https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Linux_Sicherheit_-_Protokollierung 2026-05-16T20:33:57Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Linux_Sicherheit_-_Protokollierung&diff=65499&oldid=prev 2025-11-12T08:54:43Z

<p>Die Seite wurde neu angelegt: „= Linux Sicherheit - Protokollierung = *Protokollierung (Logging) ist ein unverzichtbarer Bestandteil der Systemsicherheit. Nur durch vollständige und unverä…“</p> <p><b>Neue Seite</b></p><div>= Linux Sicherheit - Protokollierung =<br /> *Protokollierung (Logging) ist ein unverzichtbarer Bestandteil der Systemsicherheit. Nur durch vollständige und unveränderliche Aufzeichnung von Ereignissen können Sicherheitsvorfälle erkannt, nachvollzogen und forensisch analysiert werden. Moderne Linux-Systeme setzen auf systemd-journald als zentrales Logging-Framework.*<br /> <br /> = Grundlagen =<br /> :*Logs dienen der Nachvollziehbarkeit von Systemereignissen, Authentifizierungen, Dienstaktivitäten und Fehlern.<br /> :*Jede Sicherheitsstrategie ist wertlos, wenn keine ausreichende Protokollierung vorhanden ist.<br /> :*Ziele der Protokollierung:<br /> ::*Erkennen von Angriffen und Fehlkonfigurationen.<br /> ::*Nachweis von Benutzeraktionen (Accountability).<br /> ::*Forensische Analyse nach einem Vorfall.<br /> :*Seit systemd ist journald die Standardkomponente, klassische rsyslog- oder syslog-ng-Dienste sind optional.<br /> <br /> = systemd-journald Grundlagen =<br /> :*systemd-journald sammelt Meldungen aus Kernel, Systemdiensten, Anwendungen und der Konsole.<br /> :*Alle Meldungen werden binär und manipulationssicher in /var/log/journal/ gespeichert.<br /> :*Journald ersetzt herkömmliche Textlogs und unterstützt strukturierte Felder (Priority, Unit, PID, Message, etc.).<br /> <br /> = Journald-Status und Konfiguration prüfen =<br /> *systemctl status systemd-journald<br /> *journalctl --verify<br /> *cat /etc/systemd/journald.conf<br /> :*Standardmäßig werden Logs persistent in /var/log/journal gespeichert.<br /> :*Falls das Verzeichnis fehlt, werden Logs nur temporär im RAM gehalten – und gehen beim Neustart verloren.<br /> *mkdir -p /var/log/journal<br /> *systemd-tmpfiles --create --prefix /var/log/journal<br /> *systemctl restart systemd-journald<br /> <br /> = Journald Konfigurationsparameter =<br /> *vi /etc/systemd/journald.conf<br /> &lt;pre&gt;<br /> [Journal]<br /> Storage=persistent<br /> Compress=yes<br /> Seal=yes<br /> SystemMaxUse=500M<br /> MaxFileSec=1month<br /> ForwardToSyslog=no<br /> &lt;/pre&gt;<br /> :*Storage=persistent: Logs dauerhaft speichern.<br /> :*Compress=yes: ältere Log-Dateien komprimieren.<br /> :*Seal=yes: kryptographische Prüfsummen zur Manipulationserkennung.<br /> :*SystemMaxUse: Speicherplatzlimit.<br /> :*MaxFileSec: maximale Zeitspanne pro Log-Datei.<br /> *systemctl restart systemd-journald<br /> <br /> = Logeinträge anzeigen =<br /> *journalctl<br /> *journalctl -xe<br /> *journalctl -b<br /> *journalctl -p 3 -xb<br /> *journalctl -u ssh<br /> *journalctl _PID=1234<br /> :*Logs lassen sich nach Priorität, Dienst, Zeit oder Benutzer filtern.<br /> :*„-b“ zeigt nur Meldungen seit dem letzten Boot, „-p 3“ filtert nach Priorität (z. B. Fehler und kritische Einträge).<br /> <br /> = Filterung und Analyse =<br /> *journalctl -p err..alert<br /> *journalctl --since &quot;2025-11-01&quot; --until &quot;2025-11-11&quot;<br /> *journalctl _SYSTEMD_UNIT=sshd.service<br /> :*Journald erlaubt komplexe Filterabfragen, ideal für sicherheitsrelevante Analysen.<br /> :*Auch kombinierte Filter sind möglich:<br /> *journalctl _UID=0 PRIORITY=3 -r<br /> :*Zeigt die letzten Root-bezogenen Fehlermeldungen rückwärts sortiert.<br /> <br /> = Weiterleitung und zentrale Sammlung =<br /> :*Journald kann Ereignisse an zentrale Systeme weiterleiten (z. B. journald-remote, journal-gatewayd oder syslog-Forwarding).<br /> *systemctl enable --now systemd-journal-remote<br /> *systemctl enable --now systemd-journal-gatewayd<br /> :*Logs können verschlüsselt über HTTPS oder HTTP abgerufen werden.<br /> :*Kombination mit SIEM-Systemen (z. B. Wazuh, Graylog, ELK) möglich.<br /> :*Beispiel: Journald-Forwarding auf externen Server:<br /> *journalctl -o export | ssh logserver &quot;journalctl --import&quot;<br /> <br /> = Manipulationsschutz und Integrität =<br /> :*Journald unterstützt kryptografisches Signieren („Seal“) der Logs.<br /> :*Manipulationen führen zu Integritätsfehlern, die mit folgendem Befehl erkannt werden:<br /> *journalctl --verify<br /> :*Für hohe Sicherheitsanforderungen kann journald-Logrotation mit systemd-cat kombiniert werden, um Anwendungen sicher zu protokollieren.<br /> *systemd-cat echo &quot;Security event: user login failure&quot;<br /> <br /> = Protokollierung sicherheitsrelevanter Ereignisse =<br /> :*Überwachung von Authentifizierungen:<br /> *journalctl _COMM=sshd<br /> *journalctl -t sudo<br /> :*Überwachung fehlgeschlagener Logins:<br /> *journalctl -m USER_LOGIN --grep &quot;FAILED&quot;<br /> :*Überwachung von sudo-Nutzung:<br /> *journalctl -u sudo --since today<br /> :*Erkennung von Root-Eskalationen:<br /> *journalctl _UID=0 --since yesterday<br /> <br /> = Logrotation und Speicherverwaltung =<br /> *journalctl --disk-usage<br /> *journalctl --vacuum-size=500M<br /> *journalctl --vacuum-time=30d<br /> :*Alte Logs regelmäßig rotieren, um Speicherüberlauf zu verhindern.<br /> :*Automatisierung über systemd-Timer empfohlen.<br /> <br /> = Integration in Überwachungssysteme =<br /> :*Journald kann direkt in Security-Tools eingebunden werden:<br /> :*Fail2ban: wertet journald-Logs aus, um IPs bei Fehlversuchen zu blockieren.<br /> *apt install fail2ban -y<br /> *vi /etc/fail2ban/jail.local<br /> &lt;pre&gt;<br /> [sshd]<br /> enabled = true<br /> backend = systemd<br /> maxretry = 5<br /> findtime = 600<br /> bantime = 1800<br /> &lt;/pre&gt;<br /> *systemctl enable --now fail2ban<br /> :*Suricata und Wazuh können journald-Logs in Echtzeit auswerten.<br /> <br /> = Quick Checklist =<br /> :*Logs dauerhaft speichern (Storage=persistent).<br /> :*Integrität aktivieren (Seal=yes).<br /> :*SystemMaxUse begrenzen und regelmäßig rotieren.<br /> :*Nur autorisierte Benutzer dürfen Logs lesen (Gruppe: systemd-journal).<br /> :*Sicherheitsrelevante Logs (sshd, sudo, kernel) regelmäßig auswerten.<br /> :*Logs zentral sammeln oder mit SIEM integrieren.<br /> :*Fail2ban oder ähnliche Tools für automatisches Blocking nutzen.<br /> <br /> = Zusammenfassung =<br /> :*Protokollierung ist die Basis für Transparenz und Nachvollziehbarkeit in Linux-Systemen.<br /> :*Mit systemd-journald steht ein leistungsfähiges, manipulationssicheres Framework zur Verfügung.<br /> :*Nur wer überwacht, kann Angriffe erkennen – ein System ohne Logs ist blind.<br /> :*Ziel: manipulationssichere, vollständige und zentral auswertbare Logdaten als Bestandteil jedes Sicherheitskonzepts.</div>

Thomas.will