Monitoriamo il Sistema: differenze tra le versioni

m
riformattazione
mNessun oggetto della modifica
m (riformattazione)
 
Riga 1: Riga 1:
{{Versioni compatibili|Squeeze|Wheezy|Jessie}}
{{Versioni compatibili|Squeeze|Wheezy|Jessie}}


== Introduzione ==
Come facciamo a scoprire se veniamo infettati da un RootKit?
Come facciamo a scoprire se veniamo infettati da un RootKit?
Con il checksum dei binari di sistema, in questa guida vedremo come fare.
Con il checksum dei binari di sistema, in questa guida vedremo come fare.
Riga 8: Riga 9:
Partiamo con lo scaricarci uno di questi due software: AFICK AIDE (si veda fondo pagina per i link).
Partiamo con lo scaricarci uno di questi due software: AFICK AIDE (si veda fondo pagina per i link).


== Configurazione ==
Il bello di questi programmi e che oltre che calcolare il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi baserò su AFICK, a noi interessa il file <code>afick.pl</code> e <code>afick.conf</code> il suo file di configurazione.<br/>
Il bello di questi programmi e che oltre che calcolare il checksum dei binari , possono controllare gli accessi, i permessi, il numero di link simbolici e tanto altro ancora, per questa guida io mi baserò su AFICK, a noi interessa il file <code>afick.pl</code> e <code>afick.conf</code> il suo file di configurazione.<br/>
Mettiamo questi due file in <code>/root</code> e prepariamoci per modificare il file di configurazione, per esempio:
Mettiamo questi due file in <code>/root</code> e prepariamoci per modificare il file di configurazione, per esempio:
Riga 27: Riga 29:
</pre>
</pre>


bene, così abbiamo creato il nostro database di sistema, ora facciamo passare un po' di tempo e poi controlliamo come va.
bene, così abbiamo creato il nostro database di sistema.
 
== Test di funzionamento ==
Ora facciamo passare un po' di tempo e poi controlliamo come va.


<pre>
<pre>
Riga 68: Riga 73:
==Non è finita qui==
==Non è finita qui==
Credete che questo basti, invece no. Pensate un momento se un hacker riuscisse a penetrare il vostro sistema; anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare l'accesso come [[root]] potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sarà la base per un prossimo articolo e si chiama RFC e GRSEC
Credete che questo basti, invece no. Pensate un momento se un hacker riuscisse a penetrare il vostro sistema; anche se il nostro db fosse conservato in una partizione apposita read-only, se l'hacker riuscisse a guadagnare l'accesso come [[root]] potrebbe rimontare la partizione in r/w e compromettere il nostro db, quindi come fare diciamo che sarà la base per un prossimo articolo e si chiama RFC e GRSEC


==Link==
==Link==
* http://afick.sourceforge.net
* http://afick.sourceforge.net
* http://www.cs.tut.fi/~rammer/aide.html
* http://www.cs.tut.fi/~rammer/aide.html
Riga 78: Riga 81:


* http://www.chkrootkit.org
* http://www.chkrootkit.org


{{Autori
{{Autori
3 581

contributi