Integrit
Sissejuhatus
Tarkvara http://integrit.sourceforge.net/ abil saab jälgida failisüsteemis toimuvaid muutusi. Tavaliselt kasutatakse seda HIDS (Host-based Intrusion Detection System) tekitamiseks, eesmärgiga saada jälile failisüsteemi tehtud mitteautoriseeritud muudatustele, näiteks seoses süsteemi sissemurdmise käigus toimunud süsteemsete failide asendamisega.
Integriti töö põhineb vaatlusaluste andmete kontrollsummade andmebaasi pidamisel ning siis erinevatel ajahetkedel moodustatud kontrollsummade võrdlemisel.
Kasutamine
Integrit on populaarne tarkvara ning tavaliselt on võimalik ta operatsioonisüsteemi paketihaldusvahendi abil paigaldada.
Tarkvara Integrit kasutab oma tööks kolme faili
- seadistusfail
- süsteemi viimast tuntud seisu kajastav andmbeaas (known.cdb)
- süsteemi viimast värskelt kogutud seisu andmebaas (current.cdb)
Ideaalis võiks toimuda Integriti kasutamine selliselt
- kõnealused failisüsteemid ühendatakse lahti töötava süsteemi küljest (või kogu vaatlusalune arvuti booditakse üles nt read-only meedialt)
- arvutatakse kontrollsummad
- jätkub failisüsteemide tavapärane kasutus
Sõltuvalt protseduurireeglitest tuleb siis kas ettenähtud ajal või kahtluse korral korrata protseduuri arvutades uued kontrollsummad.
Praktiliseks kasutamiseks on küllaltki ebamugav vaatlusalust süsteemi vahepeal sulgeda ja siis ei jää muud üle kui töötada töötava süsteemiga, kuid tuleb arvesse võtta, et teatud tõenäosusega võib süsteemis juba toimetav pahalane takistada Integriti ootuspärast tööd.
Kontrollsummade arvutamine toimub võtmega
bash# /opt/csw/sbin/integrit -C /opt/csw/etc/integrit/integrit.conf -u integrit: ---- integrit, version 3.02 ----------------- integrit: output : human-readable integrit: conf file : /opt/csw/etc/integrit/integrit.conf integrit: known db : /opt/csw/var/integrit/known.cdb integrit: current db : /opt/csw/var/integrit/current.cdb integrit: root : / integrit: do check : no integrit: do update : yes integrit: current-state db md5sum -------------- integrit: fd1bce38289ee54b450a7c113e2df886 /opt/csw/var/integrit/current.cdb
Arvutamiseks ja võrdlemiseks tuleb kasutada samaaegselt võtit -u ja -c ja selleks et kõik programmi väljund oleks kasutatav, suunata see faili
bash# /opt/csw/sbin/integrit -C /opt/csw/etc/integrit/integrit.conf -u -c
Peale süsteemis vajalike muudatuste tegemist tuleb eelmise known.cdb asemel ilmselt kasutada current.cdb andmebaasi, see faili ümbernimetamine tuleb teha kasutajal endal käsitsi.
bash# /opt/csw/sbin/integrit -C /opt/csw/etc/integrit/integrit.conf -c
