ubuntuusers.de

ubuntuusers.deWikibuck-security

E-Mail Benachrichtigungen funktionieren derzeit nicht, das Problem ist bekannt, wird untersucht und baldmöglichst behoben. Besten Dank für das Verständnis und die Geduld.

buck-security

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Wiki/Icons/terminal.png buck-security {en} ist ein Sicherheits-Scanner für Ubuntu und Debian, der einen schnellen Überblick über die Sicherheit eines Systems ermöglicht. buck-security wurde ursprünglich für Server entwickelt, kann aber auch auf Desktop-Systemen eingesetzt werden. Es existiert allerdings keine grafische Oberfläche.

Im Gegensatz zu anderen Sicherheits-Scannern wie Tiger oder Lynis beschränkt sich buck-security auf einige wenige Sicherheitstests und nimmt deshalb für sich in Anspruch, auch für normale Anwender hilfreich zu sein.

Folgende Tests sind momentan in buck-security integriert:

  • Suche nach Dateien und Verzeichnissen, für die alle Benutzer Schreibrechte haben (worldwriteable)

  • Suche nach Programmen mit Setuid und Setgid (siehe Rechte)

  • Überprüfung der Dateirechte für neu angelegte Dateien (umask {en} )

  • Überprüfung, ob das sticky-bit für das /tmp Verzeichnis gesetzt ist (siehe Rechte)

  • Suche nach Administrator-Accounts

  • Überprüfung, ob Firewall-Regeln aktiviert sind

  • Überprüfung der Konfiguration des SSH-Servers (falls installiert)

  • Suche nach lokalen Diensten

  • Suche nach installierten Paketen, die als Angriffsprogramme verwendet werden können (z.B. Portscanner oder Passwort-Cracker)

  • Anlegen und Überprüfung von Prüfsummen wichtiger Systemprogramme

Installation

Zuerst lädt man sich die aktuelle Version des Programms von der Projektseite {en} {dl} als Archivdatei (ZIP oder TAR.GZ) herunter und entpackt [4] es in ein Verzeichnis seiner Wahl.

Hinweis!

Fremdsoftware kann das System gefährden.

Anschließend öffnet man ein Terminal [1] und wechselt in das angelegte Verzeichnis. Dort wechselt man in das buck-security Verzeichnis, z.B. buck-security_0.6:

cd buck-security_0.6 

Bedienung

Anschließend kann buck-security im Terminal gestartet werden. Dafür benötigt man root-Rechte [2]:

sudo ./buck-security 

Einige Parameter
--help Hilfe anzeigen
--log Ausgabe wird auch in ein Log geschrieben (im logs-Verzeichnis)
--make-checksums erstellt neue Prüfsummen wichtiger Systemdateien
--output=1 gekürzte Ergebnis-Ausgabe, nur Test-Ergebnisse
--output=2 normale Ergebnis-Ausgabe, mit Informationen zu den Test-Ergebnissen
--output=3 wie normale Ergebnis-Ausgabe, zeigt aber auch Fehlermeldungen an

Achtung!

Alleine durch die Benutzung von buck-security kann die umfassende Sicherheit eines Systems nicht gewährleistet sein. Vielmehr sollte es nur ein Baustein in einem umfassenden Sicherheitskonzept (siehe Sicherheits 1x1) sein. Dazu können auch weitere Tools wie rkhunter oder chkrootkit zählen.

Konfiguration

Die Konfigurationdateien von buck-security befinden sich im Verzeichnis conf. Die Hauptkonfigurationsdatei ist buck-security.conf. Diese Textdatei kann man mit einem Editor öffnen und bearbeiten [3]. Hier können die durchzuführenden Tests festgelegt werden, außerdem Einstellungen zur Erstellung der Prüfsummen sowie zu den zu suchenden Angriffsprogrammen.

Ausnahmen

Im Ordner conf/whitelists findet sich für jeden Test eine Konfigurationsdatei, in der Ausnahmen für diesen Test hinzugefügt werden können. Standardmäßig sind auch schon einige Ausnahmen eingetragen, um ungerechtfertigte Warnungen des Programms zu verhindern.

So ist beispielsweise für den Test, der nach Administratoren-Accounts sucht, in der zugehörigen Ausnahmedatei superusers-whitelist.conf, bereits root eingetragen.

Ausnahmen hinzufügen

Möchte man nun selbst Ausnahmen hinzufügen, so kann man dies in der entsprechenden Konfigurationsdatei im Ordner conf/whitelist machen. So kann man beispielsweise weitere Setgid-Programme in sgids-whitelist.conf eintragen, z.B.:

/usr/sbin/postqueue
/usr/sbin/postdrop

Die Ausnahmen sind dabei immer identisch mit der Ausgabe des Programms. Um beispielsweise SSH als Ausnahme für den Test, der nach lokalen Diensten sucht, hinzuzufügen, trägt man unter conf/whitelists/services-whitelist.conf ein:

22:sshd:LISTEN_ALL

Wildcards bei Ausnahmen

Für alle Ausnahmen kann auch das *-Zeichen als Wildcard verwendet werden. So führt der Eintrag

/usr/sbin/*

in der Konfigurationsdatei für die Suche nach Setgid-Programmen z.B. dazu, dass dieser Test bei keinen Programmen in /usr/sbin/ Alarm schlägt.

Achtung!

Ausnahmen im Allgemeinen und Wildcards im Besonderen sollten deshalb nur äußerst sorgfältig eingesetzt werden. Also wirklich nur dann, wenn man sich sicher ist, dass es sich um einen falschen Alarm handelt, d.h. dieser Alarm nicht zu verhindern ist (weil z.B. das Programm das Setgid-Bit benötigt oder gewisse Dienste laufen dürfen).

Diese Revision wurde am 1. Oktober 2013 18:26 von aasche erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit