Server Administration

Ein Schritt zur Absicherung eines Servers (egal ob vServer, vds oder dedizierter Server) ist es, regelmäßig Tools laufen zu lassen, die nach s.g. Rootkits suchen. Wir möchten hier die Installation und Konfiguration von 2 bekannten Vertretern dieser “Rootkit-Hunter” vorstellen:

2. RKhunter installieren

# ggf. alte Dateien entfernen
cd /usr/local/src
rm -fR rkhunter*

# rkhunter herunterladen + entpacken
wget http://ovh.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.2.9.tar.gz
tar zxfv rkhunter-1.2.9.tar.gz

# Rechte auf root ändern
chown -R root.root rkhunter-1.2.9

# rkhunter installieren
cd rkhunter-1.2.9
./installer.sh

# Update ausführen, um ggf. die aktuellste Version zu laden
rkhunter --update

# RKhunter das erste Mal ausführen
/usr/local/bin/rkhunter -c --nocolors --createlogfile --skip-keypress

Auf einem “jungfräulichen” System sollte rkhunter keine Probleme oder Infektionen finden!

Es ist empfehlenswert, rkhunter regelmäßig laufen zu lassen, am besten als Cronjob einrichten:

# crontab editieren
crontab -e

# ganz unten eine neue Zeile einfügen und folgendes einfügen:
@hourly rkhunter --update; /usr/local/bin/rkhunter -c --cronjob --nocolors --report-mode --createlogfile --skip-keypress | mail -s "[servername] rkhunter output" mail@serveradmin

# speichern und beenden
[esc] :wq [enter]

Ein Schritt zur Absicherung eines Servers (egal ob vServer, vds oder dedizierter Server) ist es, regelmäßig Tools laufen zu lassen, die nach s.g. Rootkits suchen. Wir möchten hier die Installation und Konfiguration von 2 bekannten Vertretern dieser “Rootkit-Hunter” vorstellen:

1. chkrootkit installieren

# Verzeichnis zum Download erstellen
mkdir -p /usr/local/src
cd /usr/local/src

# ggf. vorhandenes älteres Archiv löschen
rm -f chkrootkit.tar.gz

# download chkrootkit und entpacken
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxfv chkrootkit.tar.gz

# Dateirechte einstellen auf root
chown -R root.root chkrootkit-0.48

# chkrootkit installieren
cd chkrootkit-0.48
make sense

# alten symlink entfernen + neuen setzen
cd ..
rm -f chkrootkit
ln -s chkrootkit-0.48 chkrootkit

# alte Versions Dateien und Archiv löschen, wird nicht mehr benötigt
rm -rf chkrootkit-0.47
rm -f chkrootkit.tar.gz

# chkrootkit zum ersten Mal ausführen
cd chkrootkit
./chkrootkit

Auf einem “jungfräulichen” System sollte chkrootkit keine Probleme oder Infektionen finden!

Es ist empfehlenswert, chkrootkit regelmäßig laufen zu lassen, am besten als Cronjob einrichten:

# crontab editieren
crontab -e

# ganz unten eine neue Zeile einfügen und folgendes einfügen:
@hourly cd /usr/local/src/chkrootkit; ./chkrootkit | mail -s "[servername] chkrootkit output" mail@serveradmin

# speichern und beenden
[esc] :wq [enter]

Auf einem vServer tauchte nach einem Confixx Update folgende Fehlermeldung auf:

Warning: include(/var/www/confixx/events.inc.php) [function.include]: failed to open stream: Permission denied in /var/www/confixx/html/events.inc.php on line 2
Warning: include() [function.include]: Failed opening '/var/www/confixx/events.inc.php' for inclusion (include_path='.:/var/www/confixx/html/include:/var/www/confixx/html:/var/www/confixx/html/PEAR') in /var/www/confixx/html/events.inc.php on line 2

Ursache:

Die Rechte der Confixx events.inc.php Datei sind falsch:
server11:~# ls -la /var/www/confixx/events.inc.php
-r--r----- 1 confixx confixx 802 Dec 28 01:42 /var/www/confixx/events.inc.php

Lösung:

/var/www/confixx/events.inc.php muss von allen lesbar sein:

server11:~# chmod 444 /var/www/confixx/events.inc.php

Diese Fehlermeldungen ist insbesondere bei vServern anzutreffen und ist i.d.R. mit dem (unregelmäßigen) Ausfall von einzelnen Diensten (z.B. Mail) verbunden.

Im Log sieht es z.B. wie folgt aus:

Oct 12 10:09:59 server master[21679]: fatal: master_spawn: exec /usr/lib/postfix/bounce: Resource temporarily unavailable
Oct 12 10:09:59 server master[21680]: fatal: master_spawn: exec /usr/lib/postfix/smtp: Resource temporarily unavailable
Oct 12 10:09:59 server postfix/qmgr[3212]: fatal: qmgr_active_defer: rename 0C57D1EC31026 from active to deferred: Cannot allocate memory
Oct 12 13:01:03 server postfix/qmgr[14244]: fatal: socket: Cannot allocate memory
Oct 12 13:01:03 server postfix/smtp[32170]: fatal: accept connection: Cannot allocate memory
Oct 12 13:01:45 server master[7680]: fatal: master_spawn: exec /usr/lib/postfix/cleanup: Resource temporarily unavailable
Oct 12 13:01:45 server postfix/master[3203]: fatal: event_loop: select: Cannot allocate memory
Oct 12 13:01:46 server postfix/smtpd[7652]: fatal: unable to connect to the public cleanup service
Oct 12 13:03:27 server postfix/smtpd[7651]: fatal: connect #11 to subsystem public/cleanup: Connection refused
Oct 12 13:03:27 server postfix/smtpd[7653]: fatal: connect #11 to subsystem public/cleanup: Connection refused
Oct 12 15:08:23 server postfix/smtp[5599]: fatal: open active 966EA1EC3004C: Too many open files in system
(more…)

Hier findet ihr alles mögliche rund um die Server Administration (vor allem unter Linux, aber auch Windows wird vorkommen). Hauptsächlich dreht es sich um Server, vServer mit Debian, Confixx & Co. Es werden aus eigener Erfahrung heraus häufig auftretende Fehlermeldungen beschrieben sowie Tipps zur Lösung gegeben - alles natürlich OHNE jegliche Gewähr!!!