Nagios - Automatizando Auditorias de Rootkit

joaocpimenta

Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.

[ Hits: 12.896 ]

Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta

0 0

Denuncie Favoritos Indicar Impressora

Premissas / rkhunter / check_rootkit

Premissas

Iremos adotar como premissas, os seguintes pontos:

Você já possui um servidor Nagios de monitoramento no seu ambiente.
O cliente NRPE do Nagios já está instalado e configurado no servidor que será auditado/monitorado.
O servidor auditado é um GNU/Linux.

Instalando o rkhunter (scan de rootkits)

Partiremos do ponto que é necessário ter um rootkit scanner instalado. Esse, por sua vez, se encarregará de identificar as potenciais ameaças.

Vale ressaltar que, em hipótese alguma, um rootkit scanner garante a segurança do seu sistema, isso deriva de uma série de outros fatores complexos dos quais carecem de análise e configuração. O foco nesse artigo é automatizar o processo de auditoria, OK?

Pois bem, usaremos o "rkhunter V 1.4.0" como rootkit scanner. Sua instalação é bem simples e consiste nos seguintes passos:

Download:

http://sourceforge.net/projects/rkhunter/

Descompactação:

# tar -xvf rkhunter-1.4.0.tar.gz

Instalação:

# ./installer.sh --layout /usr/local --install

No meu caso, instalei no "/usr/local", caso deseje escolher outro diretório, fica a seu critério, mas lembre-se de adotar o caminho escolhido nos próximos passos.

Após instalado, execute-o a caráter de teste:

# rkhunter --check-all

Adicionando e configurando o plugin check_rootkit no Nagios

Esse plugin se responsabiliza por enviar o resultado do scan para o Nagios Server, e deve ser colocado no host que será monitorado.

Vamos lá. Download do plugin:

http://exchange.nagios.org/directory/Plugins/Operating-Systems/Linux/check_rootkit/details

Descompactação:

# gzip -cd check_rootkit.gz | gzip -d - > check_rootkit

Ele deve ser colocado no diretório em que se encontram os plugins do Nagios:

# cp check_rootkit /usr/local/nagios/libexec/

Feito isso, devemos alterar suas permissões:

# chown nagios.nagios check_rootkit
# chmod +x check_rootkit

Agora, precisamos realizar uma pequena alteração no script "check_rootkit" para que funcione corretamente. Na linha 61, iremos alterar de:

Securitydata=`sudo rkhunter --quiet --allow-ssh-root-user --checkall 2>&1`

Para:

Securitydata=`sudo rkhunter --quiet --check 2>&1`

Essa alteração decorre por essa versão do rkhunter não suportar o parâmetro "--allow-ssh-root-user".

Próxima página

Páginas do artigo

   1. Premissas / rkhunter / check_rootkit
   2. Configurações
   3. Suprimindo warnings e mostrando somente criticals no monitor

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Arquivo de configuração do mod_security

Chkrootkit - Como determinar se o sistema está infectado com rootkit

Sistemas e volumes criptografados e escondidos utilizando o TrueCrypt

IPtables e seus módulos

Entendendo SQL Injection

Comentários

[1] Comentário enviado por silent-man em 24/06/2013 - 08:36h

Excelente, parabéns!!!

0 0

[2] Comentário enviado por joaocpimenta em 25/06/2013 - 12:55h

Obrigado Gleison!

0 0

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

0 0

[4] Comentário enviado por joaocpimenta em 26/06/2013 - 10:01h

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

Opa Tácio, obrigado!

O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)

Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/

0 0

[5] Comentário enviado por Tacioandrade em 26/06/2013 - 11:36h

Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).

0 0