Sysadmin手記:どのようにmtreeを利用してFreeBSDオペレーティングシステムファイルの完全性監査を行いますか?
2573 ワード
Sysadmin手記:どのようにmtreeを利用してFreeBSDオペレーティングシステムファイルの完全性監査を行いますか?http://dawnh.net/freebsd/252/use-mtree-for-freebsd-filesystem-integrity-auditing/
編集して編集するhttp://blogs.techrepublic.com.com/security/?p=283
Sysadminにとって、どのようにシステムを補強するかは、長盛不衰の話題です。しかし、いくら堅固なシステムでも、守られない場合があります。非常に小さなミスでシステム全体が壊れてしまう場合があります。したがって、Sysadminにとっては、システムの安全をできるだけ保証することが第一であり、第二に、システムが侵入されていることや制御されていることをより迅速かつ効果的に発見することができる。したがって、完璧な日誌システムが必要です。しかし、記録できない侵入や破壊行為も多く、他の面から工夫が必要です。Windowsのオペレーティングシステムについては、Win 2 kからSFCシステムがあり、システムのコアファイルが変更されると、管理者に警告して監査ログを作成します。このゲームはWin 2003でさらに発展しましたが、とても使いにくいようです。MSはWindows 2008のリリースを控えて、Trusted Platformというフレームワークを構築し、SFCをさらに改善しました。その原理は大体核心部品のデジタル署名と認証機構であるはずです。私の今のPCはあるP 2 Pネットワークテレビがtcpip.sysを修正したため、このモジュールのerrorログを作成し続けています。大体において、このゲームはまだ使えると説明しています。しかし、Windowsでは発見しにくい破壊行為は、ファイルシステムではなくレジストリの方が多いので、この面ではもっと複雑になるかもしれません。
これは一つのシステム自体が哲学を設計する原因です。すべてはファイルです。したがって、ファイルシステムの変更を効果的に監視することができれば、システムに対するすべての不良行為を把握することができます。以前、Linuxシステムはルート全体にmd 5 sumを作って実現できると書いたことがありますが、これは他のユニクスシステムにも適用されます。しかし、FreeBSDには、より便利なツール、mtreeがある。
もともとmtreeというのは、システムやソフトウェアをインストールする際にディレクトリツリーを作成しておくためのものです。ハッシュ計算や権限対比などの能力があるので、ファイルシステムの完全性監査ツールとしてもちょうどいいです。もう一つ重要な原因はこのツールが基本発行版に付属していて、手当たり次第に取ってくるものです。システムが侵入されても、基本命令集がpsのようになり、topがばらばらになっていても、mtreeで手足を動かすことを考える人は少ないです。信頼できる確率を万全に考えるためにも、レスキューCDの中のこのツールを使ってもいいし、それに依存するライブラリは非常に少なく、他のシステムのcpから一時的に使ってもいいです。こんな無駄話をしましたが、使い方はとても簡単です。
-Kは使用するハッシュ方法を表しています。shar 256は十分安全ですよね。
-pはmtreeのディレクトリを作成することを表します。指定ルートはもちろんファイルシステム全体に作りました。実際の使用需要に応じて、変更された頻度の高いカタログ、例えば/var/logなどを含めるべきではない。もっと完璧にしたいなら、スクリプトを書いて、あるファイルのディレクトリリストを読みます。
完成した後mtree.txtの中は私達が取得する監査情報です。mtree.txtからファイルシステムと照合して変更状況を確認するには、以下のコマンドを使います。
このように私達がするのは定期的にファイルシステムのためにmtree.txtを作って、そして適切に保管して、そしてシステムが問題があると疑われる時にそれを取り出して検査しました。
編集して編集するhttp://blogs.techrepublic.com.com/security/?p=283
Sysadminにとって、どのようにシステムを補強するかは、長盛不衰の話題です。しかし、いくら堅固なシステムでも、守られない場合があります。非常に小さなミスでシステム全体が壊れてしまう場合があります。したがって、Sysadminにとっては、システムの安全をできるだけ保証することが第一であり、第二に、システムが侵入されていることや制御されていることをより迅速かつ効果的に発見することができる。したがって、完璧な日誌システムが必要です。しかし、記録できない侵入や破壊行為も多く、他の面から工夫が必要です。Windowsのオペレーティングシステムについては、Win 2 kからSFCシステムがあり、システムのコアファイルが変更されると、管理者に警告して監査ログを作成します。このゲームはWin 2003でさらに発展しましたが、とても使いにくいようです。MSはWindows 2008のリリースを控えて、Trusted Platformというフレームワークを構築し、SFCをさらに改善しました。その原理は大体核心部品のデジタル署名と認証機構であるはずです。私の今のPCはあるP 2 Pネットワークテレビがtcpip.sysを修正したため、このモジュールのerrorログを作成し続けています。大体において、このゲームはまだ使えると説明しています。しかし、Windowsでは発見しにくい破壊行為は、ファイルシステムではなくレジストリの方が多いので、この面ではもっと複雑になるかもしれません。
これは一つのシステム自体が哲学を設計する原因です。すべてはファイルです。したがって、ファイルシステムの変更を効果的に監視することができれば、システムに対するすべての不良行為を把握することができます。以前、Linuxシステムはルート全体にmd 5 sumを作って実現できると書いたことがありますが、これは他のユニクスシステムにも適用されます。しかし、FreeBSDには、より便利なツール、mtreeがある。
もともとmtreeというのは、システムやソフトウェアをインストールする際にディレクトリツリーを作成しておくためのものです。ハッシュ計算や権限対比などの能力があるので、ファイルシステムの完全性監査ツールとしてもちょうどいいです。もう一つ重要な原因はこのツールが基本発行版に付属していて、手当たり次第に取ってくるものです。システムが侵入されても、基本命令集がpsのようになり、topがばらばらになっていても、mtreeで手足を動かすことを考える人は少ないです。信頼できる確率を万全に考えるためにも、レスキューCDの中のこのツールを使ってもいいし、それに依存するライブラリは非常に少なく、他のシステムのcpから一時的に使ってもいいです。こんな無駄話をしましたが、使い方はとても簡単です。
mtree -c -K sha256digest -p / > mtree.txt-Kは使用するハッシュ方法を表しています。shar 256は十分安全ですよね。
-pはmtreeのディレクトリを作成することを表します。指定ルートはもちろんファイルシステム全体に作りました。実際の使用需要に応じて、変更された頻度の高いカタログ、例えば/var/logなどを含めるべきではない。もっと完璧にしたいなら、スクリプトを書いて、あるファイルのディレクトリリストを読みます。
完成した後mtree.txtの中は私達が取得する監査情報です。mtree.txtからファイルシステムと照合して変更状況を確認するには、以下のコマンドを使います。
mtree -f /path-to-mtree.txt -K sha256digest -p /. changed
modification time expected Mon Sep 10 13:40:01 2007 found Mon Sep 10 14:08:21 2007
mtree.txt changed
size expected 0 found 24407
modification time expected Mon Sep 10 14:08:09 2007 found Mon Sep 10 14:08:11 2007
SHA-256 expected e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 found cb61a409d5e71a69ebbaa713e6d752db275a04f1629b86c4e52a835c70c422df
xxx extra
yyy missingこのように私達がするのは定期的にファイルシステムのためにmtree.txtを作って、そして適切に保管して、そしてシステムが問題があると疑われる時にそれを取り出して検査しました。