Open Source im professionellen Einsatz
Linux-Magazin 07/2010
© .marqs, Photocase.com

© .marqs, Photocase.com

Aus dem Alltag eines Sysadmin: Bei Login Mail

Türspion

Oft bekommt Charly in Kursen und auf Community-Treffen Anregungen für diese Kolumne. Vergangene Woche sammelte er einen Tipp für ein Frühwarnsystem auf, das Login-Versuche blitzartig in Sicherheit bringt.

509

Auf manche Server logge ich mich wochenlang nicht ein. Bei solchen Maschinen ist die Gefahr besonders hoch, dass der unerwünschte Login eines Angreifers unbemerkt bleibt. Wenn der es geschafft hat, sich heimlich in einen fremden Rechner einzuschleichen, versucht er zunächst alles, um seine Spuren zu verwischen. Dazu gehört, alle Hinweise auf den Login aus den Logs zu tilgen. Das macht es fast unmöglich, den exakten Zeitpunkt des Angriffs und - noch viel wichtiger - die IP des Angreifers nachzuvollziehen.

Hier kommt Markus' Skript ins Spiel. Markus? Kürzlich trafen sich in einem Schulungszentrum in Essen [1] einige Sys- und Netzadmins - darunter auch ich -, um den Aufbau einer komplexen Open-VPN-Struktur zu planen und praktisch auszuprobieren. Als "Master of Ceremony" der Veranstaltung fungierte der Open-VPN-Experte Markus Feilner, (der auch stellvertretender Chefredakteur dieses Magazins ist). In den Pausen haben wir natürlich ordentlich geflachst, auch über mein Bestreben, kleine Probleme mit Bandwurm-Einzeilern zu lösen. Markus meinte, er habe ein solches Tierchen für mich, einen Intrusion Detector. Das Funktionsprinzip des Einzeilers sei ebenso simpel wie wirkungsvoll.

Was weg ist, ist weg

Die Skriptzeile startet gleichzeitig mit der sich öffnenden Shell und schickt sofort eine Mail an den Admin, die die Ausgabe des »who«-Befehls enthält. Das passiert so schnell, dass der Angreifer keine Chance hat, den Versand der Mail zu stoppen. Der Einzeiler residiert in der systemweiten »bashrc« und sieht so aus:

echo 'Login on' `hostname` `date` `who`|  
mail -s "Login on `hostname` `who |  
awk '{print $5}'`" charly@kuehnast.com

Der Teil bis zum ersten Pipe-Zeichen (»|«) generiert den Inhalt der Mail. Das »date«-Kommando liefert einen genauen Zeitstempel und »who« steuert eine Liste der eingeloggten User bei. Ein Ausgabe von Who sieht beispielhaft so aus:

root   pts/0   2010-05-02 13:21 U
(islay.kuehnast.com)

Ich bin hier als Root eingeloggt. Am Hostnamen kann man in den Klammern sehen, von wo der Login kam. Diese Information ist entscheidend, um einen Einbrecher zu überführen.

Abbildung 1: Es gibt sicher romantischere Mails als diese, aber beim Verdacht auf einen Einbruch zählt Information mehr als Emotion.

Der zweite Teil des Einzeilers löst das »mail«-Kommando aus und generiert dank des Parameters »-s« die Betreffzeile. Hier schneidet Awk aus der Who-Ausgabe gezielt den Hostnamen oder die IP des Absenders heraus. Auf diese Weise muss ich die Mail nicht unbedingt öffnen, sondern sehe bereits in der Betreffzeile, ob der Login von einem bekannten und vertrauenswürdigen System kam oder von einem mir unbekannten. In dem Fall sollte ich mich auf dem Rechner einmal umsehen.

Apropos umsehen: In zwei Wochen geht's zum LUG-Camp. Ob und wer mich dort mit einem Kolumnenthema infiziert, ist in einem Monat hier zu lesen. (jk)

Infos

[1] Linuxhotel: [http://www.linuxhotel.de]

Der Autor

Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Bash Bashing

    Nicht nur Sysadmin Charly fällt dem Wildwuchs bei den Bash-Startskripten zum Opfer. Die lassen sich zu allem Überfluss auch noch auf verwirrend vielfältige Weise konfigurieren.

     

  • LUG ins Land

    Vom Niederrhein nach Mittelfrankenen: Charly fand auf seiner Reise platt geklopftes Gold, ausgelassene Linuxer, verlassene Bierhöhlen und einen Python-Einzeiler für vorzeigbare Tourfotos. Einfach hinreisend.

  • Einführung

    Fehler im Dunstkreis eines SMTP-Servers per Telnet und Testmails suchen – das kann zu einem nervenzehrenden Hindernislauf ausarten. Das Tool Swaks bringt die Ziellinie wieder in Sichtweite.

  • Weg vom alten Eisen

    Wenn Admins angerostete Mailserver austauschen, müssen auch die Postfächer der Benutzer auf die neue Hardware gelangen. Auf Ebene des Filesystems spielen die Server häufig nicht mit, deshalb erweisen sich IMAP-Migrationstools als ideale Helfer.

  • Einführung

    Die meisten Tools, mit denen Charly in seiner Kolumne Ausflüge plant, sind klein, klug, flink und genauso schnell erklärt. Diesmal gilt das in besonderem Maße, weshalb ein Doppelpack auf seiner Seite Platz findet.

comments powered by Disqus

Ausgabe 09/2016

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.