Afick é um script PERL que pode ser utilizado como um simples IDS para monitorar qualquer atividade no seu sistema. Com ele é possível fazer uma análise posterior do estrago causado por uma invasão, ou mesmo monitorar a integridade de seus filesystems e ser avisado por e-mail.
Mãos à obra! Vou tentar passar o pouco que aprendi dessa útil ferramenta.
Instalação
Baixe primeiro o arquivo do link abaixo:
Com certeza ele estará em RPM, como não utilizo RPM aqui, converto ele para TGZ através do alien (
http://freshmeat.net/redir/alien/194/url_homepage/alien).
Feito "tudo" isto, vamos dar uma alterada no
/etc/afick.conf.
Vamos fazer um teste com o
/tmp, então logo após
Myrule (para efeitos de organização) acrescente:
TMP = u+g+p+m+s
Irá checar o (u)dono, (g)grupo, (p)permissões, (m)última modificação e (s)tamanho do arquivo.
E logo após "files to scan" acrescente:
/home/p0lux TMP
Agora basta criar a base de dados com o comando:
# afick.pl -i -v -b teste1 -c /etc/afick.conf
Onde:
- -i cria a base
- -b nome da base
- -v modo verbose
- -c indica onde está o arquivo de configuração
Após concluído o processo de criação da base de dados, experimente no filesystem que tu está monitorando, excluir ou modificar um arquivo e então digite:
# afick.pl -k -v -b teste1 -c /etc/afick.conf
Onde:
- -k irá comparar a base atual com a criada anteriormente, podendo assim verificar se deu certo.
Todas as operações aqui foram efetuadas como root, é recomendável testar antes em um diretório não tão fundamental ao teu sistema.
Esta dica foi baseada no artigo:
http://www.linuxgazette.com/node/view/8797
Espero ter sido útil e paz a todos,
Bruno
Nenhum comentário foi encontrado.