Académique Documents
Professionnel Documents
Culture Documents
Alors qu'il est possible de manipuler les dates et la taille de fichier, il est
beaucoup plus difficile de manipuler un vérificateur cryptographié
comme MD5, et plus exponentiellement difficile de manipuler chaque
ensemble de la gamme de contrôle tels que les supports AIDE. Par la
relance de AIDE après une effraction AIDE , un administrateur système
peut identifier rapidement les modifications apportées à des fichiers et à
des clés avec un assez haut degré de confiance quant à l'exactitude de ces
conclusions.
1-
#apt-get install aide
database=file:/tempo/aide.db
database_out=file:/var/lib/aide/aide.db.new
Checksums = md5+sha1+rmd160+haval+gost+crc32+tiger+whirlpool
OwnerMode = p+u+g
Size = s+b
InodeData = OwnerMode+n+i+Size
RamdiskData = InodeData-i
StaticFile = m+c+Checksums
Full = InodeData+StaticFile
VarFile = OwnerMode+n
VarDir = OwnerMode+n+i
RotatedLogs = Full+I
Logs = OwnerMode+n+S
LowLogs = Logs-S
LinkedLogs = Logs-n
root@tlon:~# ls -l /etc/cron.daily/aide
-rwxr-xr-x 1 root root 12686 2006-12-17 21:34 /etc/cron.daily/aide
root@tlon:~# cat /etc/cron.daily/aide
#!/bin/bash
set -e
set -C
[ -f "/usr/bin/aide" ] || exit 0
# default variables
PATH="/sbin:/usr/sbin:/bin:/usr/bin"
JLASSIE HOUSSINE SIL2C
LOGDIR="/var/log/aide"
LOGFILE="$LOGDIR/aide.log"
CONFFILE="/var/lib/aide/aide.conf.autogenerated"
PREFIX="aide"
TMPBASE="/var/run/aide"
LOCKFILE="$TMPBASE/cron.daily.lock"
TMPDIR="$TMPBASE/cron.daily"
AIDEARGS="-V4"
FQDN="$(hostname -f)"
MAILSUBJ="Daily AIDE report for $FQDN"
.
.
.
onexit success
# end of file
root@tlon:~# ls -l /var/log/aide/*
-rw-r--r-- 1 root root 89 2008-10-22 14:50 /var/log/aide/aideinit.errors
-rw-r--r-- 1 root root 0 2008-10-22 13:43 /var/log/aide/aideinit.log
-rw-r----- 1 root adm 1535 2008-10-23 07:01 /var/log/aide/aide.log
-rw-r----- 1 root adm 374 2008-10-22 14:57 /var/log/aide/aide.log.0
-rw-r----- 1 root adm 168 2008-10-22 14:55 /var/log/aide/aide.log.1.gz
database=file:/tempo/aide.db
database_out=file:/var/lib/aide/aide.db.new
Checksums = md5+sha1+rmd160+haval+gost+crc32+tiger+whirlpool
OwnerMode = p+u+g
Size = s+b
InodeData = OwnerMode+n+i+Size
RamdiskData = InodeData-i
StaticFile = m+c+Checksums
root@tlon:~# ls -l /var/log/aide/*
-rw-r--r-- 1 root root 89 2008-10-22 14:50 /var/log/aide/aideinit.errors
-rw-r--r-- 1 root root 0 2008-10-22 13:43 /var/log/aide/aideinit.log
-rw-r----- 1 root adm 1535 2008-10-23 07:01 /var/log/aide/aide.log
-rw-r----- 1 root adm 374 2008-10-22 14:57 /var/log/aide/aide.log.0
-rw-r----- 1 root adm 168 2008-10-22 14:55 /var/log/aide/aide.log.1.gz
database = file:/tempo/aide.db
database_out = file:/var/lib/aide/aide.db.new
Checksums = md5+sha1+rmd160+haval+gost+crc32+tiger+whirlpool
OwnerMode = p+u+g
Size = s+b
InodeData = OwnerMode+n+i+Size
RamdiskData = InodeData-i
StaticFile = m+c+Checksums
Full = InodeData+StaticFile
VarFile = OwnerMode+n
VarDir = OwnerMode+n+i
RotatedLogs = Full+I
Logs = OwnerMode+n+S
LowLogs = Logs-S
LinkedLogs = Logs-n
@@define FQDN tlon\.lipn\.univ-paris13\.fr
@@define HOSTNAME tlon\.lipn\.univ-paris13\.fr
@@define DNSDOMAINNAME lipn\.univ-paris13\.fr
Full = InodeData+StaticFile
VarFile = OwnerMode+n
VarDir = OwnerMode+n+i
RotatedLogs = Full+I
Logs = OwnerMode+n+S
LowLogs = Logs-S
LinkedLogs = Logs-n
@@define FQDN tlon\.lipn\.univ-paris13\.fr
@@define HOSTNAME tlon\.lipn\.univ-paris13\.fr
JLASSIE HOUSSINE SIL2C
# Here are all the things we can check - these are the default rules # Ici
sont toutes les choses que nous pouvons vérifier - ce sont les règles par
défaut
#
#p: permissions # p: autorisations
#i: inode # i: inode
#n: number of links # n: nombre de liens
#l: link name # l: nom du lien
#u: user # u: l'utilisateur
#g: group # g: groupe
#s: size # s: taille
#b: block count # B: bloc compter
#m: mtime # m: mtime
#a: atime # A: atime
#c: ctime # c: ctime
#S: check for growing size # S: pour vérifier la taille de plus en
plus
#I: ignore changed filename # I: ignorer changé le nom de fichier
#md5: md5 checksum # md5: Somme de contrôle MD5
#sha1: sha1 checksum # sha1: somme de contrôle SHA1
#sha256: sha256 checksum # sha256: sha256 de contrôle
JLASSIE HOUSSINE SIL2C
# You can alse create custom rules - my home made rule definition
goes like this # Vous pouvez sinon créer des règles - ma maison règle
définition va comme ça
#
MyRule = p+i+n+u+g+s+b+m+c+md5+sha1
base de données
/etc p+i+u+g #check only permissions, inode, user and group for etc
/ etc p + i + u + g # vérifier que les permissions, inode, d'utilisateurs et
de groupes de etc
/bin MyRule # apply the custom rule to the files in bin / bin #
MyRule appliquer la règle de la coutume dans les fichiers de bin
/sbin MyRule # apply the same custom rule to the files in sbin / sbin
# MyRule appliquer la même règle de la coutume dans les fichiers de
sbin
/var MyRule / var MyRule
!/var/log/.* # ignore the log dir it changes too often ! / var / log / .*
# ignorer le journal dir elle change trop souvent
!/var/spool/.* # ignore spool dirs as they change too often ! / var /
spool / .* # ignore les répertoires spool comme ils changent trop souvent
!/var/adm/utmp$ # ignore the file /var/adm/utmp ! / var / adm / utmp
$ # ignorer le fichier / var / adm / utmp