Nagios - Automatizando Auditorias de Rootkit

joaocpimenta

Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.

[ Hits: 13.536 ]

Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta

0 0

Denuncie Favoritos Indicar Impressora

Suprimindo warnings e mostrando somente criticals no monitor

Caso não deseje que o Warning seja constantemente apresentado no monitor do Nagios, basta alterar o script check_rootkit dos hosts, para que gerem alertas somente com reports críticos.

Alterando o exit da linha 71 para o valor 0, ficando da seguinte forma:

Securitydata=`sudo rkhunter --quiet --check 2>&1`
   status=$?
   if test "$1" = "-v" -o "$1" = "--verbose"; then
      echo ${Securitydata}
   fi
   if test ${status} -eq 127; then
      echo "root kit hunter UNKNOWN - command not found (did you install it?)"
      exit -1
   elif test ${status} -ne 0 ; then
      echo "WARNING - rkhunter returned state $status"
      exit 0
   fi
   if echo ${Securitydata} | egrep infected > /dev/null; then
      echo rkhunter CRITICAL - Infection detected!
      exit 2
   else
      echo Security ok
      exit 0
   fi

Conclusão

Bom pessoal, com esse artigo espero que vocês poupem tempo e paciência nas auditorias de rootkit.

Página anterior

Páginas do artigo

   1. Premissas / rkhunter / check_rootkit
   2. Configurações
   3. Suprimindo warnings e mostrando somente criticals no monitor

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Ferramenta Forense de Análise de Rede (NFAT) - Xplico

Recuperação do arquivo sudoers - comandos su e sudo não funcionam mais [Resolvido]

SSH Connection With non-NIST Russian Cipher and Distro for Military Use

Backup/Restore de uma cópia fiel de um HD utilizando o DD

Desligamento automático seletivo com apcupsd

Comentários

[1] Comentário enviado por silent-man em 24/06/2013 - 08:36h

Excelente, parabéns!!!

0 0

[2] Comentário enviado por joaocpimenta em 25/06/2013 - 12:55h

Obrigado Gleison!

0 0

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

0 0

[4] Comentário enviado por joaocpimenta em 26/06/2013 - 10:01h

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

Opa Tácio, obrigado!

O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)

Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/

0 0

[5] Comentário enviado por Tacioandrade em 26/06/2013 - 11:36h

Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).

0 0