Kopfzeile


© Mai 2021, Letzte Änderung 29.05.21

--- still under construction ---

Übersicht

Überschrift 1

Zum Anfang

Virenscanner, Rootkitsuche www.Avast.com aus Tschechien ist kostenlos scancl vom deutschen Unternehmen Avira besitzt eine 30 Tage Lizenz. ClamAV ClamAV ist Open Source; die Log-Datei befindet sich unter /var/log/clamav/clamav.log Für Updates Port 3310 wird benötigt. Siehe /etc/clamav/clamd.conf (bei mir nicht vorhanden?) -r recursive -v verbose -i nur infizierte Dateien ausgeben --remove default no -l path/report Scan Report in Datei „report“ --move move infected -h help su apt-get install clamav clamscan -r /home mkdir /home/suspect clamscan -r -i --move=/home/suspect clamscan -r -i --exclude-dir='^/sys|^/proc|^/dev|^/lib|^/bin|^/sbin' / Die Update Konfiguration der Virendatenbank steht in folgender Datei. Evtl. ist „Example“ mit # auszukommmentieren. nano /etc/clamav/freshclam.conf SafeBrowsing yes vorher SafeBrowsing false 11.11.18 TCPSocket 3310 TCPAddr 127.0.0.1 Neustart von freshclam und clamd erforderlich, Signaturen müssen aktualisiert werden. su /etc/init.d/clamav-freshclam restart [ok] Restarting... service clamav-daemon restart Failed to restart clam-daemon.service: Unit clam-daemon.service failed to load: No such file or directory. Virensignatur aktualisieren geschieht über: freshclam ERROR: Parse error at line 29: Unknown option TCPSocket ERROR: Can't open/parse the config file /etc/clamav/freshclam.conf Ein Daemon um Aufrufe zur Virensuche von anderen Programmen zu erhalten und automatischer Aktualisierung wird wie folgt konfiguriert. Bei Problemen siehe Logdatei /var/log/clamav/freshclam.log Zusätzlich sinnvoll ist es die Paketquelle clamav-unofficial-sigs zu installieren (bessere Malware Phishing Erkennungsrate) su apt-get install clamav-daemon dpkg-reconfigure clamav-base automatische Verwaltung von /etc/clamav/clamd.conf? ja Fernzugriff TCP oder lokal UNIX? UNIX Unix Socket /var/run/clamav/clamd.ctl Benutzergruppe clamav zugriffmodus 666 Großzügiger Umgang mit übrig gebliebenen Socket-Dateien? ja Email-Überprüfung ja Überprüfung von Archiven? ja maximal zugelassene Datenstromlänge 25MB symbolischen Verweisen folgen Verzeichnistiefe 15 symbolischen Verweisen folgen nein Stopp des Thread-Scanners 180 Sec Anzahl der Threads 12 Erlaubte Anzahl Wartender Verbindungen 15 syslog nutzen ja Protokolldatei /var/log/clamav/clamav.log Protokoll mit Zeitangabe? Ja Selbsttest Zeitspanne 3600 sec Benutzername unter der Clamav-Daemon laufen soll clamav Benutzergruppen für ClamAV-Daemon a b m Bytecode aus Datenbak lesen? Ja Bytecode Sicherheitsstufe TrustSigned Timeout für Bytecode 60000 msec Ergebnis der Konfiguration steht dann in: su nano /etc/clamav/clamd.conf Für Thunderbird müssen noch 2 Zeilen clamd.conf hinzugefügt werden. TCPSocket 3310 TCPAddr localhost Dies wird durch Lauf von dpkg-reconfigure wieder überschrieben! Überprüfung, ob der Updater freshclam oder Daemon clamd noch laufen s aux | grep clam clamav 3946 0.0 2.8 245424 211840 ? Ssl 20:10 0:00 /usr/sbin/clamd clamav 4199 0.7 0.0 14064 1820 ? Ss 20:10 0:06 /usr/bin/freshclam -d --quiet Überprüfung ob der Daemon noch läuft, bzw. ihn manuell starten Auf gleiche Art und Weise den Updater per Hand starten /etc/init.d/clamav-daemon status [ ok ] clamd is running. /etc/init.d/clamav-daemon start [....] Starting ClamAV daemon: clamd /usr/sbin/clamd already running. . ok su /etc/init.d/clamav-freshclam start HAVP – HTTP Antivirus Proxy (Browser-Schutz) su Apt-get install havp nano /etc/havp/havp.config /etc/init.d/havp restart http://www.server-side.de/ clamdrib LIN (e-mail Schutz) Graphische Oberfläche apt-get install clamtk Diese Oberfläche läuft unabhängig von clamav-daemon! Am Besten weg lassen... GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed XFCE Desktop Anwendungsmenü Einstellungen Sitzung und Startverhalten LXPolKit de-aktivieren Fail2ban Problem: Immer wenn ich den Computer einschaltete blinkte aufgeregt der Switch für mehrere Minuten. su apt install tcpdump wireshark wlan = wlp36s0 tcpdump -i enp37s0 -A -s 0 -Z a1 -w dump3.txt Untersuchung mit Wireshark ergab dass folgender Verkehr statt fand. Von 104.16.18x.138 port 80 192.168.178.47 port 80 192.168.178.47 port 34522 104.16.18x.138 port 80 = cloudflare 104.16.18x.138 port 80 192.168.178.47 port 34522 192.168.178.47 port 34522 104.16.18x.138 port 80 su apt install fail2ban cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local enabled = true /etc/init.d/fail2ban.restart [....] Restarting fail2ban (via systemctl): fail2ban.serviceJob for fail2ban.service failed because the control process exited with error code. See "systemctl status fail2ban.service" and "journalctl -xe" for details. nano /var/log/fail2ban.log dort steht nichts drinn journalctl -xe Zeigt Problem mit Wlan netstat -aon zeigt an welche Ports offen sind https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04 Iptables Firewall Eine default firewall könnte wie folgt aussehen. Erlaube bereits etablierte Verbindungen Verkehr vom Server selber Verkehr zum SSH Port Verkehr zum Web-Server Port su iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT SSH iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT iptables -A INPUT -j DROP apt install iptables-persistent dpkg-reconfigure iptables-persistent speichert Regel in /etc/iptables/rules.v4 iptables -S iptables -L https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-14-04 Rootkit Hunter Su apt-get install rkhunter rkhunter --version 1.4.2 rkhunter --update Erster Scan mit folgenden Befehl von einen sauberen System (z.B. USB-Stick) rkhunter -c --enable all Automatisierung über crontab – einfache Variante nano /etc/crontab 50 22 * * * root /usr/bin/rkhunter –cronjob 22:50 ; an jeden Tag, jeden Monat; jeden Wochentag selbst geschriebenes Script su nano /home/a4/rkhunter_chk.sh #!/bin/sh ( rkhunter --versioncheck rkhunter --update rkhunter -c --cronjob -report-warnings-only ) | mail -s 'rkhunter ' gerald.deppe@web.de Wöchentlich Aufgerufen per Crontab su crontab -e 0 20 * * 7 /home/a4/rkhunter_chk.sh 20:00; jeden Tag, jeden Monat; jeden Sonntag Chkrootkit su apt-get install chkrootkit Aufruf vom USB-Stick chkrootkit -r /media/sdc4 Täglicher Aufruf über crontab 0 21 * * * root (cd /usr/sbin; ./chkrootkit 2>&1 | mail -s "chkrootkit " gerald.deppe@web.de) 21:00; jeden Tag, jeden Monat, jeden Wochentag PFire – Firewall auf Intel, AMD oder ARM-Hardware http://wiki.ipfire.org/ opnsense Vom USB-Stick „vga“ installiert auf 160GB Laptop-Platte ada0: HTS543216L9SA0 First boot username root opnsense VLAN no WAN ue0 50:3f:56:01:49:77 USB Ethernet 192.168.178.36/24 von FB3370 bekommen WLAN ath0 c4:6e:1f:5b:5d:ca Atheros 9220 LAN re0 00:01:80:68:28:05 Realtek 8168 192.168.1.1/24 via console folgendes korrigieren nano /etc/fstab primary partition rw → rw,noatime Update from console danach ging weboberfläche 192.168.1.1 Hostename Fbplus prim DNS 192.168.0.1 (Hitron Router) sec. DNS 91.198.174.192 (Wikimedia) Siehe auch: ClearOS, IPCop, Zentyal S.; Monowall, pfSense, Smoothwall, final verdict; Endian; Devil-Linux; Vyatta; Iptables; Shorewall; UFW; redwall; sentry; PeerGuardian; http://www.auditmypc.com/firewall-test.asp Server hardening https://www.cyberciti.biz/tips/linux-security.html Appamor Siehe http://wiki.debian.org/AppArmor/HowTo z.B. Schutz für Browser Haupt-Programm installieren apt-get install apparmor apparmor (2.7.103-4) wird eingerichtet ... [....] Starting AppArmor profiles:[....] Mounting securityfs on /sys/kernel/security...[info] Insufficient privileges to change profiles.. failed! invoke-rc.d: initscript apparmor, action "start" failed. [....] Reloading AppArmor profiles:[info] AppArmor not available as kernel LSM.. failed! invoke-rc.d: initscript apparmor, action "reload" failed. Profile Installieren apt-get install apparmor-profiles [....] Reloading AppArmor profiles:[info] AppArmor not available as kernel LSM.. failed! invoke-rc.d: initscript apparmor, action "reload" failed. Utilities installieren apt-get install apparmor-utils AppArmor aktivieren indem Zeile in /etc/default/grub geändert wird perl -pi -e 's,GRUB_CMDLINE_LINUX="(.*)"$,GRUB_CMDLINE_LINUX="$1 apparmor=1 security=apparmor",' /etc/default/grub $ update-grub $ reboot Gucken welche Profile confined sind ps auxZ | grep -v '^unconfined' Einrichten mit. Appamor-utils Syntax: aa- Status mit: aa-status AppArmor available in kernel. AppArmor not enabled. (Kernel not booted with "security=apparmor"?) aa-audit /etc/apparmor.d/usr.sbin.avahi-daemon Liste mit Pfad aa-unconfined Verschiedene Modi: Enforce-Modus: Unterbindet alle Aktionen die verstoßen Complain-Modus: Darf verbotene Aktionen durchführen, wird allerdings protokolliert Audit-Modus: ... Profile liegen in /etc/apparmor.d/ https://kb.paessler.com/en/topic/29403-monitoring-processes-in-linux Monitoring processes in Linux

Quellen

hifi-selbstbau.de   Lautsprecher Grundlagen: Gehäuse, Frequenzweiche, Raumakustik, etc.

Zum Anfang