Integrit

Allikas: Kuutõrvaja

Sissejuhatus

Tarkvara http://integrit.sourceforge.net/ abil saab jälgida failisüsteemis toimuvaid muutusi. Tavaliselt kasutatakse seda HIDS (Host-based Intrusion Detection System) tekitamiseks, eesmärgiga saada jälile failisüsteemi tehtud mitteautoriseeritud muudatustele, näiteks seoses süsteemi sissemurdmise käigus toimunud süsteemsete failide asendamisega.

Integriti töö põhineb vaatlusaluste andmete kontrollsummade andmebaasi pidamisel ning siis erinevatel ajahetkedel moodustatud kontrollsummade võrdlemisel.

Kasutamine

Integrit on populaarne tarkvara ning tavaliselt on võimalik ta operatsioonisüsteemi paketihaldusvahendi abil paigaldada.

Tarkvara Integrit kasutab oma tööks kolme faili

  • seadistusfail
  • süsteemi viimast tuntud seisu kajastav andmbeaas (known.cdb)
  • süsteemi viimast värskelt kogutud seisu andmebaas (current.cdb)

Ideaalis võiks toimuda Integriti kasutamine selliselt

  1. kõnealused failisüsteemid ühendatakse lahti töötava süsteemi küljest (või kogu vaatlusalune arvuti booditakse üles nt read-only meedialt)
  2. arvutatakse kontrollsummad
  3. jätkub failisüsteemide tavapärane kasutus

Sõltuvalt protseduurireeglitest tuleb siis kas ettenähtud ajal või kahtluse korral korrata protseduuri arvutades uued kontrollsummad.

Praktiliseks kasutamiseks on küllaltki ebamugav vaatlusalust süsteemi vahepeal sulgeda ja siis ei jää muud üle kui töötada töötava süsteemiga, kuid tuleb arvesse võtta, et teatud tõenäosusega võib süsteemis juba toimetav pahalane takistada Integriti ootuspärast tööd.

Kontrollsummade arvutamine toimub võtmega

bash# /opt/csw/sbin/integrit -C /opt/csw/etc/integrit/integrit.conf -u
integrit: ---- integrit, version 3.02 -----------------
integrit:                      output : human-readable
integrit:                   conf file : /opt/csw/etc/integrit/integrit.conf
integrit:                    known db : /opt/csw/var/integrit/known.cdb
integrit:                  current db : /opt/csw/var/integrit/current.cdb
integrit:                        root : /
integrit:                    do check : no
integrit:                   do update : yes
integrit: current-state db md5sum -------------- 
integrit: fd1bce38289ee54b450a7c113e2df886  /opt/csw/var/integrit/current.cdb

Arvutamiseks ja võrdlemiseks tuleb kasutada samaaegselt võtit -u ja -c ja selleks et kõik programmi väljund oleks kasutatav, suunata see faili

bash# /opt/csw/sbin/integrit -C /opt/csw/etc/integrit/integrit.conf -u -c

Peale süsteemis vajalike muudatuste tegemist tuleb eelmise known.cdb asemel ilmselt kasutada current.cdb andmebaasi, see faili ümbernimetamine tuleb teha kasutajal endal käsitsi.

bash# /opt/csw/sbin/integrit -C /opt/csw/etc/integrit/integrit.conf -c