Проверка целостности файловой системы
Пред. Глава 2. Контроль безопасности операционной системы След.

Проверка целостности файловой системы

Лабораторная работа посвящена организации проверки целостности файловой системы с помощью таких средств как tripwire, yafic и AIDE.

Организация проверки целостности с помощью tripwire

Проинсталлируйте программу tripwire, выясните каким образом выполняется инициализация и обновление её базы данных. Внесите изменения в файловую систему, а затем проверьте, обнаружит ли их tripwire.

Режимы работы Tripwire:

  • Инициализация базы данных (Database Initialization Mode);

  • Проверка целостности (Integrity Checking Mode);

  • Обновление базы данных (Database Update Mode);

  • Обновление политики (Policy Update Mode);

  • Тестовый режим (Test Mode);

  1. Инсталляция Tripwire

    Установите Tripwire принятым в операционной системе способом. 

    # apt-get install tripwire

  2. Инсталляция политик

    Выполните инсталляцию политик tripwire с помощью команды: 

    # twadmin -m P /etc/tripwire/twpol.txt

  3. Инициализация базы данных

    Произведите инициализацию базы данных tripwire с помощью команды: 

    
# twadmin -m P /etc/tripwire/twpol.txt

  4. Проверка целостности файловой системы

    Выполните проверку целостности файловой системы с помощью команды: 

    
# tripwire -m c

  5. Удаление исходных конфигурационных файлов

    Удалите исходные конфигурационные файлы, чтобы слоумышленник не смог определить, какие файлы изменены: 

    
# rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt

  6. Создание исходных конфигурационных файлов

    При необходимости исходные конфигурационные файлы можно создать вновь: 

    
# twadmin -m p > /etc/tripwire/twpol1.txt 
# twadmin -m f > /etc/tripwire/twcfg.txt

Практические рекомендации CERT по созданию политики tripwire:

Таблица 2.2. Программа tripwire и вспомогательные программы

Ключ

Описание

tripwire

программа проверки целостности файлов для Unix/Linux-систем

twadmin

программа администрирования Tripwire

twprint

программа вывода базы данных и отчётов Tripwire

siggen

программа генерирования подписей для Tripwire

Таблица 2.3. Ключи программы tripwire

Ключ

Описание

-V

использовать указанный текстовый редактор

-l

проверять правила с уровнем важно выше заданного

-d

использовать указанный файл базы данных

-x

проверять только правила из данной секции

-r

записать отчёт в указанный файл

-p

прочитать политику из указанного файла

-n

не выводить данные на консоль

Организация проверки целостности с помощью aide

Проинсталлируйте программу aide, выясните каким образом выполняется инициализация и обновление её базы данных. Внесите изменения в файловую систему, а затем проверьте, обнаружит ли их aide.

  1. Инсталляция aide

    Установите aide принятым в операционной системе способом.

  2. Конфигурирование aide

    Создайте конфигурационный файл aide.conf, основываясь на примере исходного файла, поставляемого в составе дистрибутива: 

    # cp /usr/local/etc/aide.conf.sample /var/db/aide/aide.conf

  3. Инициализация базы данных aide

    В результате инсталляции будет создан каталог /var/db/aide. В каталоге будет находиться только пустой подкаталог databases/. После того как будет выполнена инициализация, с помощью команды: 

    # aide --init

    в подкаталоге появится новый файл. Файл /var/db/aide/databases/aide.db.new хранит проинициализированную базу даных aide.

  4. Копирование базы данных в надёжное место

    Переместите базу данных aide в надёжное место. Например, если база данных будет находиться на flash-диске, выполните команды: 

    # mount -t vfat /dev/sda1 /mnt
# mv databases/aide.db.new /mnt/aide.db
# umount /mnt


    # mount -t msdosfs /dev/da0s1 /mnt
# mv databases/aide.db.new /mnt/aide.db
# umount /mnt

    [Предостережение]Предостережение

    Если база данных aide будет находиться в самой системе, от неё не будет никакой пользы, поскольку её можно будет перестроить и скрыть сделанные в файловой системе изменения.

  5. Изменение конфигурации aide

    Можно сделать так чтобы aide всегда искала свою базу данных на каком-либо внешнем носителе. Для этого, в конфигурационном файле aide.conf измените строки 

    database=file:///var/db/aide/databases/aide.db
database_out=file:///var/db/aide/databases/aide.db.new

    на строки 

    database=file:///mnt/aide.db
database_out=file:///mnt/aide.db.new
database_new=file:///mnt/aide.db.new

  6. Проверка целостности файловой системы

    Проверить целостность файловой системы по построенной ранее базе данных можно командой: 

    # aide --check

  7. Детальная проверка целостности файловой системы

    Проверить целостность файловой системы по построенной ранее базе данных с получением развёрнутого отчёта можно командой: 

    # aide --compare

  8. Изменение конфигурации aide

    Если обнаруженные в файловой системе изменения являются законными, базу данным aide можно обновить, так чтобы она была построена в соответствии с новым состоянием файловой системы: 

    # aide --update

Таблица 2.4. Программа aide и вспомогательные программы

Ключ

Описание

aide

Программа контроля целостности файлов (Advanced Intrusion Detection Environment)

aide.real

Программа контроля целостности файлов (Advanced Intrusion Detection Environment)

aideinit

проинициализировать базу данных aide

update-aide.conf

сгенерировать конфигурационный файл aide

Таблица 2.5. Ключи программы aide

Ключ

Описание

--init

инициализировать базу данных

--check

выполнить проверку по базе данных

--compare

вывести детальный отчёт о выполненной проверке

--update

обновить базу данных

Организация проверки целостности с помощью yafic

Проинсталлируйте программу yafic, выясните каким образом выполняется инициализация и обновление её базы данных. Внесите изменения в файловую систему, а затем проверьте, обнаружит ли их yafic.

Каким образом это делается

  1. Инсталляция yafic

    Установите yafic принятым в операционной системе способом.

  2. Конфигурирование yafic

    Создайте конфигурационный файл yafic.conf, основываясь на примере исходного файла, поставляемого в составе дистрибутива: 

    # cd
# cp /usr/local/share/examples/yafic/yafic.conf.sample yafic.conf

    Конфигурационный файл может находиться в любом месте системы. Главное, чтобы он находился в том каталоге, из которого вызывается сама программа.

  3. Монтирование носителя

    Смонтируйте носитель, на котором будет находиться база данных. Например, если база данных будет находиться на flash-диске, выполните команду: 

    # mount -t msdos /dev/sda1 /mnt


    # mount -t msdosfs /dev/da0s1 /mnt

  4. Инициализация базы данных yafic

    Выполните инициализацию БД с помощью команды 

    # yafic -u yafic.db

    После того как инициализация будет произведена в текущем каталоге будет создан файл yafic.db, содержащий текущую базу данных yafic. (Для инициализации и для обновления используется один и от же ключ программы: -u.)

  5. Проверка целостности файловой системы

    Проверить целостность файловой системы по построенной ранее базе данных можно командой: 

    # yafic -c yafic.db

  6. Повторная проверка

    Внесите какие-либо изменения в файловую систему, и с помощью повторной проверки, посмотрите, обнаружит ли их yafic.

Таблица 2.6. Ключи программы yafic

Ключ

Описание

-c

выполнить проверку по базе данных

-u

обновить базу данных

-l

показать записи базы данных

© 2002-2005 Игорь Чубин
Учебный центр Сетевые Технологии, ug-ids, 2006-06-25
Слушатель отсутствует, ДЕМО-ВЕРСИЯ
Пред. Уровень выше След.
Поиск rootkit'ов Начало Глава 3. Прослушивание сетевого трафика