Home
Über die LugBE | Mailing List | Treff & Events | Projekte | lost+found | Support

LIDS - Linux Intrusion Detection System

Vortrag von Mathias Gygax

15. November 2001

LIDS Howto (kurz und vorläufig).
Genaueres findet sich auf www.lids.org

Der Vortrag wurde mit einer Präsentation in ppresenter untermalt. Die SGML-Datei und das Perl-Script, das das ganze steuert, gibts hier:
SGML Datenfile.
Perl-Script zur Ablaufsteuerung.


Der Vortrag wurde am 18C3 in Berlin wiederholt. Ob jemand den zum Cracken bereitgestellten Host bezwungen hat, verschweigt die Geschichtsschreibung bisher (Was wäre das Leben ohne Geheimnisse ;-)
Links:


Voller Spannung erwartete ein grosser Trupp Security-Interessierter den Vortrag von Mathias (kuckuck ;-) zum Thema LIDS - Linux Intrusion Detection System.
Und wartete.
Und wartete.

Aber sicher kommt er noch ...

Und wartete.

Und dann kam er doch noch: der Meister aller Pünktlichkeiten, unser liebster Referent. Er hatte wohl so vertieft an seiner Präsentation gefeilt, dass sie ihm um rund 2 Stunden vorausgeeilt war.

Aber was dann kam, entschädigte mehr als nur für die Wartezeit: Ein Feuerwerk von sicherheitsrelevanten Informationen, von Gefahren und möglichen Gegenmassnahmen, von Patches, von Exploits, von sicheren und unsicheren Konzepten und Programmen, sauber gesplitted in Thread und Neben-, Unter- und Zwischenthread ... und - eben - von LIDS.

Könnt ihr das fassen ...   Wo ist jetzt der Monitor ...?  

Das Linux Intrusion Detection System ist ein Paket aus Kernel-Patch und dazugehörigen Tools (v.a. lidsadm), das die Sicherheit (und den Verwaltungsaufwand ;-) auf UNIX-Systemen drastisch erhöhen kann.

Eingebettet zwischen Userspace und Kernel, fängt LIDS viele System Calls ab und erlaubt/verbietet sie aufgrund eines vorkonfigurierten Regelsatzes (/etc/lids.*). Da werden Dateien oder ganze Verzeichnisbäume vor den Systembenutzern (inklusive root) versteckt und der Zugriff mit wenigen Ausnahmen verboten, werden einzelnen Programmen bestimmte Berechtigungen gegeben (z.B. raw Zugriff auf Disk/Netzwerk I/O, Zugriff auf bestimmte Files ...), die andern aber vorenthalten bleiben; da werden Passwörter direkt im Kernel-Memory gespeichert, wo niemand ausser dem Kernel selbst darauf zugreifen kann ... usw.

Ist auch der Konfigurationsaufwand zu Beginn recht hoch, hat sich aber gezeigt, dass er mit einigen Konfigurtionsdateien sehr wohl in den Griff zu bekommen ist. Diese wiederum werden natürlich wieder von LIDS speziell geschützt ...

Bei soviel Sicherheit wunderte es eigentlich niemanden mehr, dass der Beamer hie und da den Dienst versagte (Firewall auf dem VGA-Port? ACL auf dem Netzteil?). Doch auch dieser elementare Kampf wurde erfolgreich gefochten ...

Aber sicher kommt er noch ...

Und mit verdientem Applaus verabschiedete sich das Publikum schliesslich in den ungesicherten Teil des Abends (bestritten von einer verzweifelten Kellnerin und ausgiebigen Diskussionen). Nur ein paar Sysadmins hatten es plötzlich sehr eilig, nach Hause an die Konsole zu kommen ;-)

Aber sicher kommt die Kellnerin nochmal ...

Ein kurzes Howto zur LIDS-Konfiguration gibt's übrigens hier.


Webmaster at lugbe.ch

Die Artikel dieser Seite stehen unter Copyleft ihrer jeweiligen Autoren. Ihre Nutzung, Wiedergabe etc. untersteht den Bedingungen der GNU Free Documentation License (http://www.gnu.org/copyleft/fdl.html), wo nicht explizit anders vermerkt.