Alcuni mesi fa mi sono trovato uno dei miei firewall (linux) “bucati”, il buco per fortuna non aveva causato danni tuttavia non mi ero accorto di nulla per alcune settimane.
Un consulente mi ha consigliato l’uso di uno script che una volta installato (per debian apt-get install integrit) effettua tutte le notti un controllo dei file (in base ad un elenco caricato nel file di configurazione) e alla fine manda una mail con l’elenco dei file modificati dal lancio precedente.
Ovviamente vanno messe sotto controllo esclusivamente cartelle che non devono variare se non per manutenzione volontaria.
Il sistema è ottimo poichè assolve a due problematiche specifiche:
Lo script per funzionare necessita di due file di cofigurazione, nello specifico:
integrit.conf
root=/
known=/var/lib/integrit/known.cdb
current=/var/lib/integrit/current.cdb
/ C
!/backup
!/cdrom
!/dev
!/etc
!/floppy
!/home
!/lost+found
!/media
!/mnt
!/proc
!/root
!/sys
!/tmp
!/var
=/usr/include
=/usr/X11R6/include
=/usr/doc
=/usr/info
=/usr/share
=/usr/X11R6/man
=/usr/X11R6/lib/X11/fonts
!/usr/src
Le cartelle precedute dal carattere “!” sono da escludersi al controllo.
integrit.debian.conf
CONFIGS=”/etc/integrit/integrit.conf”
EMAIL_RCPT=”root”
ALARM_RCPT=”root”
EMAIL_SUBJ=”[integrit] `hostname -f` – `date` ”
EMAIL_FROM=”from: integrit@`hostname -f`”
ALWAYS_EMAIL=true
SAVECYCLE=30
Quest’ultimo file si contiene le specifiche per l’invio delle mail.
In questo caso il destinatario risulta essere root, potete camabiarlo con un indirizzo a piacimento oppure meglio ancora indicare un alias per l’utente root in /etc/alias in modo da tenere il file uguale per tutte le macchine in cui serve lo script.