Integrit

Allikas: Kuutõrvaja
Redaktsioon seisuga 15. aprill 2007, kell 20:19 kasutajalt Imre (arutelu | kaastöö)

Sissejuhatus

Tarkvara Integrit http://integrit.sourceforge.net/ abil saab jälgida failisüsteemis toimuvaid muutusi. Tavaliselt kasutatakse seda HIDS (Host-based Intrusion Detection System) tekitamiseks, eesmärgiga saada jälile failisüsteemi tehtud mitteautoriseeritud muudatustele, näiteks seoses süsteemi sissemurdmise käigus toimunud süsteemsete failide asendamisega.

Integriti töö põhineb vaatlusaluste andmete kontrollsummade andmebaasi pidamisel ning siis erinevatel ajahetkedel moodustatud kontrollsummade võrdlemisel.


Kasutamine

Integrit on populaarne tarkvara ning tavaliselt on võimalik ta operatsioonisüsteemi paketihaldusvahendi abil paigaldada.

Tarkvara Integrit kasutab oma tööks kolme faili

  • seadistusfail
  • süsteemi viimast tuntud seisu kajastav andmbeaas (known.cdb)
  • süsteemi viimast värskelt kogutud seisu andmebaas (current.cdb)

Ideaalis võiks toimuda Integriti kasutamine selliselt

  1. kõnealused failisüsteemid ühendatakse lahti töötava süsteemi küljest (või kogu vaatlusalune arvuti booditakse üles nt read-only meedialt)
  2. arvutatakse kontrollsummad
  3. jätkub failisüsteemide tavapärane kasutus

Sõltuvalt protseduurireeglitest tuleb siis kas ettenähtud ajal või kahtluse korral korrata protseduuri arvutades uued kontrollsummad.

Praktiliseks kasutamiseks on küllaltki ebamugav vaatlusalust süsteemi vahepeal sulgeda ja siis ei jää muud üle kui töötada töötava süsteemiga, kuid tuleb arvesse võtta, et teatud tõenäosusega võib süsteemis juba toimetav pahalane takistada Integriti ootuspärast tööd.

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Integrit&oldid=4054"