Open Source im professionellen Einsatz
Linux-Magazin 05/2012
510

Kontexte als Zwischenspeicher

Das Tool Logcheck könnte in diesem Szenario allenfalls die Logzeile »Failed password« herausfiltern, aber keine weiteren Informationen zur SSH-Session liefern. Alternativ könnte der Admin alle SSH-Logzeilen herausfiltern. Dann würde er aber mit zu vielen überflüssigen Informationen überschüttet und die wirklich wichtigen Zeilen dürften ihm entgehen. Logsurfer löst dieses Problem mit den so genannten Kontexten. Sie bieten die Möglichkeit, bestimmte Zeilen zwischenzuspeichern und bei Bedarf erneut zu verwenden.

Die drei Regeln in Listing 5 ergeben nur in ihrer Kombination einen Sinn. Auf Debian-basierten Systemen lassen sie sich auf die Logdatei »/var/log/auth.log« anwenden. Der Einfachheit halber geben sie alle Informationen direkt auf der Konsole aus. Es wären aber auch andere Aktionen möglich, und sei es nur die, eine Mail zu schicken.

Die erste Zeile erkennt alle Logzeilen des SSH-Daemon. Die Aktion »open« eröffnet einen neuen Kontext. Dabei benutzt die Regel die PID (in eckigen Klammern nach »sshd« ) der jeweiligen SSH-Sitzung, um jene Zeilen zu erkennen, die zu einer SSH-Session gehören. Zusätzlich definiert sie Timeouts. Laufen diese ab, geben die Regeln ebenfalls die Session-Daten aus. Wichtig ist an dieser Stelle das Schlüsselwort »continue« , damit auch die nachfolgenden Regeln zum Zuge kommen.

Enthält eine Logzeile den Eintrag »Failed password« (Zeile 5), gibt dieses Beispiel den kompletten Kontext der SSH-Session auf der Konsole aus. Wieder dient die PID der SSH-Session dazu, den Kontext zu identifizieren. Die Regel in Zeile 8 löscht den Kontext wieder, wenn eine SSH-Session geschlossen wird. Abbildung 2 zeigt die Ausgabe der Regeln im Praxiseinsatz.

Abbildung 2: Mit drei Logsurfer-Regeln lassen sich missglückte Anmeldeversuche am SSH-Port überwachen.

Wer den »tail« -Modus benutzt, darf nicht vergessen das Signal »SIGHUP« an den Logsurfer-Prozess zu schicken, wenn Logrotate oder ähnliche Tools das Logfile neu anlegen.

Leider gibt es Logsurfer nur als Sourcepaket, es existieren keine fertigen Binärpakete in den gängigen Linux-Distributionen. Das Kompilieren und Installieren sollte aber dem durchschnittlich erfahrenen Administrator leicht von der Hand gegen. Für Debian-basierte Distributionen stellt der Autor dieses Artikels unter [4] fertige Pakete bereit.

Sicherheit nicht vergessen

Bei allen Tools für die Loganalyse darf der Admin nicht vergessen, dass nicht nur das System und seine Dienste Logmeldungen erzeugen, denn auch externe Benutzer tun das mit ihren Aktionen. Ein Angreifer könnte beispielsweise das Postfach des Administrators zum Überlaufen bringen, im schlimmsten Fall aber auch mit geeigneten Ausdrücken Systeme außer Gefecht setzen oder beliebige Kommandos ausführen.

Das trifft insbesondere auf Tools wie Logsurfer zu, die das Systemprotokoll in Echtzeit analysieren und beliebige Skripte oder Programme ausführen können. Werden Teile der Logzeile einem externen Programm als Parameter oder via Standardeingabe übergeben – wie im ersten Beispiel –, erhielte ein Angreifer die Chance, das Programm zu manipulieren. Der Anwender solcher Tools muss also die Übergabeparameter und die Standardeingabe entsprechend absichern. Weitere Informationen zum Thema Sicherheit enthält die Manpage von »logsurfer.conf« , die auch online unter [5] zu finden ist.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Bitparade

    Wer Logdateien überwachen möchte, könnte zu einem dicken Hund wie Nagios oder Icinga greifen. Doch auch leichtgewichtige Alternativen wittern Bedrohungen, lassen sich aber wesentlich flotter einrichten. Das Linux-Magazin geht mit fünf dieser kleinen Wachhunde auf den Trainingsparcours.

  • Kostenloses Lesefutter: Admin-Jobs delegieren, Cloud-Speicher, Kernel-Debugging

    Mit der Veröffentlichung des aktuellen Linux-Magazins 03/2012 wird das Magazin 05/2012 kostenlos zugänglich, denn auf Linux-Magazin Online gibt es alle Ausgaben gratis zu lesen, die älter als 10 Monate sind.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.