußbanner Maximale Anzahl der Empfänger für die Auslieferung Deaktiviere Befehl SMTP VRFY Timeout in Sekunden für SMTP-Transaktionen Timeout bis Senden von 4xx/5xx-Fehlerantwort Fehlerzahl, ab der ein Client vorübergehend ignoriert wird Fehlerzahl, nach der eine Verbindung getrennt wird Wird HELO benötigt? Erlaube nicht vertrauenswürdigen Benutzern das Routing Schränke Befehl ETRN ein auf ... Einschränkungen der Client-Host-Namen/-Adressen Einschränkungen beim Senden des Befehls HELO Einschränkungen der Absenderadressen Einschränkungen der Empfängeradressen DNS-Domänen, die auf einer schwarzen Liste nachgeschlagen werden Schränke Mail-Weiterleitung ein SMTP-Server-Antwort bei Zugangsverletzung SMTP-Server-Antwort bei Ablehnen eines ungültigen Host-Namen SMTP-Server-Antwort bei RBL-Domänenverletzung SMTP-Server-Antwort bei Ablehnen eines Clients SMTP-Server-Antwort bei verbotenem Weiterleiten SMTP-Server-Antwort bei Ablehnen einer unbekannten Domäne
7.1 Webmin
415
SMTP-Server-Antwort bei Ablehnen eines unbekannten Clients SMTP-Server-Antwort bei Ablehnen wegen unbekanntem Host-Namen
Abbildung 7.92 SMTP Server Options
SMTP Client Options Das Gegenstück zu den gerade gezeigten SMTP Server Options bilden die SMTP Client Options, wo Sie folgende Optionen setzen können (Abbildung 7.93):
SMTP-Server-Einstellungen Aktion, wenn aufgelistet als bester MX-Host Hosts/Domänen, an die Mail gegeben wird, falls Ziel ungültig Ignoriere MX-Lookup-Fehler Überspringe 4xx-Gruß Überspringe Warten auf Befehl QUIT Maximale Anzahl simultaner Auslieferungen an das gleiche Ziel Maximale Anzahl von Empfängern je Auslieferung Timeout um TCP-Verbindungen zu beenden Timeout beim Warten auf den Grußbanner
416
7 Remoteadministration
Timeout beim Warten auf Antwort auf MAIL FROM Timeout beim Warten auf Antwort auf RCPT TO Timeout beim Warten auf Antwort auf DATA Timeout für Antwort beim Senden des Nachrichteninhalts Timeout beim Warten auf Antwort auf beendenden "." Timeout beim Warten auf Antwort auf QUIT
Abbildung 7.93 STMP Client Options
Delivery Rates In dieser Maske (Abbildung 7.94) können Sie die zu treffenden Auslieferungsraten dazu setzen (siehe Aufzählung).
Maximale Anzahl simultaner Auslieferungen an das gleiche Ziel Maximale Anzahl von Empfängern je Nachrichtenauslieferung Anfänglicher Übereinstimmungs-Level beim Liefern an gleiches Ziel Maximale Zeit (Tage), die eine Nachricht in der Warteschlange verbleibt, bevor sie nicht zustellbar ist Minimale Zeit (Sek) zwischen Versuchen, eine aufgeschobene Nachricht zu versenden
7.1 Webmin
417
Maximale Zeit (Sek.) zwischen Versuchen, eine aufgeschobene Nachricht zu versenden Zeit (Sek) zwischen dem Scannen der Warteschlange für aufgeschobene Nachrichten Transporte, die nicht ausgeliefert werden sollen
Abbildung 7.94 Delivery Rates
Debugging Features Diese für die Fehlersuche enorm wichtigen Funktionen können Sie unter der in Abbildung 7.95 gezeigten Maske vornehmen.
Liste von Domänen-/Netzwerkmustern, für die ausführliche Protokollierung aktiviert ist Ausführliche Protokollierung für Übereinstimmung mit oben angegebener Liste
418
7 Remoteadministration
Abbildung 7.95 Debugging Features
ProFTPD Server Diese Maske ermöglicht die Konfiguration des ProFTPD-Servers und ist in 2 Teile unterteilt, die wir jeweils getrennt voneinander besprechen werden: 1. Globale Konfiguration 2. Virtuelle Server Globale Konfiguration (ProFTPD) Hier können Sie die globalen Einstellungen Ihren ProFTPD-Server betreffend spezifizieren. Networking Options In dieser Maske (Abbildung 7.96) können Sie die für Sie notwendigen Netzwerkoptionen setzen. Die folgende Aufzählung zeigt Ihnen einen Ausschnitt aus den verfügbaren Feldern dieser Maske:
Anzahl der zur gleichen Zeit laufenden Sitzungen Sollen RFC 2228 Antworten geschickt werden? Leerlaufzeit, bevor die Verbindung beendet wird Zeit, die vor dem ersten Transfer gewartet werden soll
7.1 Webmin
419
Servertyp Zeit bis zur Authentifizierung Transfermodus (ASCII oder binär) Maximale Länge des FTP-Befehls Soll der Willkommensgruß erst nach dem Login gezeigt werden? Anzahl der zur gleichen Zeit stattfindenden Logins und vieles mehr
Abbildung 7.96 Networking Options
Logging Options Dieses Formular (Abbildung 7.97) nimmt Einstellungen für Ihr Logging entgegen. So werden Sie hier zum Beispiel nach folgenden Parametern gefragt:
System Log Facility Format Errorlogdatei System Log Level
420
7 Remoteadministration
Abbildung 7.97 Logging Options
Files and Directories Um Einstellungen Dateien und Verzeichnisse betreffend zu übergeben, müssen Sie die Maske aus Abbildung 7.98 aufrufen. Dort haben Sie die Möglichkeit unter anderem folgende Optionen zu definieren:
Loginverzeichnis Chroot-Verzeichnisse Sollen abgebrochene Uploads gelöscht werden? Sollen Uploads versteckt werden? Sollen symbolische Links gezeigt werden? Sollen Dateien, die mit einem Punkt beginnen, gezeigt werden? Zusätzliche ls-Optionen Sollen die Rechtsverhältnisse in einem Verzeichnis gefaked werden?
7.1 Webmin
421
Abbildung 7.98 Files and Directories
Access Control Um die Zugriffskontrollen für Ihren ProFTPD-Server zu definieren müssen Sie in diesem Formular (Abbildung 7.99) unter anderem die folgenden Werte spezifizieren:
Wenn der Login nicht erlaubt ist, soll trotzdem nach einem Passwort gefragt werden Nachricht, die nach einem erfolgreichen Login erscheint Dürfen Dateien überschrieben werden? Ist der »chmod«-Befehl erlaubt? Nachricht, die nach einem nicht erfolgreichem Login erscheint Erlaubte FTP-Befehle Nicht erlaubte FTP-Befehle
422
7 Remoteadministration
Abbildung 7.99 Access Control
Miscellaneous Hier können Sie verschiedene Werte für Ihr LDAP-Verzeichnis, die maximale CPU-Auslastung etc. definieren (Abbildung 7.100). Die folgende Auflistung gibt Ihnen einen kleinen Vorgeschmack auf die zu treffenden Parameter:
PID-Datei CPU-Auslastungslimit Speicher-Auslastungslimit Maximum von geöffneten Dateien Zeitangabe LDAP-Informationen und vieles mehr
7.1 Webmin
423
Abbildung 7.100 Miscellaneous
Authentication Falls Sie die Standard-Authentifizierungsparameter ändern wollen, müssen Sie diese Seite aufrufen (Abbildung 7.101). Hier können Sie unter anderem folgende Werte setzen:
Darf sich der Superuser einloggen? Gruppen, deren Mitglieder als »anonymous« behandelt werden sollen Datei, in der die Nachricht, die vor dem Login gezeigt werden soll, steht Datei, in der die Nachricht, die gezeigt werden soll, wenn zu viele Verbindungen bestehen, steht Nachricht, die nach dem Login gezeigt werden soll Logoutnachricht Gruppenpasswörter Maximum der missglückten Loginversuche pro Sitzung Soll nur denjenigen Usern der Login erlaubt werden, die eine gültige Shell besitzen Soll Usern, die in der Datei /etc/fptusers stehen, der Zugriff verweigert werden?
424
7 Remoteadministration
Soll PAM für die Authentifizierung genutzt werden? Alternative Unixgruppendatei Alternative Unixpasswortdatei
Abbildung 7.101 Authentication
Per-Directory Options File Sie können diese Maske (Abbildung 7.102) benutzen um eine .ftpaccess-Datei zu erzeugen, welche weitere Parameter für das betreffende Verzeichnis spezifiziert. Beachten Sie dabei, dass alle Restriktionen, die Sie mit dieser Datei definieren, auch auf alle Unterverzeichnisse übergreifen. Denied FTP Users Wie Sie sich vielleicht noch erinnern können, hatten Sie unter dem Menüpunkt Authentication die Möglichkeit zu spezifizieren, ob Usern in der Datei /etc/ftpusers der Login verwehrt wird. Unter dieser Maske haben Sie nun die Möglichkeit Einträge in dieser Datei vorzunehmen und somit bestimmten Benutzern den Zugriff auf Ihr System zu verwehren (falls Sie die entsprechenden Parameter in der Authentication-Maske richtig gesetzt haben).
7.1 Webmin
425
Abbildung 7.102 Per-Directory Options File
Dabei brauchen Sie eigentlich auf nichts Besonderes zu achten, löschen Sie einfach die Kommentarzeilen aus der Datei (optional) und fügen Sie die vorgesehenen Benutzer ohne weitere Parameter ein. Sie sollten Benutzern wie den Superusern etc. den Zugriff auf Ihr System definitiv verwehren. Die Maske zeigt Abbildung 7.103. Virtuelle Server (ProFTPD) Im zweiten Teil der Startseite haben Sie die Möglichkeit Einstellungen zu den vorhandenen virtuellen Servern zu treffen oder einfach einen neuen virtuellen Server hinzuzufügen. Um einen neuen Server hinzuzufügen haben Sie folgende Angaben zu machen:
Adresse FTP Port Servername
Nachdem Sie den Link zu den Einstellungen für Ihren virtuellen Defaultserver gefolgt sind, kommen Sie zu der in Abbildung 7.104 gezeigten Seite. Wie Sie unschwer erkennen können, haben wir die meisten der dort zu konfigurierenden Punkte bereits in der globalen Konfiguration besprochen. Wir werden daher nur die für Sie im Moment neuen Oberpunkte kurz erläutern.
426
7 Remoteadministration
Abbildung 7.103 Denied FTP Users
Abbildung 7.104 Virtuelle Server
7.1 Webmin
427
Users and Groups Hier können Sie spezifizieren, unter welchem User und unter welcher Gruppe die virtuellen Server grundsätzlich laufen sollen (Abbildung 7.105).
Abbildung 7.105 Users and Groups
Anonymous FTP Um einen Anonymous-FTP-Server einzurichten, bedarf es etwas Konfigurationsarbeit. Diese Konfigurationen können Sie problemlos unter diesem Menüpunkt vornehmen. Da die meisten dort zu findenden Unterpunkte jedoch den bereits vorgestellten Punkten sehr ähneln, werden wir an dieser Stelle nur eine weitere (neue) Maske besprechen (Abbildung 7.106). Configure FTP Options Wie Sie in Abbildung 7.107 sehen können, müssen Sie hier lediglich die drei folgenden Punkte spezifizieren:
Chroot-Verzeichnis Unter welchem Usernamen soll der Dateizugriff stattfinden? Unter welchem Gruppennamen soll der Dateizugriff stattfinden?
428
7 Remoteadministration
Abbildung 7.106 Anonymous FTP
Abbildung 7.107 Configure Anonymous FTP
7.1 Webmin
429
SSH Server Auch hier bietet Webmin ein Webinterface zur Konfiguration, das Ihnen das Leben wirklich erleichtern kann. Wir werden uns nun mit den in Abbildung 7.108 zu sehenden Unterpunkten auseinander setzen.
Abbildung 7.108 Start
Authentication Um die Optionen für Anmeldung und Echtheitsbestätigung zu treffen, können Sie dieser Maske (Abbildung 7.109) folgende Werte übergeben:
Benachrichtigung, wenn neue Mails vorhanden sind Erlaube Echtheitsbestätigung durch Passwort Erlaube das Anmelden mit leerem Passwort Erlaube Anmeldung als root? Erlaube RSA Echtheitsbestätigung? Prüfe Berechtigungen auf Dateien der Schlüssel Anzeigen von /etc/motd beim Anmelden Ignoriere Datei known_hosts des Benutzers Meldungsdatei vor dem Anmelden
430
7 Remoteadministration
Erlaube das Anmelden nur durch hosts.equiv und .rhosts Prüfe hosts.equiv und .rhosts für RSA-Echtheitsbestätigung Ignoriere .rhosts-Datei
Abbildung 7.109 Authentication
Networking In dieser Maske (Abbildung 7.110) können Sie folgende Parameter für Ihr Netzwerk setzen:
Adresse, auf der Verbindungen angenommen werden sollen Port, auf dem Verbindungen angenommen werden sollen Akzeptierte Protokolle Verbindung trennen, wenn Client abgestürzt ist? Wartezeit für Anmeldung TCP-Weiterleitung erlauben? Verbindung auf weitergeleiteten Ports erlauben?
7.1 Webmin
431
Abbildung 7.110 Networking
Access Control Zur Kontrolle der Zugriffssteuerung stehen Ihnen folgende vier Felder zur Konfiguration zur Verfügung (Abbildung 7.111):
Nur bestimmte Benutzer erlauben Nur bestimmte Gruppen erlauben Bestimmte Benutzer verbieten Bestimmte Gruppen verbieten
Miscellaneous Options Weitere nicht zuordenbare Optionen können Sie in diesem Feld setzen (Abbildung 7.112):
Erlaube Weiterleitung von X11-Verbindungen X11 display offset Vollständiger Pfad zum xauth-Programm Syslog-Möglichkeiten Protokoll Level Schlüssellänge Server Erneuerungsinterval für Serverschlüssel PID-Datei
432
7 Remoteadministration
Abbildung 7.111 Access Control
Abbildung 7.112 Miscellaneous Options
7.1 Webmin
433
Client Host Options In diesem Formular können Sie für jeden Client unterschiedliche Optionen setzen. Um einen bereits vorhandenen Client zu bearbeiten, folgen Sie einfach dem Link im Namen des Hosts. Falls Sie einen neuen Client anlegen wollen, benutzen Sie den Button »Optionen für Client-Rechner hinzufügen« (Abbildung 7.113). Egal welche dieser beiden Konfigurationsmöglichkeiten Sie nutzen, Sie können auf jeden Fall folgende Felder neu definieren:
Optionen für Host (Adresse, Name) Anmelden als Benutzer Verbindung trennen, wenn Server abgestürzt ist Echter Hostname, zu dem verbunden werden soll Frage nach einem Passwort, falls benötigt Port, zu dem verbunden werden soll SSH-Verkehr komprimieren? Escape-Zeichen Grad der Kompression Anzahl Versuche eine Verbindung herzustellen Benutze privilegierten Quell-Port? Versuche RSH, falls SSH fehlschlägt? Nur RSH-Verbindungen herstellen? Forward authentication agent? X11-Verbindungen weiterleiten? Host zur known_hosts-Datei hinzufügen? Prüfe IP-Adressen in known_hosts-Datei? SSH-Protokolle Lokale Ports, die an den Server weitergeleitet werden Server Ports, die nach lokal weitergeleitet werden
Using SSH Key Setup In dieser Maske (Abbildung 7.114) können Sie die Einstellungen für neue Unix User im Zusammenhang mit SSH KEYGEN (siehe Kapitel 5) vornehmen. Änderungen annehmen Wie bei jedem Serverdienst, den Sie über Webmin konfigurieren, können Sie auch hier Ihre Änderungen sofort wirksam machen, indem Sie auf den entsprechenden Link klicken (»Apply Changes«).
434
7 Remoteadministration
Abbildung 7.113 Client Host Options
Abbildung 7.114 Using SSH Key Setup
7.1 Webmin
435
SSL Tunnels Bevor wir uns an die Besprechung dieser Maske machen, möchte ich SuSE-Benutzer darauf hinweisen, dass sie höchstwahrscheinlich ihre Modulkonfiguration von /usr/local/sbin/stunnel auf /usr/sbin/stunnel zu ändern haben (falls sie das Paket über den Paketmanager installieren). Wenn Sie diese Seite betreten, erhalten Sie eine Übersicht aller von Ihnen angelegten SSL-Tunnels und können diese dann konfigurieren oder aber auch neue hinzufügen (Abbildung 7.115). Neue Tunnel hinzufügen Nachdem Sie dem Link zum Erstellen neuer SSL-Tunnels gefolgt sind, müssen Sie der darauf folgenden Maske die nun aufgelisteten Optionen übergeben:
Name des Dienstes Ist dieser aktiv oder nicht TCP Port Zieldefinitionen für den Tunnel SSL-Zertifikat und Schlüssellänge TCP Wrappers Tunnelmodus Ausgehende Quelladresse
Samba Windows File Sharing Ich bin mir sicher, dass die meisten Leser das Problem der Windowsintegration in ein Unixnetzwerk kennen werden. Dank Samba hat sich die Lösung dieses Problems in den letzten Jahren zwar stark vereinfacht, aber es ist immer noch eine Menge Arbeit Windows Rechner geschickt in das Netzwerk einzubinden. Um diese Arbeit etwas zu vereinfachen, können Sie die Konfigurationsmasken von Webmin benutzen, welche wir im Folgenden beschreiben werden (siehe Abbildung 7.116). Wie Sie in Abbildung 7.116 sehen können, ist die Startseite in zwei Teile aufgeteilt. Der Teil vor der »globalen Konfiguration« beschäftigt sich mit den vorhandenen Homeverzeichnissen und den verfügbaren Druckern. Sie haben dabei die Möglichkeit folgende Aktionen durchzuführen:
Neue Dateifreigabe erstellen Neue Druckerfreigabe definieren Freigaben kopieren Geöffnete Verbindungen anzeigen lassen
436
7 Remoteadministration
Abbildung 7.115 SSL Tunnels
Abbildung 7.116 Samba Startseite
7.1 Webmin
437
Neue Dateifreigabe erstellen Um eine neue Dateifreigabe zu erstellen, müssen Sie dem dafür vorgesehenen Link folgen und in der danach erscheinenden Maske folgende Optionen definieren:
Freigabename Freigegebenes Verzeichnis Verfügbar? Sichtbar (im Netz)? Freigabekommentar
Neue Druckerfreigabe erstellen Wenn Sie eine neue Druckerfreigabe erstellen, werden Sie merken, dass die dafür zu übergebenden Parameter denen der Dateifreigaben sehr ähneln:
Freigabename Unix-Drucker Spoolverzeichnis Verfügbar? Sichtbar (im Netz)? Freigabekommentar
Freigabe kopieren Oftmals ist es notwendig (oder schlichtweg einfacher), eine bereits vorhandene Freigabe einfach zu kopieren. Beachten Sie dabei aber, dass alle Änderungen, die Sie am Original vornehmen, auch an der Kopie angewandt werden. Um eine Freigabe zu kopieren, müssen Sie lediglich den Namen der zu kopierenden Freigabe und den Namen der dabei neu entstehenden Freigabe spezifizieren. Geöffnete Verbindungen Unter dieser Rubrik können Sie alle angemeldeten Benutzer auflisten lassen. Unix Networking Der erste Menüpunkt der globalen Einstellungen erlaubt es Ihnen, die Einstellungen für Ihr Unixsystem/Netzwerk zu treffen (Abbildung 7.117). Im Folgenden sehen Sie eine kleine Aufstellung der anzugebenden Optionen:
Inaktivität bis zum Verbindungsabbau Datei mit vertrauenswürdigen Rechnern/Benutzern Netzwerkschnittstelle Schnittstelle Netzwerkmaske Keepalive-Pakete Maximale Paketgröße
438
7 Remoteadministration
Verwende Addresse Socket-Optionen
Abbildung 7.117 Unix Networking
Windows Networking Das Gegenstück zur eben kennen gelernten Maske bilden die Einstellungen für Ihr Windowssystem bzw. Netzwerk. Auch hier haben wir einen Screenshot (Abbildung 7.118) und eine Auflistung der Felder für Sie bereitgestellt:
Arbeitsgruppe WINS Modus Serverbeschreibung Servername(n) Standardfreigabe Freigaben, die immer anzeigt werden sollen Maximale Festplattengröße (aus Clientsicht) Winpopup-Befehl Master browser-Priorität Protokolllevel Master Browser
7.1 Webmin
439
Sicherheit Password Server An wen sollen die Browserlisten weitergegeben werden?
Abbildung 7.118 Windows Networking
Authentication Wie so oft stellt Webmin auch hier wieder eine Maske zur Verfügung, in der Sie alle wichtigen Parameter für die Authentifizierung (besonders Passwörter betreffend) spezifizieren können (Abbildung 7.119):
Verschlüsselte Passwörter verwenden? Leere Passwörter erlauben? Programm zum Ändern des Passwortes Soll auf Groß-/Kleinschreibung geachtet werden? Aufforderung zur Passwortänderung Umsetzung der Benutzernamen
Windows to Unix Printing Da in den wenigsten Fällen eine Firma ohne Papier und die dafür nötigen Drucker auskommt, ist diese Maske, in der Sie die Druckereinstellungen regeln können, eine der wichtigsten (Abbildung 7.120).
440
7 Remoteadministration
Abbildung 7.119 Authentication
Abbildung 7.120 Windows to Unix Printing
7.1 Webmin
441
Folgende Werte können in diesem Formular gesetzt werden:
Unix-Druckverfahren Alle Drucker freigeben? Druckerdefinitionsdatei Druckerstatus zwischenspeichern
Miscellaneous Options Die allgemeinen und erweiterten Einstellungen können Sie diesem Formular übergeben (Abbildung 7.121). Die folgende Auflistung zeigt die zu treffenden Optionen:
Debug Level getwd()-Systemaufrufe zwischenspeichern?
Verzeichnis sperren Logdatei Maximale Logdateigröße Direkte Lesezugriffe erlauben? Direkte Schreibzugriffe erlauben? Größe der überlappenden Lesevorgänge chroot()-Verzeichnis
Pfad zu smbrun Zeitversatz (für Clients) in Minuten Vorausschauendes Lesen?
File Share Defaults Wie Sie in Abbildung 7.122 sehen können, können Sie in dieser Maske bestimmte Verzeichnisse freigeben. Dabei können Sie die folgenden Werte setzen:
Freigegebenes Verzeichnis Verfügbar? Sichtbar (im Netz)? Freigabekommentar
442
7 Remoteadministration
Abbildung 7.121 Miscellaneous Options
Abbildung 7.122 File Share Defaults
7.1 Webmin
443
Des Weiteren haben Sie noch die Möglichkeit folgende Untermenüpunkte aufzurufen und Ihre Freigaben dort weiter zu definieren und zu konfigurieren: Sicherheit und Zugriffskontrolle Um die in Abbildung 7.123 und der folgenden Liste gezeigten Zugriffskontrollen zu setzen, können Sie diese Maske benutzen:
Beschreibbar? Gastzugang? Unix-Gastbenutzer Berechtigte Rechner Nicht zugelassene Benutzerauthentifizierung erneut durchführen? Berechtigte Benutzer Berechtigte Gruppen Nicht berechtigte Benutzer Nicht berechtigte Gruppen Mögliche Benutzer Mögliche Gruppen Nur lesende Berechtigung (Benutzer) Nur lesende Berechtigung (Gruppe) Lese-/Schreibberechtigung (Benutzer) Lese-/Schreibberechtigung (Gruppe)
Einstellungen für Dateiberechtigungen Wie Sie sich sicher denken können, sind dieser Maske (Abbildung 7.124) die Verzeichnis- und Dateimodi zu übergeben:
Unix-Dateimodus Unix-Verzeichnismodus Nicht angezeigte Verzeichnisse Verwende Unix-Benutzer Verwende Unix-Gruppe Symbolischen Links folgen? Schreibgeschütze Dateien löschen?
444
7 Remoteadministration
Abbildung 7.123 Sicherheit und Zugriffskontrolle
Abbildung 7.124 Einstellungen für Dateiberechtigungen
7.1 Webmin
445
Dateinamenskonventionen Für die Einstellungen für Ihre Dateinamenskonventionen stehen Ihnen folgende Felder zur Verfügung (Abbildung 7.125):
Groß-/Kleinschreibung umsetzen? Groß-/Kleinschreibung? Standardschreibweise? Groß-/Kleinschreibung beibehalten? Groß-/Kleinschreibung (8.3)? Verstecke Dateien mit führendem Punkt? DOS Archivbit beibehalten? DOS Hiddenbit beibehalten? DOS Systembit beibehalten?
Abbildung 7.125 Dateinamenskonventionen
446
7 Remoteadministration
Erweiterte Einstellungen Alle Einstellungen, die noch zu treffen sind, die aber nicht in die bereits aufgeführten Menüpunkte einzuordnen sind, können hier definiert werden (Abbildung 7.126):
Dateisperren verwenden? Maximale Verbindungen Dateisperrungen simulieren? Freigabemodi verwenden? Unbedingte Dateisperren verwenden? Synchronisieren nach Schreibaktion? Datenträgername Wie Freigabe Unix-DOS Dateinamenumsetzung Ausführen bei Verbindungsaufbau Ausführen bei Verbindungsabbau Ausführen bei Verbindungsaufbau als root Ausführen bei Verbindungsabbau als root
Abbildung 7.126 Erweiterte Einstellungen
7.1 Webmin
447
Printer Share Defaults Auch hier finden Sie ein Pendant zu einem bereits kennen gelernten Link (siehe neue Druckerfreigabe). Neben den gleich gezeigten Feldern können Sie in zwei weiteren Menüpunkten weitere Angaben treffen (Abbildung 7.127):
Unix-Drucker Spoolverzeichnis Verfügbar? Sichtbar (im Netz)? Freigabekommentar
Abbildung 7.127 Printer Share Defaults
Sicherheit und Zugriffskontrolle Folgende Punkte können für die Sicherheitseinstellungen Ihrer Druckerfreigaben getroffen werden (Abbildung 7.128):
Beschreibbar? Gastzugang? Unix-Gastbenutzer Berechtigte Rechner
448
7 Remoteadministration
Nicht zugelassene Rechner Benutzerauthentifizierung erneut durchführen? Berechtigte Benutzer Berechtigte Gruppen Nicht berechtigte Benutzer Nicht berechtigte Gruppen Mögliche Benutzer Mögliche Gruppen Nur lesende Berechtigung (Benutzer) Nur lesende Berechtigung (Gruppe) Lese-/Schreibberechtigung (Benutzer) Lese-/Schreibberechtigung (Gruppe)
Abbildung 7.128 Sicherheit und Zugriffskontrolle
Druckereinstellungen In dieser Maske (Abbildung 7.129) können Sie die Einstellungen rund um Ihren Drucker setzen. Falls Sie sich nicht sicher sind, sollten Sie die Optionen auf »Default« stehen lassen:
7.1 Webmin
449
Minimaler freier Plattenplatz Postscriptdrucken erzwingen Druckbefehl Spoolverzeichnis anzeigen Druckauftrag löschen Druckauftrag anhalten Druckauftrag fortsetzen Druckertreiber
Abbildung 7.129 Druckereinstellungen
SWAT SWAT ist eigentlich kein Webmin-Modul und wird standardmäßig mit SAMBA ausgeliefert. Nichtsdestotrotz hat es dieselben guten Eigenschaften wie die bereits vorgestellten Webmin-Module und ermöglicht es dem Administrator, seine Konfigurationsaufgaben über einen Webbrowser durchzuführen. Nachdem Sie sich über den in Abbildung 7.130 gezeigten SWAT-Login eingeloggt haben, werden Sie automatisch zu SWAT weitergeleitet. Wir werden SWAT an dieser Stelle nicht besprechen, da dies definitiv den Rahmen dieses Buches sprengen würde. Da die Konfigurationspunkte aber alle gut geordnet auf der ers-
450
7 Remoteadministration
ten Seite liegen und eine ausführliche Manpage (swat) vorliegt, sollte die Arbeit damit kein Problem darstellen.
Abbildung 7.130 SWAT-Login
Encrypted Passwords Nachdem Sie nun Ihren Sambaserver »perfekt« konfiguriert haben, steht Ihnen ein letzter Abschnitt der Sambastartseite zur Verfügung um die Sambabenutzer und deren Passwörter zu ändern. Grundsätzlich können Sie folgende Verwaltungen und Konfigurationen erledigen:
Samba-Benutzer und Passwörter konfigurieren, verwalten, bearbeiten Unix-Benutzer zu Samba-Benutzern konvertieren Automatische Unix- und Samba-Benutzer-Synchronisation konfigurieren
Sendmail Configuration Ich denke, jeder, der einmal ein Sendmailsystem aufgesetzt und konfiguriert hat, weiß, wie viel Arbeitsaufwand das darstellt. Mit Webmin bekommen Sie nun die Möglichkeit geboten, die berüchtigte Konfiguration von Sendmail über ein Webmodul zu erledigen, und sparen damit eine Menge Zeit, Arbeit und Nerven.
7.1 Webmin
451
Außerdem wird die Fehleranfälligkeit Ihrer Konfigurationsdateien drastisch gesenkt (Abbildung 7.131).
Abbildung 7.131 Sendmail
Sendmail Options (O) Hier können Sie die verschiedensten globalen Einstellungen für Ihr Sendmailsystem spezifizieren (Abbildung 7.132).
Sende ausgehende Mail durch einen bestimmten Host Leite unqualifizierte Benutzernamen weiter zu einem bestimmten Host Leite Mail für lokale Benutzer weiter zum Host X Auslieferungsmodus SMTP Portoptionen Maximaler Load-Durchschnitt für das Senden Maximaler Load-Durchschnitt für das Empfangen Maximale Anzahl von untergeordneten Prozessen Maximale Anzahl von Verbindungen/Sekunde Minimale Zeit vor dem erneuten Sendeversuch Maximale Warteschlangenlänge
452
7 Remoteadministration
Zeit, bevor aufgegeben wird Zeit, bevor eine Warnung gesendet wird Verzeichnis der Warteschlange An wen sollen Fehlermeldungen geschickt werden? Benutzerweiterleitungsdateien Minimaler freier Speicherplatz Maximale Nachrichtengröße Protokoll-Level MIME-kodierte Bounce-Nachrichten? Accept mail for users real names? Dateisicherheitseinstellungen
Abbildung 7.132 Sendmail Options (O)
Mail Aliases (aliases) Wie Sie aus Abbildung 7.133 erkennen können, bietet Ihnen diese Maske die Möglichkeit neue Aliase anzulegen oder die bereits vorhandenen zu verwalten.
7.1 Webmin
453
Um die Einstellungen eines bereits vorhandenen Mail Aliases zu ändern, klicken Sie einfach auf den entsprechenden Namen. Sie werden dadurch automatisch zu der entsprechenden Seite weitergeleitet.
Abbildung 7.133 Mail Aliases (aliases)
Um einen neuen Alias zu definieren müssen Sie lediglich folgende Angaben machen:
Die Adresse ohne Domainnamen (z.B. max.mustermann) Weiter müssen Sie angeben, ob der Alias aktiviert werden soll Wohin soll der Alias gehen (E-Mail-Adresse, Datei … )
Local Domains (Cw) Falls Sie wollen, dass Ihr Mailserver mehrere Domainnamen verwaltet, müssen Sie diese Domains in der in Abbildung 7.134 gezeigten Maske definieren. Domain Masquerading (CM) Falls Sie wünschen, dass alle E-Mails, egal mit welcher Domainendung, die Ihr System verlassen, als Absenderadresse eine bestimmte Domain zugewiesen bekommen, können Sie dies in der Maske aus Abbildung 7.135 definieren. Beachten Sie dabei aber, dass Sie diese Funktion für einzelne Benutzer im Menüpunkt »Outgoing Addresses« ändern können.
454
7 Remoteadministration
Abbildung 7.134 Local Domains (Cw)
Abbildung 7.135 Domain Masquerading (CM)
7.1 Webmin
455
Trusted Users (T) Um einen Benutzer die Erlaubnis zu erteilen, die Absenderadresse seiner E-Mails zu ändern (From Feld), muss er den Status »Trusted Users« bekommen. Seien Sie mit dieser Funktion äußerst vorsichtig, da damit logischerweise E-Mail-Adressen gefälscht werden können. Diese Option kann für Webdienste (wie zum Beispiel Apache) sehr nützlich und hilfreich sein. Address Mapping (virtuser) Hier können Sie eine Art »besseren Alias« erstellen. Diese Methode hat im Gegensatz zu Mail Aliases folgende Vorteile:
Es können ganze Domains zu einer einzigen Adresse umgeleitet werden Benutzer können mit einem Namen in mehreren Domains behandelt werden E-Mails können von einer Domain zu einer anderen umgeleitet werden
Abbildung 7.136 Address Mapping
Um eine Verknüpfung zu erstellen, müssen Sie folgende Angaben machen:
Mail für Adresse
456
7 Remoteadministration
Domain Senden an: Adresse Domain Fehler werden zu einer bestimmten Adresse geschickt Sie können die dafür zuständige Konfigurationsdatei /etc/mail/virtusertable auch manuell über Webmin konfigurieren.
Domain Routing (mailertable) Hier können Sie verschiedene Auslieferungen für bestimmte Domains, die nicht in der Liste der lokalen Domains aufgeführt sind, definieren (Abbildung 7.136). Dabei stehen folgende Auslieferungsmodi zur Verfügung:
SMTP Erweitertes SMTP 8-bit SMTP dsmtp SMTP-Weiterleitung Procmail UUCP uucp-old suucp uucp-new uucp-dom uucp-uudom bsmtp fido
Neben dem Auslieferungsmodus müssen Sie noch angeben, ob die Mail für Hosts oder für Domains bestimmt ist und an wen sie geschickt werden soll. Outgoing Addresses (generics) Wie wir bereits wissen, können Sie hierbei die Angaben, die Sie global im Menüpunkt »Domain Masquerading (CM)« definiert haben, überschreiben. Das heißt, dass Sie auch hier das »From«-Feld einer ausgehenden E-Mail verändern können. Die hier erstellten »Verknüpfungen« funktionieren aber nicht für Mails, die an lokalen Benutzer ausgeliefert werden sollen. Weiter müssen Sie für jede Domain, die Sie hier verknüpfen wollen, einen Eintrag in der Tabelle für ausgehende Domänen haben (Outgoing Domains). Außerdem muss im DNS-Eintrag für jede Domäne ein MX-Eintrag eingetragen werden, welcher auf Ihr System verweist.
7.1 Webmin
457
Abbildung 7.137 Domain Routing (mailertable)
Sie können die dafür zuständige Konfigurationsdatei /etc/mail/genericstable auch per Hand über ein Webmin-Modul konfigurieren. Um die Verknüpfung zu erstellen, müssen Sie lediglich zwei Felder ausfüllen: 1. Mail von 2. Ändern zu Einen Screenshot zeigt Abbildung 7.138. Outgoing Domains (CG) Hier müssen Sie für jede Domain, die Sie unter dem Menüpunkt »Outgoing Addresses« verknüpfen wollen, einen Eintrag definieren. Das heißt, dass die Domain des »From«-Feldes in dem in Abbildung 7.139 gezeigten Screenshot aufgelistet sein muss. Domain Mapping (domaintable) Falls Ihre Sendmailkonfiguration über die nötige Direktive für Domänenverknüpfung verfügt, können Sie diese Verknüpfungen mit diesem Formular realisieren.
458
7 Remoteadministration
Abbildung 7.138 Outgoing Addresses (generics)
Abbildung 7.139 Outgoing Domains
7.1 Webmin
459
Spam Control (access) Mit diesem Formular können Sie so genannte Anti-Spam-Regeln definieren, die verhindern, dass Sie Mails von bestimmten Absendern bekommen. Sie sollten dieses Feature auf jeden Fall nützen, da dies eine Menge Traffic erspart und die Einschleusung von Viren und Trojanern stark einschränken kann (Abbildung 7.140).
Abbildung 7.140 Spam Control (access)
Um solche Anti-Spam-Regeln einzurichten müssen Sie folgende Angaben an das Formular übergeben:
Quelle der Mail (Domain, Benutzer, Netzwerk … ) Aktion (abweisen, weiterleiten, leise löschen, akzeptiere … )
Relay Domains (CR) In der in Abbildung 7.141 gezeigten Seite können Sie bestimmte Domains angeben, die weitergeleitet werden dürfen. Achten Sie aber darauf, dass dieses Feature nicht mit den Spamregeln kollidiert. Mail Queue (mailq) Hier finden Sie die Nachrichten, die noch nicht ausgeliefert wurden und sich somit in der Warteschlange befinden.
460
7 Remoteadministration
Abbildung 7.141 Relay Domains (CR)
User Mailboxes Unter diesem Menüpunkt befindet sich eine Seite, die alle vorhandenen Mailboxen inklusive Größenanzeige auflistet. Von dort aus haben Sie eine gute Übersicht über die einzelnen Mailboxen und können diese konfigurieren und einsehen. Weiter ist es sogar möglich, vorhandene Mails weiterzuleiten oder neue Nachrichten zu erstellen (Abbildung 7.142). Squid Proxy Server Der Squid Proxy ist wohl der bekannteste Proxyserver, den man in der Linuxwelt so finden kann. Daher verwundert es kaum, dass Sie auch hier die Möglichkeit haben, diesen Dienst bequem über ein Webmin-Modul zu konfigurieren. Wenn Sie Ihren Squid Server noch nicht initialisiert haben (vermeiden Sie eine Initialisierung durch den Superuser), können Sie dies über die Startseite (Abbildung 7.143) tun. Nachdem dies erledigt ist, stehen Ihnen für die Konfiguration elf verschiedene Menüpunkte zur Verfügung, die wir alle im Laufe dieses Abschnittes besprechen werden.
7.1 Webmin
461
Abbildung 7.142 User Mailboxes
Abbildung 7.143 Squid
462
7 Remoteadministration
Ports and Networking In diesem Formular (Abbildung 7.144) können Sie Ihre Netzwerkeinstellungen und verfügbaren Anschlüsse mit den folgenden Feldern konfigurieren:
Proxy-Adressen und -Anschlüsse ICP-Anschluss Ausgehende TCP-Adresse Ausgehende UDP-Adresse Eingehende UDP-Adresse Multicast-Gruppen TCP-Empfangspuffer
Abbildung 7.144 Ports and Networking
Other Caches Diese Maske (Abbildung 7.145) ermöglicht Ihnen folgende Features: 1. Caches hinzufügen 2. Cache-Auswahleinstellungen definieren 3. ACLs für Direktabholungen definieren
7.1 Webmin
463
4. ACLs für indirekte Abholung definieren 5. Wenn Sie einen neuen Cachehost hinzufügen wollen, müssen Sie – nachdem Sie dem entsprechenden Link gefolgt sind – folgende Parameter definieren:
Host-Name Typ Proxy-Anschluss ICP-Anschluss Nur Proxy? Sende ICP-Anfragen? Standard-Cache? Round-Robin-Cache? ICP-Time-To-Live Cache-Gewichtung Nur nächsten? Keine Auswahl? Kein NetDB-Austausch? Keine Verzögerung? Anmeldung (User und Pass) auf Proxy Multicast-Responder? Frage bei Host an für Domänen Frage nicht an für Domänen
Die Felder, die Sie ausfüllen müssen, um die Auswahlsequenzen zu definieren, finden Sie in der angefügten Liste (ACLs werden im Anschluss besprochen):
Hole URLs direkt, die bestimmte Zeichen enthalten ICP-Anfrage-Timeout (in ms) Multicase-ICP-Timeout (in ms) Timeout für abgebrochenen Kontakt (in sec)
Um ACLs für Direktabholung hinzuzufügen, müssen Sie einige Felder spezifizieren:
Aktion Übereinstimmende ACLs Nicht übereinstimmende ACLs
Das Gegenstück hierzu (indirekte Abholung) verlangt dieselben Eingaben.
464
7 Remoteadministration
Abbildung 7.145 Other Caches
Memory Usage Wenn Ihr Proxy viele Zugriffe zu regeln hat und er mit viel Traffic umgehen muss, sollten Sie unbedingt die Speichernutzung regeln, da es ansonsten durchaus passieren kann, dass die Performance Ihres Systems spürbar sinkt. Um dies zu verhindern können Sie die folgenden Parameter setzen (Abbildung 7.146):
Speichernutzungsgrenzwert FQDN-Cache-Größe Oberer Schwellenwert für Speicher Unterer Schwellenwert für Speicher Oberer Schwellenwert für Festplatte Unterer Schwellenwert für Festplatte Maximale Größe zwischengespeicherter Objekte IP-Adressen-Cache-Größe Oberer Schwellenwert für IP-Cache Unterer Schwellenwert für IP-Cache
7.1 Webmin
465
Abbildung 7.146 Memory Usage
Logging Um die allgemeinen Einstellungen für die Protokollierung und die dazu verwendeten Dateien weg vom Standard zu definieren können Sie die Optionen in der angeschlossenen Liste benutzen (Abbildung 7.147):
Zugriffsprotokolldatei Debug-Protokolldatei Speicherprotokolldatei Cache-Metadata-Datei Benutze HTTPD-Protokollformat? MIME-Header protokollieren? Benutzeragent-Protokolldatei PID-Date Führe RFC931-Ident-Lookups für ACLs aus RFC931-Ident-Timeout Vollen Host-Namen protokollieren? Protokollierung der Netzmaske
466
7 Remoteadministration
Debug-Einstellungen MIME-Header-Tabelle
Abbildung 7.147 Logging
Cache Options Hier können Sie Einstellungen für alle Anfragen und den Cache an sich durch folgende Parameter treffen:
Cache-Verzeichnisse Durchschnittliche Objektgröße Objekte pro Verzeichnis URLs für bestimmte ACLs nicht zwischenspeichern Maximale Cache-Zeit Maximale Anfragedateigröße Maximale Anfrage-Header-Größe Maximale Antwortdateigröße Verweildauer von Fehlerantworten im Cache DNS-Lookup-Cache-Dauer Fehlgeschlagene DNS-Lookup-Cache-Dauer
7.1 Webmin
467
Verbindungs-Timeout Lese-Timeout Seitenauswahl-Timeout Client-Anfrage-Timeout Maximale Verbindungszeit für Clients Maximale Shutdown-Zeit Halb-geschlossene Clients? Ständiger Timeout WAIS-Relay-Host
Helper Programs Um die vorhandenen Squid-Hilfsprogramme oder neue Hilfsprogramme und deren Einstellungen zu definieren, müssen Sie dieses Formular aufrufen, in dem Sie folgende Felder füllen können (Abbildung 7.148):
Anon. FTP-Anmeldung FTP-Spaltenbreite Squid DNS-Programm Anzahl von DNS-Programmen Hänge Domäne an Anfragen an Von wo werden DNS-Server-Adressen bezogen? Cache-Reinigungsprogramm Squid-Ping-Programm Eigenes Weiterleitungsprogramm Anzahl von Weiterleitungsprogrammen Eigenes Authentifizierungsprogramm Anzahl von Authentifizierungsprogrammen
Access Control Wie Sie sicherlich schon bemerkt haben, konnten Sie in den bereits vorgestellten Masken bestimmte Aktionen für bestimmte ACLs definieren. In dieser Maske (Abbildung 7.149) finden Sie alle bereits vordefinierten Zugriffslisten, welche Sie natürlich nach Ihren Bedürfnissen verändern können (oder neue hinzufügen). Dabei können Sie diese drei Regelarten definieren oder verwalten: 1. Zugriffskontrolllisten (ACLs) 2. Proxy-Beschränkungen 3. ICP-Beschränkungen
468
7 Remoteadministration
Abbildung 7.148 Helper Programs
Abbildung 7.149 Access Control
7.1 Webmin
469
Miscellaneous Options Alle Einstellungen, für die kein eigener Menüpunkt entworfen wurde und die nicht in einen bereits vorhandenen Punkt eingefügt werden können, können Sie an dieser Stelle konfigurieren (Abbildung 7.150). Wie zum Beispiel:
Startup-DNS-Testadressen SIGUSR1-Protokolldateirotationen Standarddomäne Fehlermeldungstext Statistiken pro Client? X-Forwarded-For Header? ICP-Anfragen protokollieren? Minimale direkte Hops Reserviere Speicher für zukünftige Nutzung? Größe des zu reservierenden Speichers? Header, die durchgehen Falscher Benutzeragent HTTP-Accel-Host HTTP-Accel-Anschluss HTTP-Accel mit Proxy Soll HTTP-Accel Host-Header benutzen?
Administrative Options Dieses Formular übernimmt die Administration Ihres Proxys. Das heißt, Sie können durch die hier verfassten Einstellungen Ihren Proxyserver konfigurieren (Abbildung 7.151). Folgende Parameter können gesetzt werden:
Unix-Benutzer Unix-Gruppe Proxy-Authentifizierungs-Umgebung Cache-Manager-E-Mail-Adresse Angezeigter Host-Name Eindeutiger Host-Name Cache-Bekanntmachungs-Host Cache-Bekanntmachungs-Anschluss Cache-Bekanntmachungs-Datei Bekanntmachungs-Intervall
470
7 Remoteadministration
Abbildung 7.150 Miscellaneous Options
Abbildung 7.151 Administrative Options
7.1 Webmin
471
Clear and Rebuild Cache Um den Cache zu leeren und neu aufzubauen, müssen Sie den dafür vorgesehenen Button in dieser Maske (Abbildung 7.152) drücken.
Abbildung 7.152 Clear Cache
WU-FTP-Server Der letzte FTP-Server, den wir in unserer Webminreihe besprechen, ist der WUFTP-Server. Ob und wie Sie ihn auf Grund des aktuellen Sicherheitsrisikos einsetzen, bleibt Ihnen überlassen. Falls Sie sich aber nicht ganz sicher sind, sollten Sie jedoch einen anderen FTP-Server vorziehen. Dieses Webmin-Modul bietet Ihnen die Möglichkeit Ihren FTP-Server durch neun verschiedene Menüpunkte zu konfigurieren. Dabei wird (fast) das komplette Konfigurationsspektrum abgedeckt, das heißt, dass normalerweise die volle Konfiguration über das Netz vorgenommen werden kann. Abbildung 7.153 zeigt die Startseite der WU-FTP-Serverkonfiguration.
472
7 Remoteadministration
Abbildung 7.153 WU-FTP-Server
Users and Classes In dieser Maske (Abbildung 7.154) können Sie bestimmte Benutzerklassen definieren und die Standardeinstellungen zu den FTP-Benutzern abändern. Folgende Werte können gesetzt werden:
Unix-Benutzer und UIDs, die als Gäste behandelt werden sollen Unix-Gruppen und GIDs, die als Gäste behandelt werden sollen Unix-Benutzer und UIDs, die nicht als Gäste behandelt werden sollen Unix-Gruppen und GIDs, die nicht als Gäste behandelt werden sollen Unix-Benutzer, denen der Zugriff verweigert werden soll (von /etc/ftpusers) Unix-Benutzer und UIDs, denen der Zugriff verweigert werden soll Unix-Gruppen und GIDs, denen der Zugriff verweigert werden soll Unix-Benutzer und UIDs, denen der Zugriff nicht verweigert werden soll Unix-Gruppen und GIDs, denen der Zugriff nicht verweigert werden soll
Messages and Banners Manchmal kann es durchaus sinnvoll sein, die FTP-Meldungen, Banner und ReadMe-Dateien abzuändern, so dass diese entweder der Sicherheitspolicy entsprechen oder auf Ihr System zugeschnitten sind.
7.1 Webmin
473
Abbildung 7.154 Users and Classes
Diese Maske ermöglicht Ihnen dies zum Beispiel durch das Setzen bestimmten Grußlevel, Banner vor der Anmeldung, Hostnamen für Meldungen und so weiter (Abbildung 7.155). Außerdem können Sie hier die E-Mail-Adresse des FTP-Besitzers abändern. Limits and Access Control In diesem Formular (Abbildung 7.156) können Sie folgende Grenzwerte definieren:
Zugriffsverweigerung von bestimmten Adressen Grenzwerte gleichzeitiger Benutzer Datei- und Transfergrenzwerte Dateizugriffsverweigerung Zugriff auf zugriffsverweigerte Dateien Grenzwerte für anonyme Sitzungen Maximale Anzahl von fehlgeschlagenen Anmeldeversuchen
474
7 Remoteadministration
Abbildung 7.155 Messages and Banners
Abbildung 7.156 Limits and Access Control
7.1 Webmin
475
Networking Hier können Sie diese drei Netzwerkgrundeinstellungen definieren (Abbildung 7.157):
TCP-Fenstergrößen Adressen für PASV-Verbindungen Anschlüsse für PASV-Verbindungen
Abbildung 7.157 Networking
Logging Sie können diesem Formular die (wenigen) Protokollierungsparameter für Ihren WU-FTP-Server übergeben (Abbildung 7.158):
Für bestimmte User alle Befehle protokollieren Für bestimmte User alle Transfers protokollieren Wohin sollen Transfers protokolliert werden? Für bestimmte User Sicherheitsverletzungen protokollieren
476
7 Remoteadministration
Abbildung 7.158 Logging
Aliases and Paths Hier können Sie bestimmte Aliase anlegen, welche wiederum auf bestimmte Verzeichnisse »zeigen«. Außerdem können Sie den Verzeichnissuchpfad definieren (Abbildung 7.159). Anonymous FTP Wenn Sie einen anonymen FTP-Zugang erlauben wollen, können Sie hier die folgenden Werte definieren, um diesen Zugang zu konfigurieren (Abbildung 7.160):
Root-Verzeichnis für anonymes FTP Gast-Root-Verzeichnis Unix-Gruppen für anonyme Benutzer W Kennwortüberprüfung für anonymes FTP Kennwörter für anonymes FTP, die verweigert werden sollen
Permissions In diesen Einstellungen (Abbildung 7.161) können Sie bezüglich Zugriffsrechten bestimmte Befehle einschränken oder sperren. Des Weiteren ist es möglich, den Upload bestimmter Dateinamen zu unterbinden (z.B. /etc/shadow).
7.1 Webmin
477
Abbildung 7.159 Aliases and Paths
Abbildung 7.160 Anonymous FTP
478
7 Remoteadministration
Abbildung 7.161 Permissions
Miscellaneous Options Auch hier sind die Parameter, die in keine Rubrik eingeordnet werden konnten, in einem eingenen Unterpunkt zusammengefasst (Abbildung 7.162):
Langer Listing-Befehl Kurzer Listing-Befehl Normaler Listing-Befehl Shutdown-Benachrichtigungsdatei Serviceprozess-Nicelevel Standard-Umask für hochgeladene Dateien
7.1 Webmin
479
Abbildung 7.162 Miscellaneous Options
7.1.6
Hardware
Neben Ihrer Software ist es auch möglich, die wichtigsten Hardwarebestandteile Ihres Rechners mit Webmin zu konfigurieren. Wir werden im Folgenden kurz auf die einzelnen Menüpunkte eingehen, so dass Sie keine Probleme bei der Umsetzung haben sollten. CD Burner Wie Sie in Abbildung 7.163 erkennen können, können Sie in dieser Maske neue Brennprofile anlegen oder die bereits vorhandenen konfigurieren. Linux Bootup Configuration Hier können Sie vorhandene Bootkonfigurationen (Kernel mit oder ohne bestimmten Optionen) einsehen und konfigurieren. Sie können auch neue Bootsequenzen hinzufügen (Abbildung 7.164).
480
7 Remoteadministration
Abbildung 7.163 CD Burner
Abbildung 7.164 Linux Bootup Configuration
7.1 Webmin
481
Dabei müssen folgende Werte übergeben und gegebenenfalls gesetzt werden:
Name Zu bootender Kernel Kernel-Parameter Root-Gerät Anfängliche RAM-Disk-Datei Root-Mount-Modus VGA-Textmodus Benutzer-Kernel-Optionen merken? Sollen Kernel, die nicht existieren, übersprungen werden? Boot-Kennwort Kennwort benötigt für...
Wenn Sie jedoch eine neue Bootpartition erstellen wollen, sind folgende Angaben zu treffen:
Name Zu bootende Partition Übergebe die Partitionstabelle an das Betriebsystem Boot-Kennwort
Linux RAID Um neue RAID-Geräte hinzuzufügen oder die bereits vorhandenen zu konfigurieren, können Sie diese Maske benutzen (Abbildung 7.165). Es stehen Ihnen folgende RAID Level zur Verfügung:
Zusammengefügt (Linear) Striped (RAID0) Gespiegelt (RAID1) Parität (RAID4) Redundant (RAID5)
Network Configuration Die Konfiguration Ihres Netzwerks ist in vier Teile aufgesplittet (Abbildung 7.166). Der erste Teil »Netzwerkschnittstellen« (Abbildung 7.167) befasst sich mit den folgenden Punkten:
zurzeit aktive Schnittstellen beim Booten geladene Schnittstellen Hinzufügen neuer Schnittstellen
482
7 Remoteadministration
Abbildung 7.165 Linux RAID
Abbildung 7.166 Networking Configuration
7.1 Webmin
483
Abbildung 7.167 Netzwerkschnittstellen
Die zweite Registerkarte (Abbildung 7.168) beschäftigt sich mit den Routingeinstellungen, die zur Bootzeit aktiviert werden, und erlaubt es Ihnen, die folgenden Konfigurationen vorzunehmen:
Soll als Router gearbeitet werden? Was ist der Standardrouter? Was sind die lokalen Routen? Was sind die statischen Routen?
Um Ihren DNS Client zu konfigurieren, müssen Sie die dritte Registerkarte (Abbildung 7.169) aufrufen, welche die folgenden Felder für die Konfiguration Ihrer DNS Client-Optionen bereitstellt:
Hostname DNS Server Auflösungsreihenfolge Suchdomänen
484
7 Remoteadministration
Abbildung 7.168 Routing und Gateways
Abbildung 7.169 DNS Client
7.1 Webmin
485
Der letzte Menüpunkt befasst sich mit den vorhandenen IP-Adressen und den dazugehörigen Hostnamen. Sie können an dieser Stelle neue Hosts hinzufügen und ihnen eine IP-Adresse zuweisen (Sie können einer IP-Adresse dabei auch mehrere Hostnamen zuteilen). Die Einstellungen in dieser Maske werden aus der Konfigurationsdatei /etc/hosts entnommen und hinzugefügt. Dieses Formular ist in Abbildung 7.170 zu sehen.
Abbildung 7.170 Hostnamen
Partitions on Local Disks Wenn Sie diesen Menüpunkt aufrufen, bedient sich Webmin des Programms fdisk und stellt Ihnen somit einen mächtigen, webfähigen Festplattenmanager zur Verfügung, der Ihnen Informationen über Ihre Festplatten, die genutzten Partitionen und den Speicherplatz auf den einzelnen Partitionen liefert. Des Weiteren ist es möglich, sowohl primäre als auch erweiterte Partitionen hinzuzufügen (Abbildung 7.171).
486
7 Remoteadministration
Abbildung 7.171 Partitionsmanager
Printer Administration Die von Webmin zur Verfügung gestellte Druckerverwaltung (Abbildung 7.172) zeigt Ihnen beim Aufruf alle installierten Drucker auf und gibt Ihnen die Möglichkeit diese Drucker zu konfigurieren oder neue hinzuzufügen. Drucker hinzufügen Wenn Sie sich dazu entschieden haben, einen neuen Drucker hinzuzufügen, müssen Sie folgende Informationen spezifizieren, um den Drucker einrichten zu können:
Name Akzeptiert Anfragen? Beschreibung Drucken aktiviert? Drucke Banner? Maximale Größe eines Druckauftrags Alternative Druckernamen Schnittstelle (seriell, USB etc.) Lokale Datei
7.1 Webmin
487
Entfernter-Unix-Server und dazugehöriger Drucker Entfernter-Windows-Server und dazugehöriger Drucker Benutzer Kennwort Arbeitsgruppe für die Windowsumgebung Test, ob entfernter Server aktiv ist? Soll ein Druckertreiber verwendet werden (nicht notwendig bei Text- und PostScript-Druckern) APSfilter-Treiber Druckertyp Auflösung in DPI Papiergröße Handelt es sich um einen Farbdrucker? Filtermethode?
Außerdem können Sie die Warteschlange beenden.
Abbildung 7.172 Printer Administration
488
7 Remoteadministration
System Time Wenn Sie die Systemzeit oder die Hardwarezeit ändern wollen, können Sie das in dieser Maske machen. Außerdem können Sie hier einen eigenen Zeitserver definieren und die Zeit mit diesem Server synchronisieren (Abbildung 7.173).
Abbildung 7.173 System Time
7.1.7
Cluster
Wenn Sie diese Seite das erste Mal aufrufen, werden Sie darauf aufmerksam gemacht, dass noch kein Webmin-Server für das Softwaremanagement registriert wurde, und Sie müssen einen Server dafür bereitstellen (Abbildung 7.174). Danach wird dieser Server mit allen Paketen, die bereits installiert sind, hinzugefügt. Alle weiteren Aufrufe dieser Seite bringen nun eine andere Maske, welche Ihnen die »Managed Server« Liste zeigt, Ihnen die Möglichkeit gibt nach bestimmten Paketen zu suchen und diese zu konfigurieren oder sogar neue Pakete hinzuzufügen. Siehe Abbildung 7.175.
7.1 Webmin
489
Abbildung 7.174 Cluster Software Packages (1. Aufruf)
Cluster Users and Groups Auch hier spielt sich dasselbe Szenario wie bei den Softwarepaketen ab. Sie müssen zuerst einen Server für das Usermanagement registrieren, bevor Sie mit der Arbeit beginnen können. Nachdem Sie einen Server registriert haben, können Sie ab sofort über diese Maske Ihre Cluster User und Gruppen verwalten. Folgende Funktionen stehen Ihnen dabei zur Verfügung:
User mit bestimmten Merkmalen finden Gruppen mit bestimmten Merkmalen finden User und Gruppen hinzufügen Synchronisation
Heartbeat-Monitor Da kein Linuxhochverfügbarkeitssystem ohne einen Heartbeat-Monitor laufen sollte, ist dieses Webmin-Modul sehr wichtig und sollte dementsprechend auch genutzt werden (Abbildung 7.177).
490
7 Remoteadministration
Abbildung 7.175 Cluster Software Packages (weitere Aufrufe)
Dieses Formular ist in drei Unterpunkte unterteilt, die wir im Folgenden kurz ansprechen werden. Configuration Options Hier können Sie die folgenden Konfigurationsoptionen für Ihr Heartbeat-System definieren (Abbildung 7.178):
Serieller Port Baudrate für den seriellen Port Ethernetdevice Zeitintervalle zwischen den einzelnen Heartbeats Watchdogdevicedatei Hosts im Cluster Logdatei Syslog Logging Facility UDP Heartbeatport Zeit, bis ein Knoten als »tot« betrachtet wird
7.1 Webmin
491
Abbildung 7.176 Cluster Users and Groups
Abbildung 7.177 Heartbeat-Monitor
492
7 Remoteadministration
Abbildung 7.178 Configuration Options
Cluster Resources Wenn Sie noch keine Clusterressourcen für Ihr System definiert haben, können Sie das an dieser Stelle machen (Abbildung 7.179). Dabei müssen Sie folgende Werte übergeben:
Primärer Knoten (Rechner) für die Ressource IP Adressen dafür Dienste dafür
Authentication Keys Hier können Sie den Authentifizierungsmodus für die Knoten spezifizieren (Abbildung 7.180). Sie haben dabei die Auswahl aus folgenden Algorithmen:
CRC SHA1 MD5
7.1.8
Others
Die letzte Registerkarte, die Ihnen unter Webmin zur Verfügung steht, behandelt die zum Großteil »Befehlsoperationen«, die es Ihnen ermöglichen, Ihre Befehle
7.1 Webmin
493
Abbildung 7.179 Cluster Ressourcen hinzufügen
Abbildung 7.180 Authentication Keys
494
7 Remoteadministration
wie gewohnt anstatt über die Konsole über Webmin an Ihr Betriebssystem zu übergeben (Abbildung 7.181).
Abbildung 7.181 Others Startbildschirm
Command Shell Um einen Befehl an die Konsole weiterzuleiten, können Sie diesen Menüpunkt benutzen, der es Ihnen erlaubt, jeden Unixbefehl über Webmin zu realisieren (Falls Sie dieses Feature nützen wollen, sollten Sie unbedingt SSL aktivieren.). Einen Screenshot zeigt Abbildung 7.182. Wie Sie im folgenden Listing erkennen können, sind auch die Ausgaben von Webmin äquivalent zur Shell: > ps ax | egrep webmin 981 ? S 0:03 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1389 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1584 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf
7.1 Webmin
495
1585 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1589 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1594 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1595 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1596 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1597 ? S 0:00 /usr/bin/perl /usr/libexec/webmin/ miniserv.pl /etc/webmin/miniserv.conf 1601 ?
S
0:03 /usr/libexec/webmin/shell/index.cgi
1604 ?
S
0:00 sh -c (ps ax | egrep webmin) 2>&1
1605 ?
S
0:00 sh -c (ps ax | egrep webmin) 2>&1
1607 ?
S
0:00 egrep webmin
Abbildung 7.182 Command Shell
496
7 Remoteadministration
Custom Commands Sie haben hier die Möglichkeit, benutzerdefinierte Befehle oder Dateieditoren anzulegen oder zu verwalten. Dies kann bei langen Befehlsketten (zum Beispiel bei einem Backup über die Konsole mit cpio etc.) sehr hilfreich sein, da Sie diesen Befehl dann durch einen einfach »Klick« übergeben können. Befehl hinzufügen oder editieren Wenn Sie einen neuen Befehl hinzufügen oder verwalten wollen, müssen Sie folgende Felder ausfüllen (Abbildung 7.183):
Beschreibung des Befehls (Der Inhalt dieses Feldes wird gleichzeitig der Titel des Buttons, über den Sie den Befehl aufrufen werden.) Befehl User, unter dem der Befehl ausgeführt werden soll (Webmin bedient sich dazu des in Kapitel 6 besprochenen Tools »sudo«). Soll die Ausgabe in das HTML-Format umgewandelt werden? Wann soll der Befehl erscheinen (Anordnung)? Parameter Parametertyp
Abbildung 7.183 Custom Commands
7.1 Webmin
497
Dateieditor hinzufügen oder editieren Falls Sie des Öfteren Änderungen an bestimmten Dateien vorzunehmen haben, können Sie dies ebenfalls über Webmin beschleunigen. Sie haben hier die Möglichkeit einen Button anzulegen, der bei Aufruf die entsprechend vorher definierte Datei in den Editor lädt, wo Sie ihn bequem bearbeiten können. Um einen solchen »Schnellzugriff auf Dateien« zu realisieren, müssen Sie folgende Felder ausfüllen:
Beschreibung (Der Inhalt dieses Feldes wird gleichzeitig der Titel des Buttons über den Sie den Befehl aufrufen werden.) Datei, die bearbeitet werden soll Eigentümer Zugriffsrechte Befehl, der vor dem Speichern ausgeführt werden soll (optional) Befehl, der nach dem Speichern ausgeführt werden soll (optional) Anordnung
File Manager Hinter diesem Menüpunkt verbirgt sich ein mächtiges Java-Applet, das als eine Art Mischung zwischen Dateibrowser, Uploadmanager und Editor fungiert (Abbildung 7.184). Sie können mit diesem Filemanager durch Ihr gesamtes Dateisystem browsen, bestimmte Dateien uploaden oder verändern, nach Dateien suchen, Dateien löschen oder umbenennen und noch vieles mehr. Perl Modules Wenn Sie ein neues Perl-Modul installieren und kompilieren wollen, können Sie dies hier unter Angabe der Quelle machen (Abbildung 7.185). Es sind u.a. folgenden Quellen möglich:
CPAN Lokale Datei Heraufgeladene Datei FTP Adresse HTTP Adresse
SSH/Telnet Login Wenn Sie eine Telnet- oder SSH-Sitzung über Ihren Browser aufbauen wollen (falls Sie zum Beispiel an einem Thin-Client sitzen und nur Webzugriff initialisieren können), können Sie das mit diesem Formular erledigen (Abbildung 7.186).
498
7 Remoteadministration
Abbildung 7.184 File Manager
Abbildung 7.185 Perl Modules
7.1 Webmin
499
Beachten Sie dabei aber bitte, dass Telnetsitzungen nicht verschlüsselt werden und somit nicht sicher sind. Benutzen Sie ausschließlich SSH, um über ein unsicheres Netzwerk (wie das Internet) mit Ihrem Server zu kommunizieren.
Abbildung 7.186 SSH/Telnet Login
System and Server Status Wenn Sie den Status Ihres Systems oder der einzelnen Dienste darauf bequem und einfach über das Web überprüfen, wollen, können Sie das mit diesem Formular erreichen. Wie Sie in Abbildung 7.187 sehen können, haben Sie die Möglichkeit bestimmte Dienste bei der Überwachung ein- bzw. auszuschließen. Außerdem können Sie eine zeitgesteuerte Überwachung einrichten. Dienst in die Überwachung aufnehmen Um einen neuen Dienst in die Überwachung mit aufzunehmen müssen Sie folgende Felder ausfüllen:
Beschreibung (meistens schon vorgegeben durch das Pulldownmenü, welches Ihnen die verschiedenen zu überwachenden Dienste vorgibt) Rechner, auf dem der Dienst gestartet wird Programm, das gestartet werden soll, wenn der Prozess beendet wird Programm, das gestartet werden soll, wenn der Prozess gestartet wird Dienstabhängige Angaben
500
7 Remoteadministration
Abbildung 7.187 System and Server Status
Zeitgesteuerte Überwachung einrichten Um zeitgesteuerte Überwachung einzurichten, müssen Sie folgende Angaben spezifizieren:
Soll die zeitgesteuerte Überwachung aktiviert werden? In welchen Intervallen soll überprüft werden? Wann (unter welchen Voraussetzungen) soll eine E-Mail versendet werden? An wen soll der Statusbericht gemailt werden? Absenderadresse der E-Mail Soll der Statusbericht auch einen Pager gehen, wenn ja, an welche Nummer? Soll pro Dienst eine E-Mail verschickt werden?
7.1.9
Fazit
Wie Sie sehen, können Sie mit Webmin Ihr komplettes System bequem und weniger fehleranfällig konfigurieren, ohne dabei Abstriche bei der Sicherheit machen zu müssen. Auch die Konfiguration mehrerer oder sogar verteilter Systeme ist für dieses Programm kein Hindernis, sondern eher ein Feature. Ich könnte jetzt seitenweise über die Vorteile von Webmin sprechen, aber ich denke, Sie werden selbst darauf kommen und für sich persönlich die richtige Entscheidung treffen.
Stichwortverzeichnis Symbols ! 303 && 213 --allow-non-selfsigned-uid 259 --always-trust 254 --armor 253 --batch 254 --charset 255 --check-sigs 248 --cipher-algo 257 --clearsign 247 --comment 256 --completes-needed 257 --compress-algo 258 --debug 256 --decrypt 248 --default-comment 256 --default-key 253 --default-recipient 253 --default-recipient-self 253 --delete-key 251 --delete-secret-and-public-key 251 --delete-secret-key 251 --detach-sign 247 --digest-algo 257 --disable-cipher-algo 258 --disable-pubkey-algo 258 --dry-run 254 --edit-key 248 --emit-version 256 --encrypt 247 --encrypt-to 253 --escape-from-lines 258 --export 251, 252 --export-all 251 --export-secret-keys 251 --export-secret-subkeys 251 --fast-import 252 --fast-list-mode 260 --fingerprint 248 --force-mdc 259 --force-v3-sigs 259 --gen-key 248 --gen-prime 252 --gen-random 252 --gen-revoke 251 --help 252 --homedir 255
--honor-http-proxy 254 --ignore-time-conflict 259 --import 251 --import-ownertrust 252 --interactive 254 --keyring 255 --keyserver 254 --list-keys 248 --list-only 260 --list-packets 248 --list-public-keys 248 --list-secret-keys 248 --list-sigs 248 --load-extension 256 --local-user 253 --lock-multiple 259 --lock-never 259 --lock-once 259 --logger-fd 256 --lsign-key 250 --marginals-needed 257 --max-cert-depth 257 --no 254 --no-armor 260 --no-auto-key-retrieve 254 --no-batch 254 --no-comment 256 --no-default-keyring 260 --no-default-recipient 253 --no-encrypt-to 253 --no-greeting 259 --no-options 255 --no-random-seed-file 259 --no-secmem-warning 259 --no-tty 254 --no-utf8-strings 255 --no-verbose 259 --no-version 256 --not-dash-escaped 258 --notation-data 256 --openpgp 259 --optionsfile 255 --output 253 --passphrase-fd 258 --print-md 252 --quiet 253 --recipient 253 --recv-keys 252
502
--rfc1991 258 --s2k-cipher-algo 257 --s2k-digest-algo 257 --s2k-mode 257 --secret-keyring 255 --send-keys 251 --sign 247 --sign-key 250 --skip-verify 260 --status-fd 256 --store 248 --symmetric 247 --textmode 254 --throw-keyid 258 --trusted-key 251 --use-embedded-filename 257 --utf8-strings 255 --verbose 253 --verify 248 --verify-files 248 --version 252 --warranty 252 --with-colons 260 --with-fingerprint 260 --with-key-data 260 --yes 254 @@define 213, 224 @@else 213 @@endif 213 @@ifdef Variable 213 @@ifhost hostname 213 @@ifndef Variable 213 @@ifnhost hostname 213 @@include 213 @@undef 213 || 213 Numerics 13. Oketett 141 A Academic-Source-Release 205 Access timestamp 209 Ack 21, 25 ACK-Scan 152 ACL 462, 467 Actions Log 329 Activity mode 80 Add User 118 addkey 242 adduid 242
Stichwortverzeichnis
AFS 146, 288 AFSTokenPassing 266, 286 Alarmsystem 158 Alert_fast 38 Alert_full 38 Alert_smb 39 Alert_syslog 37 Alert_unisock 39 Algorithmus 210, 231 AllowGroups 266 AllowTcpForwarding 266 AllowUsers 266 Alternative Datenbank 223 Alternative Konfigurationsdatei 224 always_set_home 312 Anzeigefilter 70 Apache Webserver 368 Appletalk 146 APSfilter 487 Archivbit 445 ask 290 ASR 205, 211 Attack-Signature-Scanner 205 Ausführungsmodi 209 Auswahlmasken 212, 216 authenticate 312 Authentication 339 Authentifizierungsoptionen 339 Authentifizierungspaar 260 B badpass_message 315 Banner 266 BatchMode 286 Befehl ausführen 358 Benutzbarkeit 149 Benutzerzugriff regeln 360 Beweissicherung 206 Binär zu dezimal 141 Binärwerte 141 Bind 387, 390 BOOTP 401, 402, 403 Bootpartition 481 Bootup 351 Bootup Configuration 479 Brute-Force 339 Bufferoverflow 188 Byte count 59
Stichwortverzeichnis
C C-Shell 127 CA 344 CAP_CHOWN 11 CAP_DAC_READ_SEARCH 11 CAP_DEC_OVERRIDE 11 CAP_FOWNER 11 CAP_FSETID 11 CAP_KILL 11 CAP_SETGID 11 Capabilities 10 CarriageReturn 189 cd 302 CD Burner 479 CERT 40 Certificate Authority 344 CGI 325, 373, 384, 386 CGI-Angriffe 14 CGI-Dateien 176 ChallengeResponseAuthentication 267, 290 Change Passwords 352 check 242 CheckHostIP 286 CheckMail 267 Checksumme 52 chgrp 302 Chiffren 262 chmod 302 chown 302 Chroot 420, 427 Cipher 267, 286 Classtype 21 classtype 29 ClientAliveCountMax 267 ClientAliveInterval 267 Cluster 488 Heartbeat-Monitor 489 Users and Groups 489 Cluster Users and Groups 489 Code Bits 139 Color 79 Command Shell 494 Compression 286 CompressionLevel 287 ConnectionAttempts 287 Content 21, 24 Content_list 21 Copyright 192 cpio 496 crack 202 cracklib 202 crap() 188
503
CRC 492 CRC-16 211 CRC-32 211 Cronjobs 326, 358, 360 CSV 44 Custom Commands 496 CWR 141 D Data Link Header 68 Data Rcvd 97 Data Sent 103 Database 43 Datei entschlüsseln 244 Dateien verschlüsseln 243 Dateiformat 176 Dateimodus 145 Datenaustausch 261 Datenübertragung 51 Datenzone 209 DDP 146 Debugmodus 264 DECNET 128 Defrag 33 delkey 242 delsig 242 deluid 242 Denial-of-Service 153 DenyGroups 267 DenyUser 267 Depth 21 depth 24 Detailed Interface Statistics 65 DHCP Server 400 diff 238, 244 disable 242 Disk Quotas 354 DISPLAY 291 display() 171 Displayfilter 52 Displaynummer 273 DNS 313, 466 DNS Spoofing 286 Documentation 362 DoS 153 Druckerwarteschlangen 326 Dsize 21 dsize 23 dump_ip_packet() 179 Durchschnittliche Bandbreite 107 –Dvar 224
504
E EBNF 308 ECE 141 Echtheitsbestätigung 429 Edit Categories 341 editor 316 egrep() 187 Empfänger 243 enable 242 ENV 276, 280, 314 env_check 317 env_delete 318 env_editor 313 env_keep 318 env_reset 314 ereg() 186 Erreichbarkeit 50 Error-Code 382 Erscheinungbild 342 Escape Character 281 EscapeChar 287 ESP/AH 122 Eugene Spafford 205 exempt_group 317 Exit 302 expire 242 Exportmöglichkeiten 238 EXT2 208 Extended Backus Naur Form 308 F FallBackToRsh 287 FDDI 125 Fehlersuche 179 Fetchmail 403, 404 File Descriptor 224 File Manager 497 Filesystem Integrity Checker 205 Filesystems 354 Fingerabdruck 240 Firewall 231, 334 Firewallregeln auslesen 152 Flags 21, 25 Flow 86 For-Schleife 170 forge_icmp_packet() 182 forge_igmp_packet() 183 forge_ip_packet() 178 forge_tcp_packet() 180 forge_udp_packet() 181 ForwardArgent 287
Stichwortverzeichnis
Forwardingtool 273 ForwardX11 287 fpr 242 FQDN 464 fqdn 313 Frag2 33 Fragbits 21, 23 FTP 261, 476 FTP-Bounce-Attack 153 FTP-Meldungen 472 ftp_get_pasv_port() 175 ftp_log_in() 175 G GatewayPorts 268, 287 Gateways 51 Gene Kim 205 General Interface Statistics 64 Gerätetreibernummer 210 Gericht 206 Gespiegelt 481 get 302 get_host_ip() 177 get_host_name() 177 get_host_open_port() 177 get_icmp_element() 183 get_igmp_element() 183 get_ip_element() 179 get_port_state() 177, 190 get_tcp_element() 181 get_udp_elements() 182 getrpcport() 177 Globale Konfiguration (ProFTPD) 418 GlobalKnownHostsFile 287 GlobalKnownHostsFile2 287 GNUPGP 233 GPG 231, 232, 234, 241 Aufruf 247 Befehle 241, 247 Benutzer-ID 236 Datei entschlüsseln 244 Dateien verschlüsseln 243 Installation 232 Optionen 252 Optionsdatei 252 Schlüsselpaar erzeugen 234 Signatur prüfen 246 Signieren 242, 244 Verschlüsseln und Signieren 246
Stichwortverzeichnis
GPGME 231 Grenzwerte 370 grep 155 Gruppenbeschränkung 267 H Handshake 139 Hardlinks 209, 212 Hardware 479 Bootup Configuration 479 CD Burner 479 Network Configuration 481 Partitions on Local Disks 485 Printer Administration 486 RAID 481 System Time 488 Hashed 231 Haval 211 Heartbeat-Monitor 489 HELO 414 Help 302 help 242 Hiddenbit 445 Hilfesystem 326 Hintergrund 282 Hochverfügbarkeitssystem 489 HOME 291 Hops 51 Host 286 Hostaliase 313 HostbasedAuthentication 268, 287 HostKey 262, 263, 268 HostKeyAlgorithms 288 HostKeyAlias 288 HostName 288 Hostschlüssel 263, 278, 286, 290, 295 HTTP Decode 32 I ICMP 62 ICMP destination unreachable 151 ICMP port-unreachable 151 icmp_id 26 Icmp_ip 21 Icmp_seq 21 icmp_seq 26 Icode 21 icode 26 Id 21 id 22 IdentityFile 288
505
IDS hostbasierend 1 LIDS 1 ignore 223 ignore_dot 311 IgnoreRhosts 268 IgnoreUserKnownHosts 268 Includes 168 Index Page Options 337 inetd 154, 265 Initialisierung 224 Initprozesse 360 Inkonsistenz 217 Inkrement 170 Inodenummer 209 insults 313, 315 Integrität 205 Integritätstest 216, 217, 220, 226 Intrusion Detection Systems 1 IP Access Control 330 IP Traffic-Monitor Counts 58 IP-Protocol-Scan 152 IP-Protos 116 Ip_proto 22 ip_proto 31 Ipoption 21 IPTraf 52 Anzeigefilter 70 Basics 55 Counts 55 Farbcode 61 Filterdefinition 73 Funktionsumfang 52 Hintergrund 82 Host-Statistiken 81 Installation 53 Managementsystem 70 Netzwerkinterfaces 57 Protokollarten 76 Protokolle 53 Schnittstellen 53 Sortieren 60 TCP-Einträge 67 USR1 79 is_cgi_installed() 176 ISO-Datagramm 132 Itype 21, 26
506
J Jabber 406 Jabber IM Server 406 john the ripper 202 K KDC 269 KeepAlive 268, 288 Keepalive 267, 269, 288, 437 Kerberos 269, 288 KerberosAuthentication 269, 288 KerberosOrLocalPassword 269 KerberosTgtPassing 269, 288 KerberosTicketCleanup 269 Key 242 KeyRegenerationInterval 269 keyring 251 Klone 334 Kompressionslevel 254 Konfigurationsaufwand 206 L LAN Station Statistics 68 LAN Statistik 52 Language 336 Last Line of Defense 1 Lauschangriff 121 lcd 302 LDAP 422 lecture 312 LFS 12 libpcap 15 LIDS 1 Append Only 3 Capabilities 10 Dateien 2 Dateisysteme 2 deaktivieren 12 Exception 3 Filesystem 1 Inodes 2 Installation 3 Interaktion 2 Kernel konfigurieren 5 Kerneloptionen 5 Konfiguration 7 lidsadm 7 Passwort 12 Protection Mounting 3 Read Only 3 System anpassen 12 Worst Case 13
Stichwortverzeichnis
LIDS Free Session 12 LIDS-Passwort 5 lidsadm Befehlsübersicht 7 Lilo 13 Linear 481 list 242 ListenAddress 269 Listkommandos 260 listpw 317 lls 302 lmkdir 303 ln 303 LocalForward 288 Log Null 46 log_host 312 Log_tcpdump 39 log_year 312 logfile 316 Logging 79, 333 Loginberechtigung 266 LoginGraceTime 269 LogLevel 270, 289 loglinelen 314 LOGNAME 291 Logs 363 Logto 21, 22 long_otp_prompt 311 loosedir 223 Lpwd 303 ls 303 lsign 242 lumask 303 M Mac-Adresse 68 MACs 270, 289 MAIL 291 mail_always 311 mail_badpass 311 mail_no_host 311 mail_no_perms 312 mail_no_user 311 mailerflags 316 mailerpath 316 mailsub 315 mailto 316 Mantra 236, 242 manuelle Überprüfung 216 Masterzone 387, 389, 396, 397, 398, 399 MaxStartups 270 MD2 211
Stichwortverzeichnis
MD4 211 MD5 205, 210, 226, 492 MD5Sum 230 Aufruf 230 Optionen 230 MIB 122 Minfrag 32 mkdir 303 Msg 21 msg 22 MTU 66 Multicaststatistiken 106 Mustervergleiche 186, 187 MySQL Database Server 406 N Nachrichtenverschlüsselung 205 Namesauflösung 163 NASL 161, 166 Nasl Operatoren 171 Skriptfamilie 192 Skriptkategorie 192 NBP 147 Nessus 161 Attack Scripting Language 166 Authentication Method 163 Benutzer anlegen 163 Konfiguration 165 Konfigurationsdatei 165 rule set 164 Nessus-Server 163 NETBIOS 39 netgroups 280 Network Configuration 481 Network Intrusion Detection System 13 Netzwerkplan 50 Netzwerkscanner 149 Netzwerkschnittstellen 64 Netzwerktool 49 Netzwerküberwachungssystem 158 Neuen CronJob erstellen 359 NewLine 189 NFS 326, 354 NFS Exports 354 NFS-Verzeichnisse 354 NIDS 13 NIS Client 356 NIS-Server 356 NMap 84, 149 Optionen 153
507
Nocase 21 nocase 25 Non Anonymous Funktion 168 NOPASSWD 319 NTop 83 DBPATH 85 Domain 99 Filterregeln 83 Format 86 HTTPS 85 interaktiv 83 Netzwerkschnittstellen 91 Optionen 83 Zusatzprogramme 89 Null-Scan 151 NumberOfPasswordPrompts 289 O Öffentlicher Schlüssel 231 Offset 21 offset 24 open_sock_tcp() 175 open_sock_udp() 173, 174 OpenSSH 260 Installation 261 Operating System 336 Operatoren 171, 180, 185 OPIE 311 OS-Detection 149 OSPF-Protokoll 63 Others 492 Command Shell 494 Custom Commands 496 File Manager 497 Perl Modules 497 SSH/Telnet Login 497 Status 499 Outgoing Domains 456 Output-Module 37 Ownership 272 Ownertrust 242, 250, 252 P Packet count 59 Paket Matching 121 Paketdatenbank 120 Paketdurchsatz 101 Paketgröße 59 Paketlogger 13 Paketsniffer 13 Paketverfolgung 47
508
PAM-Authentication 356 PAMAuthenticationViaKbdInt 270 Parität 481 Partitions on Local Disks 485 passprompt 315 PASSWD 319 passwd 242 passwd_timeout 315 passwd_tries 314 PasswordAuthentication 271, 289 Passwortänderung 364, 365 PASV 475 path_info 312 pcap 169 pcap_next() 180, 184 Performance 149, 210 Performanceverlust 235 Perl Modules 497 PermitEmptyPasswords 271 PermitRootLogin 271 PGP 231 PidFile 271 Ping-Scanning 151 Pingdurchlauf 151 Port 271, 289 Port und Adressen 331 Portscan Detector 33 Portscan Ignorehosts 33 Postfix Configuration 407 PPP 326, 406 pref 242 PreferredAuthentications 289 preprocess 227 Preprocessor 32, 213 Preprocessor-Syntax 213 preserve_groups 313 Primitives 125 Printer Administration 486 PrintLastLog 271 PrintMotd 271 Priority 22 ProFTPD Server 418 promiscuous mode 79 Protocol 271, 289 Protokolllistenspezifikation 85 Protokollschichten 130 Providertest 49 Proxy 334, 469 Proxy Server 334 ProxyCommand 289 Prozesse ordnen 358
Stichwortverzeichnis
Prozesse suchen 358 Prüfsumme 179 pty 276, 281 PubkeyAuthentication 272, 290 Public Key 231, 275 put 303 Pwd 303 Q Quell Mac-Adresse 59 Quelladresse 59 Quellport 59 quit 241, 303 Quotasystem 354 R RAID 481 Raw Sockets 150 RAW-Paket 121, 178 raw_string() 189 rcp 26, 299 React 21, 28 Reassign Modules 340 recv() 174 recv_line() 174 Redundant 481 Reference 21, 28 Referenz 247, 278 Referenzdatenbank 216 Regex 22, 32 Reinitialisierung 217 remote procedure call 152 Remoteadministration 325 RemoteForward 290 rename 303 Reply-Pakete 151 requiretty 313 Resp 21 resp 27 return() 173 Rev 21 Reverse Ident Scanning 154 ReverseMappingCheck 272 revkey 242 revsig 242 Rhostsauthentication 290 RhostsRSAAuthentication 272 rm 303 rmdir 303 root_sudo 312 rootpw 313
Stichwortverzeichnis
RPC 405 Rpc 21 RPC Call 145 RPC-Scan 152 RSAAuthentication 272, 290 RST 150 Rüstungsgut 232 runas_default 315 RUNAS_SPEC 319 runaspw 313 Running Processes 357 S Samba 326 Samba Windows File Sharing 435 Sameip 22 sameip 31 sanatize 41 save 241 Scandurchläufe 158, 159, 219, 295 Scanmöglichkeiten 149 Scheduled Commands 358 Scheduled CronJobs 359 Schleifenkörper 170 Schlüssel-ID 251 Schlüsseländerung 235 Schlüsselbund 239, 240, 251 Schlüsselgröße 265 Schlüssellänge 235 Schlüsselpaar 234, 237 Schlüsselserver 238, 251 Schlüsselwörter 266 scp 299 Securityscanner 149 Selection Masks 205 Selection masks 208 send_packet() 180, 183 Sendmail Configuration 450 Seq 21, 25 Server 367 Apache Webserver 368 Server-Authentifizierung 282 ServerKeyBits 272 Serverschlüssel 265 Session 21, 26 Session Key 263 set-filename 256 set-policy-url 256 set_home 312 set_icmp_packet() 182 set_igmp_element() 183
509
Set_ip_elements() 179 set_logname 313 set_udp_elements() 182 SHA 211 SHA1 492 shell_noargs 312 showpref 242 Shutdown 351 Sicherheitsbarrieren 260 Sicherheitskopie 205 Sid 21, 29 siggen 228 sign 242 Signatur prüfen 246 Signaturbestimmung 226 Signaturen 242 Signieren 242, 244 Sitzungsschlüssel 263 Skript Kiddie 155 Skriptfamilie 192 Skriptkategorie 192 Slavezone 387, 397, 399 SMB 14, 15 SMI 122 SMTP VRFY 414 SNAP 132 Snefru 211 snefru 226 Snifferattacken 261 SNMP Trap 45 Snort 13 Alert_fast 38 Alert_full 38 Alert_smb 39 Alert_syslog 37 Alert_unisock 39 Beispiele 18 CSV 44 Database 43 Defrag 33 Detection-Routine 14 Frag2 33 Funktionsweise 13 High-Level_Details 45 HTTP Decode 32 Installation 14 Klassennamen 29 Log Null 46 Log_tcpdump 39 Loggingdatei 38 Minfrag 32
510
Optionen 15, 16 Output-Module 37 Portscan 33 Portscan Detector 33 Preprocessors 32 Regeln 18 Regeltypen 46 SNMP Trap 45 snort.conf 35 Stream 34 Stream4 34 Unified 45 XML 39 Zusatzlibs 15 Snortregel Adressen und Ports 20 Bestandteile 18 Entwerfen 18 Formatierung 18 Header 19 Optionen 20 Protokoll 20 Socket 173, 175, 406 Socketfunktionen 173 Sockets 158, 294 Software Packages 360 SOHO 13 Source MAC addrs 80 Sourceforge 207 Spoofingschutz 272 Squid 467 Squid Proxy Server 460 SSH Alle Dateien 278 Authentifizierungsagent 292 Client 281 Schlüssel generieren 296 Umgebungsvariablen 291 Wichtige Dateien 274 SSH Server 429 SSH-ADD 294 ssh-add 293, 295 ssh-agent 261, 292 SSH-Client Aufruf 283 Konfigurationsdatei 285 Optionen 283 Sitzung 281 ssh-keygen 296, 298 ssh-keyscan 295
Stichwortverzeichnis
SSH-Server Konfiguration 264, 266 Konfigurationsdatei 266 Schlüsselwörter 266 SSH/Telnet Login 497 SSH_AUTH_SOCK 292 SSH_CLIENT 292 SSH_ORIGINAL_COMMAND 292 SSH_TTY 292 sshd 175 SSL Tunnels 435 SSL-Verschlüsselung 344 Stateless 22 stateless 32 Statistical Breakdown 66 Packet Sizes 66 TCP and UDP Traffic Statistics 66 Status 499 Statusänderung 209 stay_setuid 314 STDERR 264 Stealth FIN-Scan 150 Stream 34 Stream4 34 StrictHostKeyChecking 290 StrictModes 272 strings 168 Striped 481 strlen() 189 strtoint() 189 Subnet-Matrix 111 Subnet-Verwendung 114 Subsystem 272 SuDo 305, 306 Aliase 309 Optionen 323 Superserver 154, 265 Superuser Do 305 SuSE 435 SWAT 449 symlink 303 syslog 316 syslog_babpri 316 syslog_goodpri 315 SyslogFacility 272 System 351 Bootup 351 Change Passwords 352 Disk Quotas 354 Documentation 362
Stichwortverzeichnis
Filesystems 354 Logs 363 NFS Exports 354 NIS Client 356 NIS-Server 356 PAM-Authentication 356 Running Processes 357 Scheduled Commands 358 Scheduled CronJobs 359 Shutdown 351 Software Packages 360 SysV Init Configuration 360 Users and Groups 363 System Time 488 Systembid 445 systemkritische Dateien 216 Systemzustand 205 SysV Init Configuration 360 T Tag 22, 30 targetpw 313 TCP connect()-Scan 150 TCP Flag-Status 59 TCP Header 135 TCP SYN-Scan 150 TCP-Verbindungseintrag 60 TCP-Weiterleitung 282 tcp_ping() 177 TCP_Wrapper 175 Tcpdump 13, 121 Telnet 261 telnet_init() 177 Telnetsitzung 81 Telnetverbindung 177 TGT 269 Themes 342 this_host() 177 Timeout 339 timeout 315 Timeoutwert 160 Timers 80 timestamp_timeout 314 timestampdir 315 toggle 242 Toolbox 161 Tos 21 Traceroute 47 Einsatzmöglichkeiten 49 Funktionsweise 49, 51 Optionen 48
511
Transaktionsanfrage 145 triple-des 283 Tripwire 205 Befehle 217 Tripwireseiten 206 Tripwiresystem 218 Trojanisches Pferd 290 trust 242 Trusted Referers 342 Trusted Users 455 Ttl 21 ttl 22 tto 22 tty 312, 313 tty_tickets 312 tw.config 207 TZ 292 U UDP Scan 151 uid 242 umask 315 Unified 45 Unix-Domain-Socket 292 Unixdomainsocket 39 Upgrade 337 Uricontent 22, 30 use_loginclass 314 UseLogin 273 UsePrivilegedPort 291 USER 292 User 291 User Interface 334 UserKnownHostsFile 291 UserKnownHostsFile2 291 Usermin 327 Users and Groups 363 UseRsh 291 UTF-8 255, 256 UTMP 265 –Uvar 225 V Verbindungsversuche 287 Verbose Mode 155 Verbose Modus 228 Verfallsdatum 199, 242 verifypw 317 Verknüpfungsarten 131 Vermittlungsstelle 51 Verschlüsseln und Signieren 246
512
Verschlüsselung 224, 231, 243 VFS 2 Virendatenbank 205 Virenscanner 205 Virtuelle Server 377 Virtuelle Server (ProFTPD) 425 visudo 306, 313, 320 Fehlermeldungen 307 Optionen 307 Syntax 307 vpass 202 W Webmin 325 Actions Log 329 Aktualisieren 338 Authentication 339 Authentifizierung 339 Betriebssystem 336 Certificate Authority 344 Cluster 488 Edit Categories 341 Hardware 479 Index Page Options 337 Indexseite 337 Installation 325 IP Access Control 330 Konfiguration 330 Language 336 Logging 333 Login 327 Module 326, 334 Module aktualisieren 338 Operating System 336 Others 492 Port und Adressen 331 Proxy Server 334 Reassign Modules 340 Server 367 Server Index 345 Sprache 336
Stichwortverzeichnis
SSL-Verschlüsselung 344 Starten 327 Stoppen 327 System 351 Themes 342 Trusted Referers 342 Upgrade 337 User Interface 334 Users 346 Webmin-Module 334 Webmin-Serversystem 330 while-Schleife 169 Widerrufszertifikat 251 Window-Größe 59 Window-Scan 152 WU-FTP Server 471 WU-FTPD 326 X X11-Weiterleitung 282 X11DisplayOffset 273 X11Forwarding 273 xauth 273, 281, 291 XAuthLocation 273, 291 Xmas Tree-Scan 151 XML 39 XML Format 155 XO 148 Y YAPS 39 yaps 221 Z Zahlensystem 55 Zeichenketten 185, 188 Zeichensatz 255 Zertifizierungsauthorität 344 Zufallsscan 156 Zufallswerte 237 Zugriffsbeschränkung 331
Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Dieses eBook stellen wir lediglich als Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses eBooks oder zugehöriger Materialien und Informationen, einschliesslich der Reproduktion, der Weitergabe, des Weitervertriebs, der Platzierung im Internet, in Intranets, in Extranets anderen Websites, der Veränderung, des Weiterverkaufs und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags. Bei Fragen zu diesem Thema wenden Sie sich bitte an: mailto:[email protected]
Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf der Website ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen.
Hinweis Dieses und andere eBooks können Sie rund um die Uhr und legal auf unserer Website
(http://www.informit.de) herunterladen