La sicurezza del sistema<\/b> \u00e8 un compito obbligatorio per qualsiasi amministratore. Poich\u00e9 \u00e8 quasi impossibile garantire che il sistema non venga compromesso, \u00e8 molto importante eseguire controlli regolarmente (ad esempio usando cron) per assicurarsi che sia – il sistema – ancora sotto il proprio controllo. Ed \u00e8 qui che entra in gioco AIDE<\/b>, l’Advanced Intrusion Detection Environment<\/b>.<\/p>\nPerch\u00e9 usare AIDE<\/h2>\n
Un semplice controllo in grado di rilevare modifiche indesiderate pu\u00f2 essere fatto tramite RPM. Il gestore di pacchetti ha una funzione di verifica integrata che controlla tutti i file gestiti nel sistema per vedere se sono state effettuate delle modifiche. Per verificare i file eseguire il comando rpm -Va. Tuttavia, questo comando mostrer\u00e0 anche le modifiche nei file di configurazione e sar\u00e0 necessario creare alcuni filtri per rilevare importanti cambiamenti.<\/p>\n
Un ulteriore problema riguardo all’usare RPM per tale scopo \u00e8 che un utente malintenzionato intelligente sar\u00e0 in grado di modificare l’rpm in modo da nascondere eventuali modifiche che potrebbero essere state apportate da un rootkit<\/b>. Un rootkit<\/b> \u00e8 un programma che consente a un utente malintenzionato di mascherare la sua intrusione e ottenere privilegi da root<\/b>. Per risolvere questo problema \u00e8 necessario implementare un controllo secondario che pu\u00f2 anche essere eseguito in modo completamente indipendente dal sistema installato.<\/p>\nInstallazione AIDE<\/h2>\n
AIDE<\/b> non \u00e8 installato di default su SUSE Linux Enterprise Server<\/b>. Per installare AIDE<\/b> utilizzare il software di installazione Yast o eseguire il seguente commando da root<\/b>:<\/p>\n Per comunicare a AIDE (Advanced Intrusion Detection Environment)<\/b> quali attributi di quali file devono essere controllati, utilizzare il file di configurazione \/etc\/aide.conf<\/b>. Questo file deve in alcuni casi venire modificato per rispondere ai requisiti della configurazione in uso. La prima sezione gestisce i parametri generali come la posizione del database di AIDE<\/b>. Le configurazioni locali pi\u00f9 rilevanti sono le regole personalizzate e le sezioni Directory e File.<\/p>\n Quello che segue \u00e8 un esempio di una tipica regola:<\/p>\n Dopo aver definito la variabile Binlib, le rispettive caselle di controllo vengono utilizzate nella sezione file.<\/p>\n Lista delle opzioni pi\u00f9 importanti:<\/p>\n Quello che segue \u00e8 un esempio di configurazione in cui AIDE<\/b> controlla ogni file nella cartella \/sbin<\/b> con le opzioni definite in Binlib omettendo pero dal controllo la cartella \/sbin\/conf.d\/.<\/p>\n 1.<\/b> Editare il file di configurazione di AIDE<\/b> (\/etc\/aide.conf<\/b>) e apportare delle modifiche se necessario. Per ulteriori informazioni e una lista completa di opzioni dare un occhiata al manuale AIDE<\/b>: \/usr\/share\/doc\/packages\/aide\/manual.html. Se ci sono degli errori di sintassi o altro nel file di configurazione si ricever\u00e0 un messaggio di errore del genere:<\/p>\n 3.<\/b> Inizializzare il database di AIDE<\/b> con il seguente comando:<\/p>\n 4.<\/b> Copiare il database (\/var\/lib\/aide\/aide.db.new) in un posto sicuro come un CD\/DVD, un Server remoto o un USB stick. Importante: Questo passo \u00e8 importante per assicurarsi che il database AIDE<\/b> non venga compromesso. \u00c8 consigliato di salvare una copia del database su un CD\/DVD – in modo che pu\u00f2 venire scritto solo una volta e non pi\u00f9 venire modificato – per evitare che il database di AIDE<\/b> venga modificato. Non lasciare il database sul computer che si vuole monitorare.<\/i><\/b><\/p>\n 1.<\/b> Rinominare il database di AIDE<\/b> con il seguente comando:<\/p>\n Dopo ogni cambiamento di configurazione bisogna inizializzare nuovamente il database e rinominarlo come sopra. \u00c8 consigliato di fare un backup del database.\n
# zypper install aide\n<\/pre>\n<\/blockquote>\n<\/div>\n
Esempi di configurazione AIDE<\/h2>\n
\n
Binlib\t= p+i+n+u+g+s+b+m+c+md5+sha1\n<\/pre>\n<\/blockquote>\n<\/div>\n
\n\n
\n Opzione<\/th>\n Descrizione<\/th>\n<\/tr>\n \n p<\/td>\n Controlla i permessi di file o cartelle selezionate.<\/td>\n<\/tr>\n \n i<\/td>\n Fa un controllo del numero inode. Ogni file ha un unico numero inode che non dovrebbe cambiare.<\/td>\n<\/tr>\n \n n<\/td>\n Controlla quanti links puntano a un file.<\/td>\n<\/tr>\n \n u<\/td>\n Controlla se il proprietario di un file \u00e8 cambiato.<\/td>\n<\/tr>\n \n g<\/td>\n Controlla se il gruppo di un file \u00e8 cambiato.<\/td>\n<\/tr>\n \n s<\/td>\n Controlla se le dimensioni di un file sono cambiate.<\/td>\n<\/tr>\n \n b<\/td>\n Controlla se il “block count” usato dal file \u00e8 cambiato.<\/td>\n<\/tr>\n \n m<\/td>\n Controlla se la data di modifica (mtime) di un file \u00e8 cambiata.<\/td>\n<\/tr>\n \n c<\/td>\n Controlla se la data di accesso (atime) di un file \u00e8 cambiata.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n
\/sbin\tBinlib\n!\/sbin\/conf.d \n<\/pre>\n<\/blockquote>\n<\/div>\n
Creare un database AIDE<\/h2>\n
\n2.<\/b> Controllare se le modifiche apportate al file di configurazione di AIDE<\/b> sono corrette con il seguente comando:<\/p>\n\n
# aide --config-check\n<\/pre>\n<\/blockquote>\n<\/div>\n
\n
aide --config-check 35:syntax error:!\n35:Error while reading configuration:! Configuration error\n<\/pre>\n<\/blockquote>\n<\/div>\n
\n
# aide -i\n<\/pre>\n<\/blockquote>\n<\/div>\n
Effettuare un controllo locale con AIDE<\/h2>\n
\n
# mv \/var\/lib\/aide\/aide.db.new \/var\/lib\/aide\/aide.db\n<\/pre>\n<\/blockquote>\n<\/div>\n
\n2.<\/b> Avviare un controllo del sistema con il seguente comando:<\/p>\n