Utilizando afick para checar integridade do sistema

Publicado por Bruno Oliveira da Silva em 06/04/2004

[ Hits: 9.103 ]

 


Utilizando afick para checar integridade do sistema



Afick é um script PERL que pode ser utilizado como um simples IDS para monitorar qualquer atividade no seu sistema. Com ele é possível fazer uma análise posterior do estrago causado por uma invasão, ou mesmo monitorar a integridade de seus filesystems e ser avisado por e-mail.

Mãos à obra! Vou tentar passar o pouco que aprendi dessa útil ferramenta.

Instalação


Baixe primeiro o arquivo do link abaixo:
Com certeza ele estará em RPM, como não utilizo RPM aqui, converto ele para TGZ através do alien (http://freshmeat.net/redir/alien/194/url_homepage/alien).

Feito "tudo" isto, vamos dar uma alterada no /etc/afick.conf.

Vamos fazer um teste com o /tmp, então logo após Myrule (para efeitos de organização) acrescente:

TMP = u+g+p+m+s

Irá checar o (u)dono, (g)grupo, (p)permissões, (m)última modificação e (s)tamanho do arquivo.

E logo após "files to scan" acrescente:

/home/p0lux TMP

Agora basta criar a base de dados com o comando:

# afick.pl -i -v -b teste1 -c /etc/afick.conf

Onde:
  • -i cria a base
  • -b nome da base
  • -v modo verbose
  • -c indica onde está o arquivo de configuração

Após concluído o processo de criação da base de dados, experimente no filesystem que tu está monitorando, excluir ou modificar um arquivo e então digite:

# afick.pl -k -v -b teste1 -c /etc/afick.conf

Onde:
  • -k irá comparar a base atual com a criada anteriormente, podendo assim verificar se deu certo.

Todas as operações aqui foram efetuadas como root, é recomendável testar antes em um diretório não tão fundamental ao teu sistema.

Esta dica foi baseada no artigo:
http://www.linuxgazette.com/node/view/8797

Espero ter sido útil e paz a todos,
Bruno

Outras dicas deste autor

Eterm com fundo colorido e transparente

Leitura recomendada

Floppy USB no SuSE 8.0

Tem um xis vermelho no aMSN...

talk - chat entre usuários de uma rede local ou internet

printf("Criando Delay em Linguagem C de forma SIMPLES");

Instalando o servidor ssh no Mandriva One e superior

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts