Labrador, um detector de intrusos

rafaelcosta1984

O Labrador é uma ferramenta multiplataforma que pode ser usada como um sistema de detecção de intrusos. Ele verifica possíveis alterações nos seus arquivos e diretórios, ou seja, com o uso do Labrador você poderá saber se alguém invadiu seu sistema caso algum de seus arquivos tenha sido modificado sem o seu conhecimento.

[ Hits: 30.888 ]

Por: Rafael em 09/10/2006

2 0

Denuncie Favoritos Indicar Impressora

Configurando

Nas configurações do Labrador existem dois arquivos a serem vistos: o arquivo labrador.conf, que contém as opções gerais de utilização do Labrador e o rules.conf, que é onde são feitas as regras que são usadas para a criação do banco de dados do Labrador, onde contém as informações sobre os arquivos para as futuras verificações do seu sistema.

Configurar o arquivo labrador.conf é muito fácil, basta comentar ou descomentar alguma linha. Com o Labrador é possível restaurar algum arquivo seu que tenha sido alterado sem o seu conhecimento ou simplesmente enviar um e-mail relatando as alterações no seu sistema.

O passo principal para configurar o arquivo de regras do Labrador é renomear o arquivo rules-NIX.conf para rules.conf. Criar as regras do seu sistema, é algo bem específico, mas por padrão já existe um conjunto de regras básicas, como por exemplo:

<mode> 
    /var -r
    /var/www !
</mode>

Tal regra significa que para todos os arquivos da pasta /var serão registradas todas as permissões e tipos de arquivo, porém não serão registradas tais informações do diretório /var/www por causa da opção "!".

Para adicionar uma regra basta escolher a target da opção que você deseja e fazer criar a regra de acordo com o modelo abaixo:

<backup><dev>
	/var/www -r
        /etc
</dev></backup>

Com tudo instalado e devidamente configurado, vamos para o último passo, que é utilizar o Labrador.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Download, instalação e dependências
   3. Configurando
   4. Utilizando

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

KNOCK + SSH

IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1

VPN com FreeS/WAN

Armitage: a nova interface gráfica do Metasploit

Desvendando código malicioso no fórum Viva o Linux

Comentários

[1] Comentário enviado por gorduloko em 10/10/2006 - 08:41h

Perfeito!!! \o/

Multi plataforma! ótimo.... perfeito para saber se foi instalado um rootkit na maquina e/ou se fizeram alterações em seus arquivos sem a sua autorização mto bom Parabés

[]'s

1 0

[2] Comentário enviado por marcosboscatti em 10/10/2006 - 11:11h

Legal....estou testando..
Valeu pelo artigo

1 0

[3] Comentário enviado por FabricioFF em 11/10/2006 - 10:03h

Cara, muito bom, pra falar a verdade o labrador parece se sair melhor do que muitos outros similares de maior fama

1 0

[4] Comentário enviado por leopvh em 11/10/2006 - 13:51h

Blz, mas vc sabe onde posso achar ele .deb?
Desde já agradeço.

1 0

[5] Comentário enviado por FabricioFF em 11/10/2006 - 20:05h

Cara, se o programa é feito em perl nao existe a necessidade de um .deb, basta vc ter o interpretador perl na sua maquina, que em 99,999% das distribuições gnu/linux ja virem com ele. O resto ta bem explicado para fazer ele funfar!

1 0

[6] Comentário enviado por luizvieira em 29/04/2009 - 16:21h

Conheço o desenvolvedor do Labrador, e já testei o programa tbm. É muito bom e tem as funcionalidades do Tripwire com algumas coisa à mais.
Vale a pena!

2 0