Integrit: file verification system: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
nessun oggetto della modifica
Nessun oggetto della modifica
Nessun oggetto della modifica
Riga 5: Riga 5:
* non sono pesanti: infatti vengono eseguiti prevalentemente di notte e richiedono pochi minuti
* non sono pesanti: infatti vengono eseguiti prevalentemente di notte e richiedono pochi minuti
* sono utili: un aggressore che vuole nascondere dei file, accessi o servizi potrebbe modificare file come [[netstat]], [[last]], [[w]], ls...
* sono utili: un aggressore che vuole nascondere dei file, accessi o servizi potrebbe modificare file come [[netstat]], [[last]], [[w]], ls...
* si affiancano a [[ids]] di rete e software come [[rkhunter]]
* si affiancano a [[intrusion detection system|ids]] di rete e software come [[rkhunter]]


Ovviamente non si tratta della soluzione di tutti i mali, in quanto potrebbe essere possibile che l'aggressore abbia modificato anche l'eseguibile di integrit, però un controllo in più non fa mai male!
Ovviamente non si tratta della soluzione di tutti i mali, in quanto potrebbe essere possibile che l'aggressore abbia modificato anche l'eseguibile di integrit, però un controllo in più non fa mai male!
Riga 17: Riga 17:
= Configurazione =
= Configurazione =
I file di configurazione si trovano in <code>/etc/integrit</code>. Dopo l'installazione sono presenti i seguenti file:
I file di configurazione si trovano in <code>/etc/integrit</code>. Dopo l'installazione sono presenti i seguenti file:
; integrit.conf : un template di file di configurazione (infatti è tutto commentato), lo utilizzeremo in seguito come punto di partenza
; <code>integrit.conf</code> : un template di file di configurazione (infatti è tutto commentato), lo utilizzeremo in seguito come punto di partenza;
; integrit.debian.conf : il file di configurazione utilizzato dal [[cron]] di Debian
; <code>integrit.debian.conf</code> : il file di configurazione utilizzato dal [[cron]] di Debian.


== Integrit ==
== Integrit ==
Riga 34: Riga 34:


dove:
dove:
; action : è facoltativa, e rappresenta l'azione da eseguire. L'azione di default è di esplorare la directory e tutto il suo contenuto... Le alternative sono:
; action : è facoltativa, e rappresenta l'azione da eseguire. L'azione di default è di esplorare la directory e tutto il suo contenuto. Le alternative sono:
: <code>!</code> : l'operatore di negazione: <code>!/etc</code> indica di non controllare il contenuto della directory <code>/etc</code>
: <code>!</code> : l'operatore di negazione: <code>!/etc</code> indica di non controllare il contenuto della directory <code>/etc</code>;
: <code>=</code> : indica di non esplorare ricorsivamente il contenuto della directory
: <code>=</code> : indica di non esplorare ricorsivamente il contenuto della directory;
: <code>$</code> : permette di creare una regola che non va ad agire sulle sottodirectory ma solo sulla directory(ed i file contenuti) indicata
: <code>$</code> : permette di creare una regola che non va ad agire sulle sottodirectory ma solo sulla directory (ed i file contenuti) indicata
; /directory : indica il percorso su cui agire
; /directory : indica il percorso su cui agire;
; [controlli] : permette di specificare i controlli da eseguire
; [controlli] : permette di specificare i controlli da eseguire;
: <code>s</code> : [[checksum]]
: <code>s</code> : [[checksum]];
: <code>i</code> : [[inode]]
: <code>i</code> : [[inode]];
: <code>p</code> : permessi
: <code>p</code> : permessi;
: <code>l</code> : numero di link
: <code>l</code> : numero di link;
: <code>u</code> : [[uid]]
: <code>u</code> : [[uid]];
: <code>g</code> : [[gid]]
: <code>g</code> : [[gid]];
: <code>z</code> : la dimensione dei file (risulta essere un controllo ridondante se viene effettuato anche il controllo del checksum)
: <code>z</code> : la dimensione dei file (risulta essere un controllo ridondante se viene effettuato anche il controllo del checksum);
: <code>a</code> : la data di accesso
: <code>a</code> : la data di accesso;
: <code>m</code> : la data di modifica
: <code>m</code> : la data di modifica;
: <code>r</code> : reimposta la data di accesso
: <code>r</code> : reimposta la data di accesso
: le opzioni possono essere scritte in due modi: in minuscolo, il che indica che il controllo deve essere fatto, oppure in maiuscolo, per indicare che il controllo non deve essere effettuato.
: le opzioni possono essere scritte in due modi: in minuscolo, il che indica che il controllo deve essere fatto, oppure in maiuscolo, per indicare che il controllo non deve essere effettuato.
Riga 56: Riga 56:


Il file di configurazione è composto da quattro variabili:
Il file di configurazione è composto da quattro variabili:
; CONFIGS : contiene l'elenco dei file di configurazione da far processare ad integrit. Dopo l'installazione è vuoto, quindi dovremo aggiungere quello che abbiamo precedentemente creato: <code>/etc/integrit/integrit.conf</code>
; <code>CONFIGS</code> : contiene l'elenco dei file di configurazione da far processare ad integrit. Dopo l'installazione è vuoto, quindi dovremo aggiungere quello che abbiamo precedentemente creato: <code>/etc/integrit/integrit.conf</code>;
; EMAIL_RCPT : l'indirizzo del destinatario di posta elettronica a cui inviare la mail di notifica (root va bene se sono stati correttamente modificati gli alias di posta, altrimenti potete tranquillamente inserire il vostro indirizzo)
; <code>EMAIL_RCPT</code> : l'indirizzo del destinatario di posta elettronica a cui inviare la mail di notifica (root va bene se sono stati correttamente modificati gli alias di posta, altrimenti potete tranquillamente inserire il vostro indirizzo);
; EMAIL_SUBJ : l'oggetto della mail che riceverete. Normalmente non è necessario effettuare modifiche
; <code>EMAIL_SUBJ</code> : l'oggetto della mail che riceverete. Normalmente non è necessario effettuare modifiche;
; ALWAYS_EMAIL : ''true'' se si desidera ricevere una mail di notifica anche quando non vengono riscontrate anomalia, ''false'' altrimenti
; <code>ALWAYS_EMAIL</code> : ''true'' se si desidera ricevere una mail di notifica anche quando non vengono riscontrate anomalia, ''false'' altrimenti.


Una volta modificato il file di configurazione non ci resta che testare il tutto con un semplice
Una volta modificato il file di configurazione non ci resta che testare il tutto con un semplice
1 508

contributi

Menu di navigazione