 | Monitorar seu Sistema
Há um ditado nos círculos de segurança em computadores de que a única
forma de realmente proteger um computador é desconectá-lo completamente
e trancá-lo em uma caixa. Não tão simples, mas a mensagem subjacente é
que se um hacker realmente quiser invadir um sistema, é provável
que ele encontrará uma maneira.
Após executar as etapas em direção à prevenção da intrusão, você precisa
configurar um sistema de monitoramento para detectar se um ataque contra
o seu servidor foi estabelecido. Em seguida, se você for alertado sobre
um ataque, é melhor preparar-se para lidar com ele antecipadamente.
As seguintes seções percorrem as etapas da instalação e da configuração
de dois programas que ajudam a detectar intrusões. O Tripwire o alerta
sobre atividades não-autorizadas que ocorrem com arquivos de sistema no
seu servidor e o Logwatch é uma ferramenta que pode ser utilizada para
criar relatórios para você analisar.
Tripwire
O Tripwire é um programa que configura uma linha de base de binários normais
do sistema para o seu computador. Ele, então, relata quaisquer anomalias
junto a esta linha de base através de um alerta por e-mail ou através de um
log. Essencialmente, se os binários do sistema tiverem sido alterados, você
saberá sobre isso. Se uma instalação legítima causar uma alteração dessas,
não há nenhum problema. Mas se os binários forem alterados como um resultado
de um cavalo de Tróia ou rootkit sendo instalado, tem um ponto inicial a partir
do qual pesquisar o ataque e corrigir os problemas.
Para instalar e configurar o Tripwire através da linha de comando, siga
estas etapas:
- Insira o seguinte comando:
sudo aptitude install tripwire
|
- Pressione Enter e digite sua senha. O Tripwire é transferido por
download e instalado.
- Uma tela de configuração é apresentada conforme mostrado na Figura 1.
Figura 1
Configuração do Tripwire.
Esta tela informa aos usuários dos sistemas baseados no Debian
sobre um cenário potencial no qual um hacker pode obter a passphrase utilizada
com o Tripwire enquanto ele não está criptografado. Usuários avançados podem
optar por parar aqui e criar a chave do site e os arquivos de configuração
por conta própria. Iniciantes devem selecionar OK e continuar.
- A próxima tela pergunta se você deseja criar sua passphrase durante a
instalação. Selecione Sim e pressione Enter.
- A próxima tela informa sobre como o Tripwire funciona. O programa
cria um arquivo de texto que armazena um banco de dados criptografado
da configuração dos sistemas. Este arquivo de texto é a linha de base. Se
alguma alteração for feita na configuração do sistema, o Tripwire visualiza
a alteração e cria um alerta. Para fazer alterações legítimas no sistema,
você pode criar uma passphrase. Selecione Sim
e pressione Enter para iniciar a criação do arquivo de configuração.
- A tela a seguir explica a mesma coisa, mas desta vez você estará criando um
arquivo de política do Tripwire. Novamente, selecione Sim e
pressione Enter.
- Assim que os arquivos tiverem sido criados, você será solicitado a digitar
a passphrase chave do site. É necessário lembrar-se desta passphrase. Selecione
OK e, então, pressione Enter. Sua passphrase será solicitada novamente na próxima tela.
- Você será levado até a tela da passphrase local. Esta passphrase é necessária
para os arquivos locais no servidor. Insira sua passphrase local, selecione
OK e, então, pressione Enter. Também é necessário digitar novamente esta senha.
- Agora que o Tripwire foi instalado, você é informado sobre o local do banco
de dados e dos binários. Com o OK selecionado, pressione Enter novamente
para concluir o processo de configuração.
Você pode executar a inicialização do banco de dados digitando
Pressione Enter. Você também será solicitado a fornecer a passphrase
local criada durante a instalação do Tripwire. Forneça a passphrase e,
novamente, pressione Enter. Agora, o Tripwire criou a captura instantânea
da linha de base do seu sistema de arquivos. Esta linha de base será utilizada
para verificar se há alterações nos arquivos críticos. Se uma alteração deste
tipo for detectada, um alerta será enviado.
É possível executar uma verificação de integridade a qualquer momento seguindo
estas etapas:
- Digite
- Pressione Enter. Você receberá um relatório que é salvo no diretório
de relatórios. Para visualizar este relatório, utilize o comando
twprint :
sudo twprint --print-report -r\
|
- Pressione Enter e digite a senha
sudo
. Você receberá um tipo diferente do prompt que tem a seguinte aparência:
Neste prompt,
digite o local e o nome do arquivo do relatório que deseja imprimir:
> /var/lib/tripwire/report/<server name>-YYYYMMDD-HHMMSS.twr| less
|
Se você não souber o horário exato que executou seu relatório,
navegue até o diretório /var/lib/tripwire/reports para visualizar
o nome completo do arquivo.
À medida que suas habilidades se desenvolvem, você pode consultar o
twadmin para aprimorar ainda mais os recursos do Tripwire. Também é
possível configurar uma tarefa cron para enviar a você uma cópia por
e-mail deste relatório a cada dia ou configurar o Tripwire para enviar
a você um e-mail se uma anomalia for relatada.
Logwatch
O Logwatch é uma excelente ferramenta para monitorar os arquivos de log
do seu sistema. Este programa requer um servidor de e-mail em funcionamento
em sua rede para enviar os logs por e-mail para você. Se desejar alterar o
arquivo .conf, você precisa abrir /usr/share/logwatch/default.conf/logwatch.conf
e consultar a linha onde se lê MailTo. Altere
user.name.domain.tld para o seu endereço de e-mail.
Você pode instalar o Logwatch com este comando:
sudo aptitude install logwatch
|
Para enviar os logs por e-mail para você mesmo, digite
logwatch --mailto email@youraddress.com --range All
|
Pressionar Enter envia uma cópia do relatório para o endereço de e-mail
especificado. Se você não estiver executando um servidor de e-mail em sua rede
mas ainda desejar visualizar um relatório do Logwatch, o seguinte comando o
fornece na tela:
logwatch --range All --archives --detail Med
|
A saída possui várias telas; pressione Shift-Page Up para mover para
o início do relatório.
| |
