Skip to content

Sicherheit geht vor - Parrot Security 3.8, Kali Linux 2017.2 und BlackArch Linux 2017.08.30

Letztes Quartal 2017, somit Zeit für ein Update von der Security Distro Front.

Parrot Security 3.8

parrot

Parrot 3.8 setzt inzwischen auf Debian 10 Buster und hat seinen Kernel auf 4.12 aktualisiert. Zusätzlich ist MATE 1.18, GCC 6.4 und 7.2, Java 9 und vieles mehr dazu gekommen.
Das Dateisystem ZFS wird nun unterstützt. Für Bitcoin Miner wurde Electrum, ein kleiner Bitcoin Client installiert. 


Ein DNS Problem vorheriger Versionen wurde behoben. Es wurde eine Round-Robin Methode implementiert, die zwischen den Parrot OpenNIC und den Standard DNS Servern wechselt.

Download


Kali Linux 2017.2

Kali_Linux

Die Nummer 1 der Security Distros bringt mit 2017.2 ein weiteres Rolling Release heraus. 

Sicherheitsexperten und Penetration-Tester dürfen sich über 1399 aktualisierte und 171 neue Pakete freuen. Als Highlight haben die Entwickler folgende Tools hervorgehoben:

  • hurl – Ein praktischer hexadezimal und URL Encoder bzw. Decoder
  • phishery – SSL fähige basic auth phishing URLs in ein .docx Word Datei injizieren
  • ssh-audit – SSH Server Audit
  • apt2 – Automatisiertes Penetrations Testing Toolkit, dass selbst scannt oder von anderen Scannern importieren kann.
  • bloodhound – Beziehungen im Active Directory darstellen
  • crackmapexec – Große Active Directory Netzwerke prüfen
  • dbeaver – Grafisches Tool für MySQL, PostgreSQL, Oracle, SQLite und weitere DBs
  • brutespray – Automatisch Standard Passwörter auf gefundenen Diensten testen


Ich persönlich finde Tinfoleak v2 interessant, dabei handelt es sich um ein Tool für Informationsgewinnung via Twitter. 

Auch das hier bereits erwähnte WPScan wurde auf 2.9.3 aktualisiert.


Alle Änderungen gibt der Changelog preis.

Download Kali


BlackArch 2017.08.30

blackarch

Drüben bei BlackArch wurde ebenfalls eine neue Version veröffentlicht.

Dabei sind 50 neue Tools, ein neuer Installer und ein aktueller Linux Kernel (4.12.8)
Die vorhandenen Programme wurden aktualisiert, auch die bestehenden Menüs (awesome, fluxbox, openbox) haben ein Update erhalten.

Download BlackArch

 

 


Bleibt noch die aktualisierte Übersicht, der hier bereits erwähnten Systeme.

Übersicht forensische Distributionen 10/17

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 5 70+ eigenes Repo Ubuntu Xfce
BlackArch Linux 2017-08-30 1750+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 3.0 100+ CLI LFS DWM
DEFT Zero 250+ Dart2 Lubuntu 14.04 Lxde
Kali Linux 2017.2 300+ ARM fähig Debian Testing Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.8 700+ Cloud fähig Debian Buster MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

apt vs. apt-get - Was ist der Unterschied?

Nicht erst seit Ubuntu 16.04 dürfte der apt Befehl bekannt sein, allerdings hat er seit dem einen höheren Bekanntheitsgrad erreicht.

Doch wo genau liegen die Unterschiede von apt und apt-get?

Beide basieren auf dpkg, dem Paketmanagement von Debian (Debian Package Manager).

APT (Advanced Package Tool) ist nichts weiter als ein Kommandozeilen Tool, welches mit dpkg interagiert. 

aptitude-apt-get-apt-Commands

Um Benutzern die Arbeit mit Paketen einfacher zu machen, wurde apt-get ins Leben gerufen, eine Weiterentwicklung davon ist apt. Beide können als Frontends für dpkg angesehen werden.


Das neuere apt bietet grafische Elemente (es lebe der farbige Fortschrittsbalken) und soll Kommandos wie apt-cache und apt-get unter einem Hut vereinen.

apt-fortschrittsbalken

Überblick apt Befehle

Einen Überblick der alten und neuen Befehle habe ich euch unten zusammengestellt.

apt vs. apt-get
apt Kommando apt-get Kommando Funktion
apt install apt-get install Pakete installieren
apt remove apt-get remove Pakete deinstallieren
apt list --upgradable -- Anstehende Updates anzeigen
apt list dpkg list Pakete auflisten
apt purge apt-get purge Pakete und Konfiguration entfernen
apt update apt-get update Repository aktualisieren
apt upgrade apt-get upgrade Anstehenden Pakete aktualisieren
apt full-upgrade apt-get dist-upgrade Anstehenden Pakete aktualisieren und deinstallieren
apt autoremove apt-get autoremove Nicht benötigte Pakete deinstallieren
apt search apt-cache search Pakete suchen
apt show apt-cache show Paketdetails anzeigen
apt edit-sources -- sources.list editieren

 

Ubuntu Landscape Standalone Server (LDS) 15.10 unterstützt nun Container

Die letzten Tage wurde Ubuntu 15.10 Wily Werewolf (Link) veröffentlicht.
Gleichzeitig wurde auch der zentrale Ubuntu Verwaltungs Server Landscape auf eine neue Version 15.10 gehoben.

ubuntu
Wie der alte 15.01 Server als standalone Version für zehn virtuelle und zehn feste Ubuntu Maschinen installiert wird, hatte ich bereits beschrieben (Artikel). Darum werde ich heute nur auf ein Update eingehen. Hier sollte allerdings auf das neue Lizenzmanagement geachtet werden.

Landscape Standalone LDS 15.10 unterstützt nur noch Container

Die standalone Version zeichnet sich dadurch aus, dass keine weiteren Kosten entstehen und ist somit für eine kleine Umgebung durchaus geeignet.

Ein genauer Blick auf die Änderungen in 15.10 offenbart jedoch Änderungen bei der freien Lizenz.

"Otherwise, a free license with 10+50 seats (bare metal plus LXC containers) will be used"

Das heißt freie virtuelle Lizenzen fallen komplett weg, dafür sind 50 Container dazu gekommen. Bei einer kleine Infrastruktur mit virtuellen und harten Maschinen sollte über ein Update auf die aktuelle Version gut nachgedacht werden, da diese nach einem Update eventuell nicht mehr ausreicht. Für Freunde von Containerlösungen dürfte die neue freie Lizenz allerdings sehr interessant sein.

Update auf Landscape Server 15.10

Hier nun der kurze aber praktische Hinweis auf das Update.

Voraussetzung für ein Update ist ein funktionierende LDS Version 15.01.

Landscape-15.10

Ist dies gewährleistet muss zunächst muss das aktuelle PPA im System hinterlegt werden.

sudo add-apt-repository ppa:landscape/15.10
    sudo apt-get update
    sudo apt-get dist-upgrade
    

The following packages will be upgraded:
  juju-core landscape-hashids landscape-server landscape-server-quickstart

Das Überschreiben von bestehenden Konfigurationsdateien sollte unterlassen werden.

Configuration file '/etc/landscape/service.conf'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.
   What would you like to do about it ?  Your options are:
    Y or I  : install the package maintainer's version
    N or O  : keep your currently-installed version
      D     : show the differences between the versions
      Z     : start a shell to examine the situation
 The default action is to keep your current version.
*** service.conf (Y/I/N/O/D/Z) [default=N] ? N

Die Installation verläuft in ihren Schritten voll automatisch und startet alle Dienste nach der Aktualisierung neu.

Probleme konnten keine festgestellt werden.

Nach der Installation steht das Entfernen des alten Repository an. 

sudo apt-add-repository --remove ppa:landscape/15.01

Landscape-15.10-Installation

Die Neuerungen des Landscape Servers 15.10

Die Highlights der neuen Version sind nicht überragend, aber auch nicht zu vernachlässigen.

  • Autopilot only supported on MAAS 1.8 or later
  • New charm to deploy Landscape
  • Juju deployed Landscape can be upgraded to future versions
  • HA (High Availability) cloud deployment
  • Openstack Kilo cloud deployment
  • Add hardware to existing cloud   

Die vollen Release Notes sind hier zu finden. Ein Blick in die volle Dokumentation lohnt ebenso.


Das könnte dich auch interessieren

Kali Linux 2.0 - Penetration Testing Suite im neuen Gewand

Kali Linux - Alles neu macht Version 2.0

Es wurde bereits vor Wochen mit einem Video angekündigt, nun ist die neue Version 2.0 der bekannten Linux Live CD für IT Sicherheit veröffentlicht worden. Die Entwickler der Security Live CD bezeichnen ihre neue Version als die wichtigste seit 2013.

kali-2.0


Das ist nicht weiter verwunderlich, denn neben den technischen Änderungen wie einem neuem 4.0 Kernel und Debian Jessie Backend, ist Kali 2.0 nun eine Rolling Distribution.
Das heißt Updates werden kontinuierlich ausgerollt, womit die Version 2.0 theoretisch die letzte Versionsnummer darstellt (siehe Windows 10).

Nicht nur im Backend gab es Veränderungen, auch das Frontend wurde weiter ausgebaut und unterstützt mit KDE, GNOME3, Xfce, MATE, e17, lxde and i3wm fast alles was das Desktopherz begehrt.

Neben der Unterstützung für neue Frontends wurde ein Wechsel zu GMOME3 vollzogen. Dadurch ist auch der Hardwareanspruch gestiegen, besonders im Hauptspeicherbereich. Eine schmalere Alternative bietet XFCE. (Kali Desktop anpassen).

Android und Raspberry Pi im Bann der Göttin

Im Maker- und Mobilbereich wurden alle Images auf die neue Version angehoben und stehen ab sofort zum Download bereit. Gleiches gilt für VMware und Virtualbox Images.

Kali-Linux-OnePlus

The Kali Linux Dojo

Um mit IT Forensik und Penetrationstesting richtig umgehen zu können, haben die Entwickler rund um Kali Linux einen fünfstufigen Workshop ins Leben gerufen. 
Voraussetzung dafür sind Linux Kenntnisse und performante Hardware. Die Lernziele bestehen unter anderem aus dem Umgang und dem Erstellen eigener Kali Builds. Wobei neben normalen ISO Images auch ARM Images erstellt werden. (mehr Infos gibt es hier)
 

Tschüss Metasploit, hallo Metasploit

Auf Bitten des Herstellers Rapid7, wurde das Metasploit Community  bzw. Pro Paket aus der Distribution entfernt. Auf das nützliche Paket muss jedoch nicht ganz verzichtet werden, da die OpenSource Variante weiterhin unterstützt wird. Der Startvorgang hat sich allerdings etwas geändert.

# Start the Postgresql Database
/etc/init.d/postgresql start

# Initialize the Metasploit Framework Database
msfdb init

# Run msfconsole
msfconsole

Update auf Kali Linux 2.0

Besitzer einer älteren Version können ohne weitere Probleme auf die aktuelle Distribution updaten.

nano /etc/apt/sources.list
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
apt-get update
apt-get dist-upgrade
reboot

Natürlich kann die komplette Version 2.0 auch als ISO heruntergeladen werden. 

Kali 2.0 Download

Rkhunter (Rootkit Hunter) und Chrootkit auf Ubuntu installieren, aktualisieren und konfigurieren

Linux Systeme gelten als relativ sichere Systeme, jedoch sind auch sie immer öfter von Backdoors oder Rootkits befallen (aktuelle Beispiele wären hier Jellyfish oder Ebury) 
Es kann somit nicht schaden die eigenen Systeme regelmäßig auf diverse Schädlinge zu untersuchen

Ein Tool, welches seit Langem für diesem Sektor zuständig ist, nennt sich Rkhunter (Rootkit Hunter).
Die OpenSource Software scannt nicht nur euer Linux System nach unerwünschten Gästen, sondern sucht das System auch nach veränderten Dateien oder offenen Ports ab. 

Auch diverse andere Sicherheitseinstellungen sind in den Tests enthalten. Eine Installation schadet somit sicherlich nicht.

rkhunter

Installation von Rkhunter auf Ubuntu 14.04 (Server)

Da Rkhunter in den Ubuntu Repositories enthalten ist, fällt ein Installation über die Paketverwaltung mehr als einfach aus.

sudo apt-get install rkhunter

In den Repositories von Ubuntu 14.04  ist die Version 1.4.0 enthalten, es kann aber auf die aktuelle Version 1.4.2 aktualisiert werden

Rkhunter auf Version 1.4.2 aktualisieren

wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

Test der Checksumme

md5sum rkhunter-1.4.2.tar.gz

Entpacken und installieren

tar xzvf rkhunter*
cd rkhunter
sudo ./installer.sh --layout /usr --install

            Checking system for:
             Rootkit Hunter installer files: found
             A web file download command: wget found
            Starting update:
             Checking installation directory "/usr": it exists and is writable.
             Checking installation directories:
              Directory /usr/share/doc/rkhunter-1.4.2: creating: OK
              Directory /usr/share/man/man8: exists and is writable.
              Directory /etc: exists and is writable.
              Directory /usr/bin: exists and is writable.
              Directory /usr/lib: exists and is writable.
              Directory /var/lib: exists and is writable.
              Directory /usr/lib/rkhunter/scripts: creating: OK
              Directory /var/lib/rkhunter/db: exists and is writable.
              Directory /var/lib/rkhunter/tmp: exists and is writable.
              Directory /var/lib/rkhunter/db/i18n: exists and is writable.
              Directory /var/lib/rkhunter/db/signatures: creating: OK
             Installing check_modules.pl: OK
             Installing filehashsha.pl: OK
             Installing stat.pl: OK
             Installing readlink.sh: OK
             Installing backdoorports.dat: OK
             Installing mirrors.dat: OK
             Installing programs_bad.dat: OK
             Installing suspscan.dat: OK
             Installing rkhunter.8: OK
             Installing ACKNOWLEDGMENTS: OK
             Installing CHANGELOG: OK
             Installing FAQ: OK
             Installing LICENSE: OK
             Installing README: OK
             Installing language support files: OK
             Installing ClamAV signatures: OK
             Installing rkhunter: OK
             Installing rkhunter.conf in no-clobber mode: OK
             >>>
             >>> PLEASE NOTE: inspect for update changes in "/etc/rkhunter.conf.22942",
             >>> and apply to either "/etc/rkhunter.conf" or your local configuration
             >>> file before running Rootkit Hunter.
             >>>
            Update complete

            

Versionsprüfung der Installation

sudo rkhunter --version

Erster Scan mit Rkhunter

Ein erster Scan gibt Erkenntnisse über das System, aber auch über "false positive" Ereignisse oder ähnliches. Diese werden am Ende in einer ausführlichen Zusammenfassung ausgegeben und lassen sich später auch über die Logs abrufen.

sudo rkhunter -c --enable all

rkhunter-zusa

Konfiguration von rkhunter

Sollten Fehler auftreten oder Warnungen angezeigt werden, welche definitiv keine Gefahr darstellen, kann dies unter "/etc/rkhunter.conf" beispielsweise in einer Whiteliste hinterlegt werden.

sudo nano /etc/rkhunter.conf

Auch Emailoptionen und ähnliches lassen sich hier hinterlegen. So kann unter  "MAIL-ON-WARNING="mail@me.de" der gewünschte Ansprechpartner für Warnungen hinterlegt werden.

rkhunter-unhide

Alternativ können Prozesse und Verzeichnisse mit Hilfe einer Whitelist von der Suche ausgeschlossen werden.

Das ist in Bezug auf einzelne Systeme mit verschiedenen Konfigurationen immer sinnvoll.

Automatisieren mit Cron

Um den Scan regelmäßig auszuführen, bietet sich ein Script in Verbindung mit einem Cronjob an.

sudo nano /home/user/rkhunter-auto.sh

 #!/bin/sh
 (
 rkhunter --versioncheck
 rkhunter --update
 rkhunter -c --cronjob -report-warnings-only
 ) | mail -s 'rkhunter pruefung' mail@me.de

sudo crontab -e

0 20 7 /home/user/rkhunter-auto.sh

Mit dieser Einstellung würde rkhunter jede Woche das System scannen und nur bei Warnungen eine Meldungen abgeben.

Troubleshooting

Wie bereits erwähnt, kann es vorkommen, das Systembereiche angemahnt werden, obwohl diese keine Gefahr darstellen. Hier ein Beispiel:

sudo rkhunter -c --enable all --disable none
Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request
Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/sbin/prelink

In diesem Fall auf die Konfiguration zurückgreifen und unter "/etc/rkhunter.conf" die beiden Einträge auskommentieren.


Installation von Chkrootkit auf Ubuntu 14.04 (Server)

Doppelt hält bekanntlich besser, darum ist die Installation eines zweiten Tools, welches auf ähnlich Art und Weise das System überprüft sicherlich sinnvoll. In diesem Fall handelt es sich um das Tool Chkrootkit, welches, wie der Name vermuten lässt, ebenso auf Rootkits aus ist.

Die Installation und Konfiguration ist hier ähnlich einfach.

Installation Chkrootkit

sudo apt-get install chkrootkit

Konfiguration von Chkrootkit (wöchentliche Prüfung und Mailbenachrichtigungen)

In der Konfiguration kann eingestellt werden, ob täglich ein Check laufen soll. Alternativ lässt sich dies auch über einen extra Cronjob, z.B. monatlich lösen, wie es bei Rkhunter schon gemacht wurden.

sudo nano /etc/chkrootkit

sudo crontab -e

0 20 30 /usr/sbin/chkrootkit | mail -s "chkrootkit pruefung" me@home.de

Fazit

Beide Tools erfüllen im Prinzip ihren Job. Sollte ein System befallen sein, ist es effektiver solche Tools von einer nicht infizierten Live CD laufen zu lassen.

Bei einem Befall ist die sicherste Variante sowieso das Neusaufsetzen des Systems, wenn möglich.