Dateiintegrität (sec-integrity)

Prüft die Integrität von Systemdateien, erkennt unbekannte Binaries, SUID/SGID-Dateien und ausführbare Dateien in temporären Verzeichnissen.

Konfiguration

ParameterTypDefaultBeschreibung
enabledbooltrueModul aktivieren/deaktivieren
check_interval_multiplierint6Prüfintervall-Multiplikator (6 x check_interval = 30 Min bei Default)
system_pathslist["/usr/bin", "/usr/sbin", "/usr/local/bin", "/usr/local/sbin"]Systempfade für Binary-Prüfung
ignore_pathslist[]Pfade ausschließen
tmp_pathslist["/tmp", "/var/tmp"]Temporäre Verzeichnisse prüfen
sensitive_dirslist["/etc", "/usr/bin", "/usr/sbin", "/usr/lib"]Verzeichnisse für Berechtigungsprüfung
max_find_depthint3Maximale Suchtiefe in tmp-Verzeichnissen

YAML-Beispiel

sec_integrity:
  enabled: true
  check_interval_multiplier: 6
  system_paths:
    - "/usr/bin"
    - "/usr/sbin"
  ignore_paths:
    - "/usr/local/bin/custom-tool"
  tmp_paths:
    - "/tmp"
    - "/var/tmp"

Diagnose-Codes

Linux

CodeSeverityBedeutungEmpfehlung
73000Keine Integritätsprobleme erkannt
73011Binary gehört zu keinem PaketHerkunft prüfen
73021Neue SUID/SGID-Datei gefundenSUID-Bit prüfen, ggf. entfernen
73031Welt-beschreibbare Datei in sensiblem VerzeichnisBerechtigungen einschränken
73041Datei ohne gültigen Eigentümer (verwaiste UID/GID)Eigentümer setzen oder Datei entfernen
73052Ausführbare Datei in temporärem VerzeichnisDatei untersuchen und entfernen

Windows

CodeSeverityBedeutungEmpfehlung
83000Keine Integritätsprobleme erkannt
83012SFC/CBS meldet Systemdatei-Korruptionsfc /scannow ausführen
83021Systemdatei verändert (Hash-Abweichung)Datei verifizieren
83031Unsignierte Datei in System32Herkunft prüfen
83041Alternate Data Stream (ADS) an DateiADS prüfen und ggf. entfernen
83052Ausführbare Datei in temporärem VerzeichnisDatei untersuchen und entfernen

Plattform-Unterstützung

  • Linux: Nutzt dpkg -S/rpm -qf für Paketprüfung, find für SUID/tmp-Scan.
  • Windows: Nutzt SFC-Logs, Authenticode-Signaturprüfung, NTFS ADS-Erkennung.