Hoe indringers van het Linux-systeem te vangen
NieuwsHet lijdt geen twijfel dat Linux een veilig besturingssysteem is. Niets is echter perfect. Miljoenen regels code worden elke seconde door de kern gedraaid en er is slechts één programmeerfout nodig om een deur naar het besturingssysteem te openen. Als die regel code met het internet geconfronteerd wordt, is dat een achterdeur naar uw server.
De ogen hebben het
Patches worden vaak sneller en vaker vrijgegeven voor Linux-systemen dan voor eigen producten. Dit komt omdat iedereen de code kan bekijken - en duizenden ontwikkelaars doen dat regelmatig. Deze 'vele ogen'-benadering, die door Linus Torvalds werd voorgeschoten, betekent dat problemen zoals achterdeuren meestal snel worden gevonden. Het betekent ook dat fixes net zo snel worden vrijgegeven.
Er is onlangs een zeer vocaal debat over de Linux-kernel-mailinglijst geweest, waarbij ontwikkelaars ruzie maakten over de vraag of beveiligingsbugs die worden opgelost, formeel moeten worden aangekondigd en gedocumenteerd. Torvalds gelooft dat het maken van een groot lied en een dans over veiligheidspleinen de aandacht trekt van onverlaten als honingbijen. Anderen geloven dat allesbehalve volledige openheid indruist tegen de filosofie van Vrije Software.
Het debat brandt nog steeds, maar hoewel de opperheren van de Linux-kern beslissen welke kant ze op moeten, is er veel dat je kunt doen om je systeem te beschermen, zelfs als een service op het internet op de een of andere manier in gevaar komt.
Kijken naar vallen met Tripwire
Tripwire genereert controlesommen van alle essentiële binaire bestanden die op uw systeem worden uitgevoerd. Elk bestand heeft een volledig unieke controlesom. Als een enkel stukje gegevens in het bestand verandert, zal de controlesom die het genereert compleet anders zijn.
Deze controlesommen kunnen niet worden gekraakt of gedupliceerd omdat ze op een beproefde coderingsmethode vertrouwen. Met behulp van deze database met controlesommen controleert Tripwire periodiek de waarde van elk binair bestand in zijn database. Als een bestand is gewijzigd, wordt de draad geactiveerd en wordt een alarmsignaal gegeven.
Dit systeem is ongelooflijk effectief, want het eerste wat een hacker gewoonlijk doet wanneer hij toegang tot uw systeem krijgt, is het vervangen van belangrijke systeembestanden door hun eigen versie. Dit staat bekend als een 'rootkit' en het betekent dat de hacker altijd toegang heeft tot uw systeem - zelfs nadat u het oorspronkelijke beveiligingsprobleem van de 'achterdeur' heeft gevonden en bijwerkt.
Er zijn verschillende tools die op zoek zijn naar de ondertekenende handtekening van een rootkit-installatie, maar Tripwire anticipeert op deze tools door veranderingen in het bestandssysteem te vangen - hopelijk nog voordat de rootkit kan worden gebruikt. Om deze reden kun je Tripwire vinden in de pakketrepository van bijna elke Linux-distributie die we kunnen bedenken. Zoek ernaar en installeer.
Tripwire-verdediging is zo succesvol geweest dat een eigen bedrijf is geïntroduceerd op de achterkant van het oorspronkelijke Tripwire-product; beide worden verwarrend Tripwire genoemd. Gelukkig is de opensource-versie van de software nog steeds populair, ondanks het feit dat, net als alle Linux-beveiligingshulpprogramma's, het een aanzienlijke inspanning kost om het te laten werken.
Het grootste deel van die inspanning heeft te maken met het bewerken van geheimzinnige configuratiebestanden. Het kiezen van Ubuntu of Debian kan hierbij helpen, omdat beide distributies een snelle installatiewizard bevatten bij het installeren van de pakketten. We hebben Ubuntu Hardy Heron gebruikt in de onderstaande voorbeeldconfiguratie. We hebben ook de handmatige opdrachten voor configuratie opgegeven als u een andere distributie gebruikt.
Zorg ervoor dat alles dat moet worden geïnstalleerd, is geïnstalleerd. Als u na de Tripwire-installatie meer pakketten toevoegt, moet u een nogal ingewikkelde herconfiguratieroutine doorlopen. Om deze reden is het eenvoudiger om Tripwire te installeren nadat u de server hebt geconfigureerd en ingesteld zoals u hem nodig hebt.