Labrador, um detector de intrusos

rafaelcosta1984

O Labrador é uma ferramenta multiplataforma que pode ser usada como um sistema de detecção de intrusos. Ele verifica possíveis alterações nos seus arquivos e diretórios, ou seja, com o uso do Labrador você poderá saber se alguém invadiu seu sistema caso algum de seus arquivos tenha sido modificado sem o seu conhecimento.

[ Hits: 30.969 ]

Por: Rafael em 09/10/2006

2 0

Denuncie Favoritos Indicar Impressora

Configurando

Nas configurações do Labrador existem dois arquivos a serem vistos: o arquivo labrador.conf, que contém as opções gerais de utilização do Labrador e o rules.conf, que é onde são feitas as regras que são usadas para a criação do banco de dados do Labrador, onde contém as informações sobre os arquivos para as futuras verificações do seu sistema.

Configurar o arquivo labrador.conf é muito fácil, basta comentar ou descomentar alguma linha. Com o Labrador é possível restaurar algum arquivo seu que tenha sido alterado sem o seu conhecimento ou simplesmente enviar um e-mail relatando as alterações no seu sistema.

O passo principal para configurar o arquivo de regras do Labrador é renomear o arquivo rules-NIX.conf para rules.conf. Criar as regras do seu sistema, é algo bem específico, mas por padrão já existe um conjunto de regras básicas, como por exemplo:

<mode> 
    /var -r
    /var/www !
</mode>

Tal regra significa que para todos os arquivos da pasta /var serão registradas todas as permissões e tipos de arquivo, porém não serão registradas tais informações do diretório /var/www por causa da opção "!".

Para adicionar uma regra basta escolher a target da opção que você deseja e fazer criar a regra de acordo com o modelo abaixo:

<backup><dev>
	/var/www -r
        /etc
</dev></backup>

Com tudo instalado e devidamente configurado, vamos para o último passo, que é utilizar o Labrador.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Download, instalação e dependências
   3. Configurando
   4. Utilizando

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Implementação de NIDS com EasyIDS

Introdução ao Personal Firewall (PF)

Política de Segurança para Dispositivos Móveis

Automatizando as atualizações no Linux

Criptografia assimétrica com o RSA

Comentários

[1] Comentário enviado por gorduloko em 10/10/2006 - 08:41h

Perfeito!!! \o/

Multi plataforma! ótimo.... perfeito para saber se foi instalado um rootkit na maquina e/ou se fizeram alterações em seus arquivos sem a sua autorização mto bom Parabés

[]'s

1 0

[2] Comentário enviado por marcosboscatti em 10/10/2006 - 11:11h

Legal....estou testando..
Valeu pelo artigo

1 0

[3] Comentário enviado por FabricioFF em 11/10/2006 - 10:03h

Cara, muito bom, pra falar a verdade o labrador parece se sair melhor do que muitos outros similares de maior fama

1 0

[4] Comentário enviado por leopvh em 11/10/2006 - 13:51h

Blz, mas vc sabe onde posso achar ele .deb?
Desde já agradeço.

1 0

[5] Comentário enviado por FabricioFF em 11/10/2006 - 20:05h

Cara, se o programa é feito em perl nao existe a necessidade de um .deb, basta vc ter o interpretador perl na sua maquina, que em 99,999% das distribuições gnu/linux ja virem com ele. O resto ta bem explicado para fazer ele funfar!

1 0

[6] Comentário enviado por luizvieira em 29/04/2009 - 16:21h

Conheço o desenvolvedor do Labrador, e já testei o programa tbm. É muito bom e tem as funcionalidades do Tripwire com algumas coisa à mais.
Vale a pena!

2 0