Nagios - Automatizando Auditorias de Rootkit
Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.
Parte 2: Configurações
Configurando o cliente NRPE do Nagios
Vamos agora configurar o NRPE client para que identifique e trabalhe com o check_rootkit.Considerando que uma checagem de rootkit leva um tempo considerável (vamos estimar aqui no máximo 6 minutos), precisamos configurar o client para que não ocorra timeout na resposta.
No arquivo de configuração "nrpe.cfg", iremos aumentar o timeout para 360s:
command_timeout=360
Além disso, será necessário apresentar o comando que representará o check_rootkit, isso deve ser feito no mesmo arquivo (nrpe.cfg) adicionando a seguinte linha:
command[check_rootkit]=/usr/local/nagios/libexec/check_rootkit -w 1 -c 2
Restartar o serviço inetd para alterações terem efeito:
# /etc/rc.d/rc.inetd restart
Finalizando, conceder sudo para o usuário "nagios" executar o check_rootkit:
visudo
E adicionar:
nagios ALL=(ALL) NOPASSWD: /usr/local/nagios/libexec/check_rootkit
Configurando o Nagios Server
Terminado o processo de configuração do client, partiremos para as configurações que devem ser feitas no Nagios Server.Também é necessário ajustar o timeout no server, para isso, realizaremos a seguinte alteração no arquivo "nagios.cfg":
service_check_timeout=360
Criaremos um timeperiod específico para a checagem de rootkit, inserindo a seguinte configuração no arquivo "timeperiods.cfg":
# Segunda-feira 12h00 - Utilizado para rkhunter rootkit
define timeperiod{
timeperiod_name monday_week
alias rootkit-semanal
monday 12:00-24:00
}
define timeperiod{
timeperiod_name monday_week
alias rootkit-semanal
monday 12:00-24:00
}
Obs.: você pode definir o horário que desejar, basta apontá-lo no arquivo.
Adicionaremos um comando check_nrpe personalizado, no arquivo "/etc/nagios-plugins/config/check_nrpe.cfg", adicionando:
# this command runs a program $ARG1$ with no arguments and a custom timeout
define command {
command_name check_nrpe_custom_time
command_line /usr/lib/nagios/plugins/check_nrpe -H $HOSTADDRESS$ -t 360 -c $ARG1$
define command {
command_name check_nrpe_custom_time
command_line /usr/lib/nagios/plugins/check_nrpe -H $HOSTADDRESS$ -t 360 -c $ARG1$
Restartar o serviço do Nagios, para caso haja erro, já possa ser detectado e corrigido:
# /etc/init.d/nagios restart
Testar o check_rootkit através do Nagios server:
# /usr/lib/nagios/plugins/check_nrpe -H 192.168.1.250 -c check_rootkit -t 360
Pra finalizar, vamos adicionar a chamada para o check_rootkit no arquivo de configuração onde ficam apontados os serviços que o Nagios irá monitorar no host remoto (Ex: 192.168.1.250.cfg):
# Serviço de verificação Rootkit
define service{
use generic-service
host_name 192.168.1.250
service_description Rootkit
check_command check_nrpe_custom_time!check_rootkit
check_period monday_week
notification_interval 1
notification_period 24x7
}
Restartar o serviço do Nagios:
# /etc/init.d/nagios restart
Pronto, finalizado!