» Menu

» Últimos artigos

Visualizando Área de Trabalho Remota Recuperando sistema em mirror LVM 1 LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875

» Últimas dicas

ZTE V821: Android Dual Sim Forçando a montagem do sistema de arquivos e do disco rígido para corrigir problemas Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

» Destaques

28/05 - Palestra RJ: Django - um framework web para perfeccionistas co... (0) CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Por pinduvoz

» Login

» Top 10 usuários

6480861: Fábio Berbert de Paula 5651142: Alessandro de Oliveira Faria (A.K.A. CABELO) 2670993: Elgio Schlemer 2662352: Davidson Rodrigues Paulo 2559915: Xerxes Lins 2381023: Jefferson Estanislau da Silva 2310676: Percival F. Jr. 2229708: Cicero Juliao da Silva Junior 2118588: André L. (pinduvoz) 2093055: Edinaldo P. Silva

» Perguntas

Shell usando for [RESOLVIDO] (4) Problema - DNS resolvendo IPv6 dentro da rede IPV4 (4) Como fazer tópicos eficientes! [RESOLVIDO] (314) CORTAR COLUNAS COM AWK (4) Erro 407 (0) Nvidia FX 5200 no Sabayon não sobe interface [RESOLVIDO] (46) Ajuda para criar um servidor de arquivos (0) instalar libgdk-pixbuf... (0)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Artigo

Verificação de integridade de arquivos - Ferramenta OSSEC

rafaelrocha
29/06/2010

Neste tutorial abordaremos uma das funcionalidades da ferramenta de detecção de intruso OSSEC (Open Source Host-based Intrusion Detection System), o Syscheck. O Syscheck é responsável pela verificação da integridade e autenticidade de arquivos. O artigo está divido em três partes, introdução, instalação e configuração.

Por: Rafael Rocha

[ Hits: 9037 ]

Conceito: 10.0 1 voto(s)

+ quero dar nota ao artigo

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Introdução

O que é o Ossec

OSSEC (Open Source Host-based Intrusion Detection System) é uma ferramenta considerada o canivete suíço de sistemas de detecção de intruso. Com essa única ferramenta é possível fazer análise de logs, checar integridade de arquivos, monitorar administradores, detectar rootkits e obter alertas em tempo real. Dentre de todas essas funcionalidades, iremos aprender aqui como utilizar do processo Syscheck do OSSEC para a verificação de integridade de arquivos.

Porque verificar a integridade de arquivos

A resposta para a pergunta acima é simples, segurança. Quando se deseja um sistema seguro, é necessário construir barreiras em volta dele, tanto barreiras físicas quanto virtuais. Barreiras físicas são construídas no mundo real, por exemplo, os servidores devem estar localizados em uma sala na qual somente os administradores tenham acesso, o acesso a intranet de uma empresa deve ser restrita a seus funcionários etc. Já as barreiras virtuais são aquelas construídas no sistema através da utilização de softwares/hardware como proxys, firewalls etc.

Quanto o maior número de barreiras nesse sistema, mais difícil será o trabalho do invasor para obter sucesso. Porém a possibilidade de sucesso sempre existe. Na maioria das vezes que um invasor alcança seu objetivo, ele deixa rastros no sistema e a modificação de arquivos é um deles. A integridade de arquivo entra nessa guerra para identificar os rastros deixados em arquivos e notificar os administradores de um possível ataque.

Como funciona

Integridade de arquivo, como diz o nome, é o processo que verifica a integridade e autenticidade de um arquivo, ou seja, o objetivo é identificar arquivos modificados sem o consentimento do administrador do sistema. Esse processo é feito através de comparações de chaves hash que representa os arquivos.

O hash é uma sequência de bits gerado por um algoritmo de dispersão, o qual transforma uma grande quantidade de arquivo em uma pequena quantidade. Dessa forma quando um arquivo é o modificado, a chave gerada para esse novo arquivo é totalmente diferente da chave gerada anteriormente. O que possibilita a comparação de uma pequena quantidade de dados que representam os arquivos. Um ponto notável para a segurança é o fato de ser impossível reconstruir o arquivo a partir de sua chave.

Próxima página >>

Páginas do artigo

   1. Introdução
   2. Instalando o Ossec
   3. Configuração do Syscheck

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Backup automatizado e seguro usando SSH / SCP / SFTP

Utilizando SSH com método de autenticação publickey + ssh-agend + ssh-add

Ferramentas de detecção e NMAP

Como funcionam os sistemas de biometria: um estudo geral

Iptraf Sniffer - noções básicas

Comentários

[1] Comentário enviado por jeferson_roseira em 29/06/2010 - 13:26h:

Prabéns pelo artigo.

Muito bom o conteúdo, gostei também dos exemplos.

att.

Jeferson Roseira

[2] Comentário enviado por Dombom em 01/07/2010 - 04:14h:

Parabéns, muito bom artigo