1 508
contributi
Integrit: file verification system: differenze tra le versioni
Integrit: file verification system (visualizza wikitesto)
Versione delle 18:11, 26 gen 2010
, 26 gen 2010nessun oggetto della modifica
S3v (discussione | contributi) Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
| Riga 5: | Riga 5: | ||
* non sono pesanti: infatti vengono eseguiti prevalentemente di notte e richiedono pochi minuti | * non sono pesanti: infatti vengono eseguiti prevalentemente di notte e richiedono pochi minuti | ||
* sono utili: un aggressore che vuole nascondere dei file, accessi o servizi potrebbe modificare file come [[netstat]], [[last]], [[w]], ls... | * sono utili: un aggressore che vuole nascondere dei file, accessi o servizi potrebbe modificare file come [[netstat]], [[last]], [[w]], ls... | ||
* si affiancano a [[ids]] di rete e software come [[rkhunter]] | * si affiancano a [[intrusion detection system|ids]] di rete e software come [[rkhunter]] | ||
Ovviamente non si tratta della soluzione di tutti i mali, in quanto potrebbe essere possibile che l'aggressore abbia modificato anche l'eseguibile di integrit, però un controllo in più non fa mai male! | Ovviamente non si tratta della soluzione di tutti i mali, in quanto potrebbe essere possibile che l'aggressore abbia modificato anche l'eseguibile di integrit, però un controllo in più non fa mai male! | ||
| Riga 17: | Riga 17: | ||
= Configurazione = | = Configurazione = | ||
I file di configurazione si trovano in <code>/etc/integrit</code>. Dopo l'installazione sono presenti i seguenti file: | I file di configurazione si trovano in <code>/etc/integrit</code>. Dopo l'installazione sono presenti i seguenti file: | ||
; integrit.conf : un template di file di configurazione (infatti è tutto commentato), lo utilizzeremo in seguito come punto di partenza | ; <code>integrit.conf</code> : un template di file di configurazione (infatti è tutto commentato), lo utilizzeremo in seguito come punto di partenza; | ||
; integrit.debian.conf : il file di configurazione utilizzato dal [[cron]] di Debian | ; <code>integrit.debian.conf</code> : il file di configurazione utilizzato dal [[cron]] di Debian. | ||
== Integrit == | == Integrit == | ||
| Riga 34: | Riga 34: | ||
dove: | dove: | ||
; action : è facoltativa, e rappresenta l'azione da eseguire. L'azione di default è di esplorare la directory e tutto il suo contenuto | ; action : è facoltativa, e rappresenta l'azione da eseguire. L'azione di default è di esplorare la directory e tutto il suo contenuto. Le alternative sono: | ||
: <code>!</code> : l'operatore di negazione: <code>!/etc</code> indica di non controllare il contenuto della directory <code>/etc</code> | : <code>!</code> : l'operatore di negazione: <code>!/etc</code> indica di non controllare il contenuto della directory <code>/etc</code>; | ||
: <code>=</code> : indica di non esplorare ricorsivamente il contenuto della directory | : <code>=</code> : indica di non esplorare ricorsivamente il contenuto della directory; | ||
: <code>$</code> : permette di creare una regola che non va ad agire sulle sottodirectory ma solo sulla directory(ed i file contenuti) indicata | : <code>$</code> : permette di creare una regola che non va ad agire sulle sottodirectory ma solo sulla directory (ed i file contenuti) indicata | ||
; /directory : indica il percorso su cui agire | ; /directory : indica il percorso su cui agire; | ||
; [controlli] : permette di specificare i controlli da eseguire | ; [controlli] : permette di specificare i controlli da eseguire; | ||
: <code>s</code> : [[checksum]] | : <code>s</code> : [[checksum]]; | ||
: <code>i</code> : [[inode]] | : <code>i</code> : [[inode]]; | ||
: <code>p</code> : permessi | : <code>p</code> : permessi; | ||
: <code>l</code> : numero di link | : <code>l</code> : numero di link; | ||
: <code>u</code> : [[uid]] | : <code>u</code> : [[uid]]; | ||
: <code>g</code> : [[gid]] | : <code>g</code> : [[gid]]; | ||
: <code>z</code> : la dimensione dei file (risulta essere un controllo ridondante se viene effettuato anche il controllo del checksum) | : <code>z</code> : la dimensione dei file (risulta essere un controllo ridondante se viene effettuato anche il controllo del checksum); | ||
: <code>a</code> : la data di accesso | : <code>a</code> : la data di accesso; | ||
: <code>m</code> : la data di modifica | : <code>m</code> : la data di modifica; | ||
: <code>r</code> : reimposta la data di accesso | : <code>r</code> : reimposta la data di accesso | ||
: le opzioni possono essere scritte in due modi: in minuscolo, il che indica che il controllo deve essere fatto, oppure in maiuscolo, per indicare che il controllo non deve essere effettuato. | : le opzioni possono essere scritte in due modi: in minuscolo, il che indica che il controllo deve essere fatto, oppure in maiuscolo, per indicare che il controllo non deve essere effettuato. | ||
| Riga 56: | Riga 56: | ||
Il file di configurazione è composto da quattro variabili: | Il file di configurazione è composto da quattro variabili: | ||
; CONFIGS : contiene l'elenco dei file di configurazione da far processare ad integrit. Dopo l'installazione è vuoto, quindi dovremo aggiungere quello che abbiamo precedentemente creato: <code>/etc/integrit/integrit.conf</code> | ; <code>CONFIGS</code> : contiene l'elenco dei file di configurazione da far processare ad integrit. Dopo l'installazione è vuoto, quindi dovremo aggiungere quello che abbiamo precedentemente creato: <code>/etc/integrit/integrit.conf</code>; | ||
; EMAIL_RCPT : l'indirizzo del destinatario di posta elettronica a cui inviare la mail di notifica (root va bene se sono stati correttamente modificati gli alias di posta, altrimenti potete tranquillamente inserire il vostro indirizzo) | ; <code>EMAIL_RCPT</code> : l'indirizzo del destinatario di posta elettronica a cui inviare la mail di notifica (root va bene se sono stati correttamente modificati gli alias di posta, altrimenti potete tranquillamente inserire il vostro indirizzo); | ||
; EMAIL_SUBJ : l'oggetto della mail che riceverete. Normalmente non è necessario effettuare modifiche | ; <code>EMAIL_SUBJ</code> : l'oggetto della mail che riceverete. Normalmente non è necessario effettuare modifiche; | ||
; ALWAYS_EMAIL : ''true'' se si desidera ricevere una mail di notifica anche quando non vengono riscontrate anomalia, ''false'' altrimenti | ; <code>ALWAYS_EMAIL</code> : ''true'' se si desidera ricevere una mail di notifica anche quando non vengono riscontrate anomalia, ''false'' altrimenti. | ||
Una volta modificato il file di configurazione non ci resta che testare il tutto con un semplice | Una volta modificato il file di configurazione non ci resta che testare il tutto con un semplice | ||