Tiger – Intrusion Detection und Audit Reporter

am 13. Mrz 2009 von griesgram geschrieben unter Linux, Security

Hallo lieber Leser! Danke für deinen Besuch, wenn du Updates zu diesem Thema erhalten willst, abonniere unseren RSS Feed.

Tiger ist ein Intrusion Detection und Audit Reporter Tool, welches einem Hilft, Sicherheitslöcher und sonstige System-Fehler einem Linux System aufzudecken.

Wer selber gerne Tiger installieren und ein paar Sample Alerts anschauen möchte, liest am besten weiter.

Installieren

Das Tool kann man unter Debian mit aptitude oder apt installieren.

aptitude update aptitude install tiger

Tiger sollte nun installiert sein.

Konfigurieren

Jetzt können wir mit dem Konfigurieren beginnen. Konfiguration öffnen

vim /etc/tiger/tigerrc

Sucht nach “Mail_RCPT” und ändert die Mailaddresse, sofern die Audit Mails an eine andere Domain weitergeleitet werden soll. z.Bsp: [email protected]

Tiger_Mail_RCPT="[email protected]"

Den rest lassen wir mal auf Standard Werten. Das wäre es schon. Tiger macht nun jede Stunde ein Audit und meldet es via Email sobald er etwas verdächtiges festgestellt hat.

Sample Alert 1

Betreff: Tiger Auditing Report for lilith.hack2learn.org Von: "Tiger automatic auditor at lilith.hack2learn.org" [email protected]> Datum: Fr, 13.03.2009, 04:00 An: [email protected] Priorität: Normal

# Checking listening processes OLD: --WARN-- [lin003w] The process `(squid)' is listening on socket 25125 (UDP on every interface) is run by proxy. NEW: --WARN-- [lin003w] The process `(squid)' is listening on socket 23237 (UDP on every interface) is run by proxy.

Diese Meldung besagt, das ein Dienst gestartet wurde, in diesem Fall ist es Squid, welcher auf den UDP Ports 25125 und 23237 horcht und der Prozesseigentümer Proxy ist. Dies Meldung tritt auf sobald ein Dienst neugestartet, reloaded oder gestart wird.

Sample Alert 2

Betreff: Tiger Auditing Report for lilith.hack2learn.org Von: "Tiger automatic auditor at lilith.hack2learn.org" [email protected]> Datum: Mo, 9.03.2009, 03:00 An: [email protected] Priorität: Normal

# Performing check of `cron' entries... NEW: --WARN-- [cron001w] cron entry for root does not use full pathname (nmap): # Performing check of anonymous FTP... # Checking printer configuration files...

Diese Meldung besteht aus mehreren durchgeführten System Checks. Hier überprüft Tiger die Cron Einträge (Scheduler unter Linux). Tiger hat festgestellt, dass der Cron Eintrag für nmap falsch ist! Es sollte der ganze Pfad zum Nmap Programm angegeben werden anstatt nur “nmap”.

Hier ein Beispiel wie es sein sollte:

#Nmap scan 5 11 * * sun /usr/bin/nmap --append_output -sU -sT lilith.hack2learn.org

Die anderen Meldungen zeigen nur was Tiger überprüft hat.

Hoffe dies hilft jemanden

Das könnte dich auch interessieren:

:alert, audit, cron, debian, email, installieren, intrusion detection, Linux, meldungen, report

Copyright © www.hack2learn.org
Dieser Beitrag ist für den persönlichen, nicht-kommerziellen Gebrauch bestimmt. Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung ausserhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.
(Digital Fingerprint: d3d3LmhhY2sybGVhcm4ub3Jn)

Pingback: Server Support Forum

Kommentar RSS Feed abonnieren TrackBack URI

Hy, Willkommen auf hack2learn!
Danke das du vorbei schaust! Du kannst gerne einen Kommentar schreiben, wenn du Fragen hast oder du kannst unseren RSS Feed abonnieren.

Du kannst den RSS Feed auch abonnieren, indem du deine E-Mail in das Eingabefeld eingibst:
Blog durchsuchen
Folge uns
Partner
Wichtige Mitteilung
Wir haben ein Member System aktiviert.
Gewisse Anleitungen, Beiträge und News sind nur noch für hack2learn Member zugänglich.

Bitte beachtet:
Sämtliche Anleitungen, Beiträge und News sowie deren Texte, Bilder & Videos sind, sofern nichts anderes angegeben wurde, Geistiges Eigentum von hack2learn.org und durch die Creative Common Lizenz und das Urheberrecht geschützt.

Sollten wir andere Webseiten dabei erwischen, Beiträge von hack2learn.org als ihre eigenen auszugeben, werden wir die entsprechenden Webseiten Betreiber, unter Vorbehalt von weiteren rechtlicher Schritte, per Unterlassungsklage abmahnen.

Einige von Euch erwähnten bereits, dass es auch schon solche Leute unter den hack2learn Membern geben könnte:
Zuerst möchten wir hier erwähnen, dass wir bisher niemanden verdächtigen - sollten wir aber herausfinden, dass es solche Leute unter den hack2learn Membern gibt, werden wir auch diejenigen ausfindig machen und, unter Vorbehalt von rechtlicher Schritte, per sofort von hack2learn.org verbannen.

Das hack2learn Team.
Letzte Artikel
Neueste Kommentare
Anzeigen
iOS Firmware
iPhone4,1_5.0.1_9A406_Restore.ipsw
iOS: 5.0.1 iDevice: iPhone 4S Link Status: OK
Jailbreak Tool: Absinthe, cinject
AppleTV2,1_4.4.4_9A406a_Restore.ipsw
iOS: 4.4.4 iDevice: Apple TV 2 Link Status: OK
Jailbreak Tool: Seas0nPass 0.8.1
AppleTV2,1_4.4.3_9A405l_Restore.ipsw
iOS: 4.4.3 iDevice: Apple TV 2 Link Status: OK
Jailbreak Tool: Seas0nPass 0.8.1
iPod4,1_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPod Touch 4G Link Status: OK
Jailbreak Tool: Sn0wbreeze, Redsn0w
iPod3,1_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPod Touch 3G Link Status: OK
Jailbreak Tool: Sn0wbreeze, Redsn0w
iPhone4,1_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPhone 4S Link Status: OK
Jailbreak Tool: Absinthe, cinject
iPhone3,3_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPhone 4 - Verizon Link Status: OK
Jailbreak Tool: Sn0wbreeze, Redsn0w
iPhone3,1_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPhone 4 Link Status: OK
Jailbreak Tool: Sn0wbreeze, Redsn0w
iPhone2,1_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPhone 3GS Link Status: OK
Jailbreak Tool: Sn0wbreeze, Redsn0w
iPad2,2_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPad 2 - GSM Link Status: OK
Jailbreak Tool: Absinthe, cinject
iPad2,1_5.0.1_9A405_Restore.ipsw
iOS: 5.0.1 iDevice: iPad 2 - WiFi Link Status: OK
Jailbreak Tool: Absinthe, cinject
Jailbreak und Helfer Tools
Redsn0w (0.9.10b5b) - MacOSX
iOS: 5.0, 5.0.1
iDevice: iPad 1, iPhone 4, iPhone 3GS, iPod Touch 4G, iPod Touch 3G
Version: 0.9.10b5b
Description: Jailbreak Tool fuer MacOSX
Kategorie: Jailbreak Tools - MacOSX

Redsn0w (0.9.10b5b) - Windows
iOS: 5.0, 5.0.1
iDevice: iPad 1, iPhone 4, iPhone 3GS, iPod Touch 4G, iPod Touch 3G
Version: 0.9.10b5b
Description: Jailbreak Tool fuer Windows
Kategorie: Jailbreak Tools - Windows

Absinthe (0.4) - Linux
iOS: 5.0, 5.0.1
iDevice: iPad 2, iPhone 4S
Version: 0.4
Description: Untethered Jailbreak iPad 2 und iPhone 4S
Kategorie: Jailbreak Tools - Linux

Absinthe (0.4) - Windows
iOS: 5.0, 5.0.1
iDevice: iPad 2, iPhone 4S
Version: 0.4
Description: Untethered Jailbreak iPad 2 und iPhone 4S
Kategorie: Jailbreak Tools - Windows

Absinthe (0.4) - MacOSX
iOS: 5.0, 5.0.1
iDevice: iPad 2, iPhone 4S
Version: 0.4
Description: Untethered Jailbreak iPad 2 und iPhone 4S
Kategorie: Jailbreak Tools - MacOSX

Redsn0w (0.9.10b5) - MacOSX
iOS: 5.0, 5.0.1
iDevice: iPad, iPhone, iPod
Version: 0.9.10b5
Description: Jailbreak Tool fuer MacOSX
Kategorie: Jailbreak Tools - MacOSX
Helfer Tools
- Jailbreak & Unlock Wizard
- Download iOS
Anzeigen
Top Apps
Zitate von Steve Jobs

I'm an optimist in the sense that I believe humans are noble and honorable, and some of them are really smart. I have a very optimistic view of individuals. As individuals, people are inherently good. I have a somewhat more pessimistic view of people in groups. And I remain extremely concerned when I see what's happening in our country, which is in many ways the luckiest place in the world. We don't seem to be excited about making our country a better place for our kids. (Steve Jobs, 1955-2011)
Anzeigen