Nagios - Automatizando Auditorias de Rootkit

joaocpimenta

Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.

[ Hits: 12.778 ]

Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta

0 0

Denuncie Favoritos Indicar Impressora

Premissas / rkhunter / check_rootkit

Premissas

Iremos adotar como premissas, os seguintes pontos:

Você já possui um servidor Nagios de monitoramento no seu ambiente.
O cliente NRPE do Nagios já está instalado e configurado no servidor que será auditado/monitorado.
O servidor auditado é um GNU/Linux.

Instalando o rkhunter (scan de rootkits)

Partiremos do ponto que é necessário ter um rootkit scanner instalado. Esse, por sua vez, se encarregará de identificar as potenciais ameaças.

Vale ressaltar que, em hipótese alguma, um rootkit scanner garante a segurança do seu sistema, isso deriva de uma série de outros fatores complexos dos quais carecem de análise e configuração. O foco nesse artigo é automatizar o processo de auditoria, OK?

Pois bem, usaremos o "rkhunter V 1.4.0" como rootkit scanner. Sua instalação é bem simples e consiste nos seguintes passos:

Download:

http://sourceforge.net/projects/rkhunter/

Descompactação:

# tar -xvf rkhunter-1.4.0.tar.gz

Instalação:

# ./installer.sh --layout /usr/local --install

No meu caso, instalei no "/usr/local", caso deseje escolher outro diretório, fica a seu critério, mas lembre-se de adotar o caminho escolhido nos próximos passos.

Após instalado, execute-o a caráter de teste:

# rkhunter --check-all

Adicionando e configurando o plugin check_rootkit no Nagios

Esse plugin se responsabiliza por enviar o resultado do scan para o Nagios Server, e deve ser colocado no host que será monitorado.

Vamos lá. Download do plugin:

http://exchange.nagios.org/directory/Plugins/Operating-Systems/Linux/check_rootkit/details

Descompactação:

# gzip -cd check_rootkit.gz | gzip -d - > check_rootkit

Ele deve ser colocado no diretório em que se encontram os plugins do Nagios:

# cp check_rootkit /usr/local/nagios/libexec/

Feito isso, devemos alterar suas permissões:

# chown nagios.nagios check_rootkit
# chmod +x check_rootkit

Agora, precisamos realizar uma pequena alteração no script "check_rootkit" para que funcione corretamente. Na linha 61, iremos alterar de:

Securitydata=`sudo rkhunter --quiet --allow-ssh-root-user --checkall 2>&1`

Para:

Securitydata=`sudo rkhunter --quiet --check 2>&1`

Essa alteração decorre por essa versão do rkhunter não suportar o parâmetro "--allow-ssh-root-user".

Próxima página

Páginas do artigo

   1. Premissas / rkhunter / check_rootkit
   2. Configurações
   3. Suprimindo warnings e mostrando somente criticals no monitor

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Aspecto de segurança para uma arquitetura web

Importar Chave GPG

Configuração "automágica" de servidor Linux PDC Samba

Instalação do Nessus 3.0

Vírus em Linux?

Comentários

[1] Comentário enviado por silent-man em 24/06/2013 - 08:36h

Excelente, parabéns!!!

0 0

[2] Comentário enviado por joaocpimenta em 25/06/2013 - 12:55h

Obrigado Gleison!

0 0

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

0 0

[4] Comentário enviado por joaocpimenta em 26/06/2013 - 10:01h

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

Opa Tácio, obrigado!

O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)

Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/

0 0

[5] Comentário enviado por Tacioandrade em 26/06/2013 - 11:36h

Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).

0 0