Moin !

Ich arbeite mich gerade in die Thematik ein und stehe gerade vor der großen Frage, welche Verzeichnise bzw, Dateien muss ich unter Debian Überwachung einbinden ? Ich kann zwar / in die Überwachung einbinden - was natürlich keinen Sinn ergibt - aber auch deswegen, da der Scanvorgang dann "etwas" dauern dürfte :)

Habt ihr ein paar Tipps welche Verzeichnisse oder Dateien ich auf gar keinen Fall vergessen darf ?!

Gruß
Exe

Im Prinzip musst Du jede Datei einbinden, die nicht expliziet von Benutzers geändert werden soll.

... und ja, ein solches System bedarf Pflege und bringt einiges an Arbeit mit sich...

Es gibt auf dem Server lediglich einige Anwendungen die unter /opt laufen und wo sich etwas "ausserhalb" des Betriebssystems ändert. Ich möchte natürlich vermeiden, Systemdateien in die Prüfung einzubinden, die keine Relevanz haben und eine hohe Last erzeugen, daher meine Frage ob ich vom root Abstand nehmen kann oder ob ich da durch muss :)

PS: Ja, das es Arbeit bedeutet ist mir klar, soll ja meine Aufgabe sein :)

Tja, es ändert sich aber auch wirklich nur außerhalb des OS etwas, wenn keine der Anwendungen irgendeine Exploit-Lücke hat... - wenn es also möglich ist, über einen der Serverdienste Änderungen am System zu machen, Du das System aber nicht überwachst - kannst Du die Überwachung auch gleich sein lassen :-)

Ich kenne Samhain nicht direkt - lt. Beschreibung ist es aber ähnlich wie AIDE und Konsorten - und bei AIDE überwachen wir das komplette System. Und dann muss eben manuell oder automatisch gegenüber einen sauberen Referenzsystem abgegleichen werden, ob die Änderung ok ist oder nicht...

(daß solche Prüfungen eigentlch nur von einem Offline-System aus vertrauenswürdig sind lassen wir mal außen vor)

Hmm, ok ich werde mal mein Testsystem ärgern und ein paar Performance test laufen lassen. Die eigenen Anwendungen stehen nicht unter meiner Fuchtel. Ich kann nur schauen, ob jemand versucht dort auszubrechen.

Ich habe für den Testlauf :
/dev
/proc
/sys
/tmp
/var

ausgeschlossen, wobei ich /var noch gesondert behandeln werde.

Sollte ich einer der ausgeschlossenen tunlichst mit in die Prüfung einbinden, wenn ja mit welcher Logik ?

PS: Ich taste mich da jetzt mal langsam ran :cool:

/tmp wird gern genommen, um irgendwelche Files zu parken, die dann "wie auch immer" anstatt von regulären Files genommen werden, damit andere zu überschreiben, in's ZielVZ zu schieben, ...

/var würde ich auch überprüfen - aber halt nicht alles, kommt drauf an, was sich dort bei Dir so alles rumtreibt...

Bei /tmp muss ich mir noch die Laufzeit der Anwendungen anschauen. /var ist bekanntlich recht flüchtig - mal schauen wie man das einfangen kann.

Das Referenzsystem ist allerdings ein sehr guter Gedankenanstoss - vielen, vielen Dank !

so flüchtig sind die Inhalte in /var gar nicht, wie man oft meint - je nach Diensten und Distribution finden sich da durchaus wichtige und relevante Daten drin...

(cron, mysql, Caches von Paketmanagern, ...)