Der Pilgermaske Blog

der andere blog - Willkommen!

Wer checkt hier wen? Server Check!

- Veröffentlicht unter Linux von

Ich stelle hier eine Liste für einen regelmäßigen Server Check zusammen. Ziel ist es, jeden Tag, innerhalb von 15 Minuten, einen brauchbaren Überblick zu bekommen, in wieweit mein Server ein Sicherheitsproblem haben könnte:

  1. Sind Daten auf meinen Server geparkt worden? Laufen Logfiles über? Das ist garnicht so selten! Überprüfe mit df -h die Belegung deiner Partitionen.
  2. Wer war zuletzt eingeloggt? Einfach mal den Befehl last auf der console eingeben. Die Ausgabe zeigt die letzten und die aktuellen Anmeldungen, sowie die Neustart Aktionen des Servers. Alternativ: lastlog
  3. Gab es sonstige Anmeldeversuche? Schau Dir mal die /var/log/auth.log (Ubuntu) und unter Fedora /var/log/audit/audit.log (alternativ /var/log/secure) an.
  4. Gibt es eine höhere Auslastung von CPU und Ram? In der console einfach mal den Befehl top eingeben. Beachte: mit dem eingeben einer “1” werden alle Prozessoren angezeigt und mit der Eingabe der Buchstaben “m”, “t” und “l” (l wie eL) werden verschiedene Infos ein- und ausgeblendet. Zombie Prozesse sind kein Grund zur Panik: Leider kann man diese Prozesse schlecht abschießen. Alternativ: htop
  5. Welche Prozesse laufen eigentlich – oder auch nicht? Am schnellsten hat man einen guten Überblick, wenn man den Befehl ps -ax auf der console eingibt. Das man mit SHIFT+Bild/hoch und Bild/runter die Ansicht entsprechend anpassen kann, sollte jeder wissen, der einen Linux Server betreibt. Oder auch, dass man mit ps -ax | grep httpd unter Fedora Linux alle Prozesse, die mit dem Webserver zutun haben, angezeigt bekommt…. Alternativ: pstree
  6. Die Logfiles /var/log/syslog und /var/log/messages sind Dir natürlich bekannt! Wenn nicht: Baue deinen Server wieder ab! Die Gefahr, dass dann dein Server eine Gefahr für andere wird ist zu groß.
  7. Was treiben die Leute auf meinen Webserver? Eine spannende Frage! Deswegen hast Du vielleicht AWStats, Piwik oder Google Analytics auf deinen Server eingerichtet. Wenn ja: Würde ich auch auf die Liste der regelmäßigen Checks setzen. Immerhin würde ich schon wissen wollen, wenn sich plötzlich 3000 Rechner für meine login.php interessieren…
  8. Wer tanzt gerade Samba? Wenn ein Samba Fileserver und vielleicht ein WLan-Server (hostapd) eingerichtet ist, könnte es interessant sein, wer noch so auf deine Freigaben – also DATEN – zugreift. Einfach mal in der console den Befehl smbstatus eingeben …
  9. Blutegel sind widerlich – Rechner die an unseren Server Ports saugen auch! Gerade auf die Firewall waren wir stolz und hofften, alle Ports sauber gesperrt zu haben: Auf der console den Befehl netstat -tan eingeben! Alternativ: w
  10. Sollte ein von Dir betriebener Mailserver laufen, dann nur für autorisierte Anwender. Also mal in die /var/log/mail.log oder maillog schauen, wer denn da so sendet. Kurz mal drüberfliegen, sollte für einen schnellen check ausreichen.
  11. Check die root-mails: Immerhin mailen viele Dienste ihre Probleme und Warnungen an den root. Also einfach mal mail oder mailx auf der console eingeben.
  12. Programme die Root- Rechte übernehmen wollen? Installiere rkhunter auf deinen Server und mit rkhunter --propupd und rkhunter --check hast Du innerhalb von 2 Minuten die Info, ob eines der rkhunter bekannten rootkits installiert ist.
  13. Gibt es neue Partitionen oder Datenträger am Server? Vielleicht hat jemand bei Wartungarbeiten einen USB- Stick am Server gelassen? Einfach mal blkid auf der console eingeben.
  14. Wer nutzt gerade einen meiner Services? Ein lsof -i : auf der konsole, zeigt an, welcher Dienst von welchen Rechner benutzt wird.
  15. Wenn Du einen Mailserver betreibst, dann installiere pflogsumm und rufe Dir mit pflogsumm -d yesterday /var/log/mail.log einen Bericht über den Emailversand für den letzten Tag auf und überfliege ihn schnell mal. Alternativ die Mailserver (Postfix) Queue checken: pfqueue

Übrigens: Verschiedene Webseiten z.B. heise.de(2) bieten einen Portscan des eigenen Webservers an, um zu überprüfen, welche Ports geöffnet sind. Wenn kein grafischer Zugang auf den Webserver besteht, gibt es den nmap Befehl auf einen Linux PC. Interessant könnte vielleicht auch ein Passwort-Check sein (1). Mit diesen 15 Punkten kann man jeden Tag in 15 Minuten seinen Server checken. Arbeit: wenig – Sicherheitsgefühl: wesentlich mehr.

Im Download- Bereich von Pilgermaske findet Ihr ein Servercheck (PDF) Formular, dass Euch bei der Überprüfung eines Servers helfen kann.

Weblinks zum Artikel

| 1 Passwort- Online- Check | 2 Netzwerk- Check auf heise.de

Comments