staging.inyokaproject.org

buck-security

Archivierte Anleitung

Dieser Artikel wurde archiviert. Das bedeutet, dass er nicht mehr auf Richtigkeit überprüft oder anderweitig gepflegt wird. Der Inhalt wurde für keine aktuell unterstützte Ubuntu-Version getestet. Wenn du Gründe für eine Wiederherstellung siehst, melde dich bitte in der Diskussion zum Artikel. Bis dahin bleibt die Seite für weitere Änderungen gesperrt.


Anmerkung: Das Projekt wird scheinbar nicht mehr weiter entwickelt, die letzte Version des Programms datiert auf 2015.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Wiki/Icons/terminal.png buck-security 🇬🇧 ist ein in Perl entwickelter Sicherheits-Scanner für Ubuntu und Debian, der einen schnellen Überblick über die Sicherheit eines Systems ermöglicht. buck-security wurde ursprünglich für Server entwickelt, kann aber auch auf Desktop-Systemen eingesetzt werden. Es existiert allerdings keine grafische Oberfläche.

Im Gegensatz zu anderen Sicherheits-Scannern wie Tiger oder Lynis beschränkt sich buck-security auf einige wenige Sicherheitstests und nimmt deshalb für sich in Anspruch, auch für normale Anwender hilfreich zu sein.

Folgende Tests sind momentan in buck-security integriert:

Experten-Info:

Alleine durch die Benutzung von buck-security kann die umfassende Sicherheit eines Systems nicht gewährleistet werden. Vielmehr sollte es nur ein Baustein in einem umfassenden Sicherheitskonzept (siehe auch Sicherheits 1x1) sein. Dazu können auch weitere Werkzeuge wie rkhunter oder chkrootkit zählen.

Installation

Das Programm ist nicht in den offiziellen Paketquellen enthalten. Da es sich um ein Perl-Skript handelt, ist die manuelle Installation sehr einfach.

Manuell

Zuerst lädt man sich die aktuelle Version des Programms von der Projektseite 🇬🇧 ⮷ als Archivdatei (ZIP) herunter und entpackt [1] es in ein Verzeichnis eigener Wahl.

Hinweis!

Fremdsoftware kann das System gefährden.

Bedienung

Anschließend kann buck-security im Terminal [2] gestartet werden. Dazu werden Root-Rechte [3] benötigt:

cd buck-security-master
sudo ./buck-security [OPTION] 

Optionen (Auswahl)
--help Hilfe anzeigen
--log Ausgabe wird auch in ein Protokoll geschrieben
--make-checksums erstellt neue Prüfsummen wichtiger Systemdateien
--output=1 gekürzte Ergebnis-Ausgabe, nur Test-Ergebnisse
--output=2 normale Ergebnis-Ausgabe, mit Informationen zu den Test-Ergebnissen
--output=3 wie normale Ergebnis-Ausgabe, zeigt aber auch Fehlermeldungen an

Konfiguration

Die Konfigurationdateien von buck-security befinden sich im Verzeichnis conf. Die Hauptkonfigurationsdatei ist buck-security.conf. Diese Textdatei kann man mit einem Editor öffnen und bearbeiten [4]. Hier können die durchzuführenden Tests festgelegt werden, außerdem Einstellungen zur Erstellung der Prüfsummen sowie zu den zu suchenden Angriffsprogrammen.

Ausnahmen

Im Ordner conf/whitelists findet sich für jeden Test eine Konfigurationsdatei, in der Ausnahmen für diesen Test hinzugefügt werden können. Standardmäßig sind auch schon einige Ausnahmen eingetragen, um ungerechtfertigte Warnungen des Programms zu verhindern.

So ist beispielsweise für den Test, der nach Administratoren-Accounts sucht, in der zugehörigen Ausnahmedatei superusers-whitelist.conf, bereits root eingetragen.

Ausnahmen hinzufügen

Möchte man nun selbst Ausnahmen hinzufügen, so kann man dies in der entsprechenden Konfigurationsdatei im Ordner conf/whitelist machen. So kann man beispielsweise weitere Setgid-Programme in sgids-whitelist.conf eintragen, z.B.:

/usr/sbin/postqueue
/usr/sbin/postdrop

Die Ausnahmen sind dabei immer identisch mit der Ausgabe des Programms. Um beispielsweise SSH als Ausnahme für den Test, der nach lokalen Diensten sucht, hinzuzufügen, trägt man unter conf/whitelists/services-whitelist.conf ein:

22:sshd:LISTEN_ALL

Wildcards bei Ausnahmen

Für alle Ausnahmen kann auch das *-Zeichen als Wildcard verwendet werden. So führt der Eintrag:

/usr/sbin/*

in der Konfigurationsdatei für die Suche nach Setgid-Programmen z.B. dazu, dass dieser Test bei keinen Programmen in /usr/sbin/ Alarm schlägt.

Achtung!

Ausnahmen im Allgemeinen und Wildcards im Besonderen sollten deshalb nur äußerst sorgfältig eingesetzt werden. Also wirklich nur dann, wenn man sich sicher ist, dass es sich um einen falschen Alarm handelt, d.h. dieser Alarm nicht zu verhindern ist (weil z.B. das Programm das Setgid-Bit benötigt oder gewisse Dienste laufen dürfen).

Diese Revision wurde am 9. Januar 2021 12:35 von noisefloor erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, Server