# debsums -a, --all check configuration files (normally excluded)
No entanto, há uma grande quantidade de arquivos auxiliares temporários aqui e ali, não apenas no tmp-dir.
Cerca de 4.000 arquivos binários .pyc de python, que não podem ser desativados por padrão:
# cat /etc/python/debian_config
# standard, optimize
byte-compile = standard
etc...
Existe alguma distribuição de Linux que possua repositórios on-line com capacidade de verificar cada arquivo instalado em minha máquina com segurança?
estou falando sobregerenciador de pacotescomo sistema de detecção de intrusão baseado em host com criptografia moderna capaz de prevenir/detectar qualquer infecção.
Responder1
Os sistemas baseados em RPM possuem rpm -q --verify
, que faz coisas semelhantes.
No entanto, não creio que nenhum desses recursos seja uma alternativa adequada a um IDS. O principal problema é que as somas de verificação estão na máquina em questão; portanto, se ela tiver sido comprometida, você não poderá confiar nas somas de verificação locais.
Talvez você possa obter novas somas de verificação dos repositórios da Internet, mas ainda acho que você está agindo da maneira errada ao usar somas de verificação de pacotes para isso.
Uma opção muito melhor é usar um verificador de integridade de arquivos dedicado comoASSISTENTEouTripwire. Essas ferramentas permitem calcular as somas de verificação no sistema depois de colocá-lo em um estado bom e conhecido e, em seguida, armazená-las em mídia removível somente leitura (por exemplo, CD-R) para comparação posterior.
Outro problema com o método de soma de verificação de pacote é que não se pode esperar que ele verifique coisas como /etc
arquivos, já que eles são conhecidos por mudarem propositalmente do conteúdo do estoque. Com algo como AIDE, você calcula as somas de verificaçãodepoisvocê faz alterações nas versões de estoque desses arquivos, para poder dizer com segurança se uma alteração era esperada ou não.
Isso não quer dizer que a verificação da soma de verificação do pacote seja inútil. Só que não se destina a detectar modificações maliciosas. Serve para detectar alterações acidentais, para que possam ser corrigidas. Por exemplo, alguém pode ter executado um chmod -R
comando desajeitado e, em seguida, acertá-lo Ctrl-Cantes de executá-lo por muito tempo depois de perceber o erro, então você verifica os pacotes para descobrir quais permissões de arquivo dos pacotes foram alteradas.
Responder2
Eu prefiro a solução de Warren (AIDE), mas se você realmente quiser monitorar seu sistema, use algo como CFEngine ou um derivado (Puppet, Chef, saltstack, qualquer que seja) para gerenciar todo o conteúdo do seu sistema de arquivos. Use um gerenciador de pacotes para instalar arquivos, um sistema de gerenciamento de configuração para gerenciar o conteúdo de todos os arquivos de configuração e alertar quando algo mudar fora do seu sistema de configuração (além de provavelmente alterar as coisas de volta). Quanto mais fundo você for, mais envolvente será a solução. Gerenciar completamente um sistema e todos os arquivos nele contidos é uma tarefa realmente grande. O CFEngine pode aprender somas de verificação de arquivos e observá-los para você também, se você não se importa tanto com o conteúdo, mas apenas com ser notificado quando as coisas mudam. Os outros provavelmente terão funcionalidades semelhantes, mas serão mais lentos. Posso dizer que você realmente não quer fazer monitoramento recursivo frequente do sistema de arquivos com o Puppet. Mais uma vez, as curvas de aprendizagem para diferentes ferramentas são diferentes. AIDE é muito fácil de aprender, CFEngine pode ser um pequeno desafio.