Dabei handelt es sich um den Stealth-Befehl, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
Stealth – Stealth File Integrity Scanner
ZUSAMMENFASSUNG
` ' stellt den Standort des verwendeten Unix-Domain-Sockets dar.
Stealth --daemon --dry-run --log --logmail
--maximale Größe [BKMG] --no-mail --parse-policy-file
--random-interval --wiederholen
--skip-files --syslog
--syslog-facility --syslog-priority --syslog-tag
--Ausführlichkeit Politik
Stealth --dry-run --log --logmail
--maximale Größe [BKMG] --no-mail --parse-policy-file
--random-interval --wiederholen
--Führen Sie den Befehl aus --skip-files --stdout --syslog
--syslog-facility --syslog-priority --syslog-tag
--Ausführlichkeit Politik
Stealth {--ping,--reload,--rerun,--resume,--suspend,--terminate}
Stealth --help --version
BESCHREIBUNG
Der Name des Stealth Programm ist ein Akronym für:
SSH-basiert Vertrauen können aktionen Erworben - durch Konsolidierung, a Örtlich Unsere Wirt.
Stealth basiert auf einer Idee von Hans Gankema und Kees Schraube, beide im Zentrum für
Informationstechnologie der Universität Groningen. Hopko Meijering wertvoll zur Verfügung gestellt
Vorschläge zur Verbesserung.
StealthDie Hauptaufgabe besteht darin, Dateiintegritätstests durchzuführen. Das Testen selbst wird es jedoch tun
Hinterlassen Sie keine Ablagerungen auf dem getesteten Computer. Daher, Stealth hat verstohlen
Eigenschaften. Dies wird als wichtige Funktion zur Verbesserung der Sicherheit angesehen
(Integrität) der Software von Computern, die überwacht werden Stealth.
Bitte machen Sie sich das bewusst Stealth beabsichtigt, nur ein weiteres Sicherheitstool zu sein: andere Sicherheit
Maßnahmen wie Firewalls, Portscanner, Intrusion-Detection-Systeme, unverschlüsseltes Löschen
Protokolle usw. sind normalerweise erforderlich, um die Sicherheit einer Gruppe von Computern zu verbessern
sind mit dem Internet verbunden. Stealth ist ein Dateiintegritätsscanner und Dateiintegrität
Scanner bieten keinen Ersatz für diese Tools (und vv.).
Stealth verwendet eine Richtliniendatei, um die auszuführenden Aktionen zu bestimmen. Jede Richtliniendatei ist
eindeutig mit einem überwachten Host verknüpft. Dieser Host (genannt Auftraggeber unten)
vertraut dem Computer, auf dem Stealth läuft, genannt die Monitor (daher: a Örtlich Unsere
Gastgeber). Der Monitor führt Aufgaben aus (normalerweise Dateiintegritätstests). Erzwingen die Vertrauen können
wir haben im Client-Computer. Da fast alle Integritätstests auf dem Client ausgeführt werden können,
Ein Monitor kann viele Clients steuern, auch wenn der Monitor selbst veraltete Festplatten verwendet
Softwarekomponenten.
Da der Monitor und der Client unterschiedliche Computer sind (also sein sollten), muss der Monitor dies tun
Sichere Kommunikation mit dem Kunden. Dies wird über SSH realisiert. Also, es gibt
Ein weiteres Element des „lokalen Vertrauens“, das hier involviert ist: Der Client sollte dem Monitor dies erlauben
Richten Sie eine sichere SSH-Verbindung ein, die dem Monitor den Zugriff auf vertrauliche Elemente im ermöglicht
Dateisystem des Kunden.
It is wichtig zu gewährleisten zur Abwicklung, Integrierung, Speicherung und Öffentlichkeit Zugang zu die Monitor is verhindert. Nein eingehende
Leistungen sollte be erlaubt. Die einzige Zugang zu die Monitor sollte be seine trösten und
die Monitor sollte be platziert in a physisch Verbindung Sensitiv Information of
Kunden sind gelagert in die Monitore Datei System. Zu Zugang die Kunden Stealth in Daemon
Modus können. - a passwortgeschützt SSH-Schlüssel, ermöglicht Stealth zu ausführen seine und Aufgaben
danach. Dies auch, macht it wichtig zu verhindern die Monitor von Sein Zugriff by
unbefugt Personen.
Wenn, statt zu rennen Stealth Im Deamon-Modus ist es vorzuziehen, zu lassen Stealth ausführen
einzelne, aber automatisierte Integritätsscans, dann neu ssh(1) Verbindungen können schwierig sein
Stellen Sie fest, ob der verwendete SSH-Schlüssel passwortgeschützt ist. Um dieses Szenario umzusetzen (d. h.
automatisierte Integritätsscans mit passwortgeschützten SSH-Schlüsseln) des Programms ssh-cron(1 Dose
gewinnbringend genutzt werden.
StealthDie aktuelle Art der Verbindung zu Clients verwendet eine Single ssh(1) Verbindung, die
ergibt nur eine einzige sshd(1) Eintrag in den Logfiles des Kunden, der für die Dauer anhält
Dauer von Stealthist gelaufen. Beim Benutzen Stealth Im Daemon-Modus minimiert dies ebenfalls die
„Fußabdruck“ Stealth hat auf den Client-Hosts.
Der Monitor selbst benötigt normalerweise nur zwei Arten von ausgehenden Diensten: SSH um seine zu erreichen
Clients und einige Mail-Transportagenten (z. B. sendmail(1)), an den er seine ausgehende Post weiterleiten kann
irgendein Mail-Hub.
Folgendes passiert, wenn: Stealth läuft mit der ersten Zusammenfassung:
o Erstens, die Datenschutzrichtlinien Datei wird gelesen. Für jeden Client wird eine Richtliniendatei definiert,
Angabe der auszuführenden Aktionen und Angabe der Werte mehrerer
Variablen, die von verwendet werden Stealth.
o Wenn die Befehlszeilenoption --daemon angegeben, Stealth läuft als Daemon
Prozess unter Verwendung des Unix Domain Socket ( ) zur Kommunikation mit Stealth
Prozesse, die im IPC-Modus laufen.
Wenn der Zugriff auf den durch Stealth definierten Unix-Domain-Socket im Daemon-Modus ausgeführt wird
Sollte eingeschränkt werden, kann es in einem Verzeichnis definiert werden, auf das nur zugegriffen werden kann
der Benutzer, der Stealth ausführt (dies ist häufig der Root-Benutzer).
Bei Ausführung im Daemon-Modus: --repeat kann angegeben werden, um das erneut auszuführen
Integritätsscan alle Sekunden. Wenn ein Integritätsscan durchgeführt wird
wenn entsprechend dem Wiederholungsintervall der nächste Integritätsscan fällig ist, dann wird der
Der aktuelle Scan wird zunächst abgeschlossen. Nach Abschluss erfolgt der nächste Integritätsscan
nach Sekunden durchgeführt.
o Als nächstes öffnet der Monitor eine Befehlsshell auf dem Client, der ihn verwendet ssh(1) und ein Befehl
Shell auf dem Monitorcomputer selbst verwenden sh(1).
o Sobald die Befehlsshells verfügbar sind, sind die in der Richtliniendatei definierten Befehle verfügbar
in der Reihenfolge ihres Erscheinens ausgeführt. Nachfolgend finden Sie Beispiele. Im Normalfall zurück
Die Werte der Programme werden getestet. Wann Rückgabewerte getestet werden sollen Stealth
wird beendet, wenn ein Rückgabewert ungleich Null erkannt wird. In diesem Fall wird eine Meldung angezeigt
unter Angabe des Grundes dafür Stealth beendet wird, wird in die Berichtsdatei geschrieben (und in
die Mail gesendet von Stealth). In einigen Fällen (z. B. wenn die Berichtsdatei nicht erstellt werden konnte
geschrieben), wird die Nachricht in den Standardfehlerstrom geschrieben.
o Sehr oft können Integritätstests mithilfe von kontrolliert werden gefunden(1), Aufrufprogramme wie
ls(1) sha256sum(1) oder eine eigene -printf-Methode, um Dateiintegritätsbezüge zu erzeugen
Statistiken. Die meisten dieser Programme schreiben Dateinamen am Ende generierter Zeilen.
Dieses Merkmal wird von einem von verwendet StealthInterne Routinen zur Erkennung von Änderungen
in der generierten Ausgabe. Solche Änderungen könnten auf eine schädliche Absicht hinweisen, z
installiert Rootkit.
o Wenn Änderungen erkannt werden, werden diese protokolliert berichten Datei, zu welchen Informationen
wird immer angehängt. Stealth Reduziert niemals die Größe der Berichtsdatei oder schreibt sie neu
Inhalt. Wenn Informationen zur Berichtsdatei hinzugefügt werden (über einen einfachen Zeitstempel hinaus)
Die neu hinzugefügten Informationen werden per E-Mail an eine konfigurierbare E-Mail-Adresse gesendet
weitere (menschliche) Verarbeitung. Normalerweise wird die E-Mail an den Systemmanager von gesendet
der getestete Client. Stealth folgt dem „Dark Cockpit“-Ansatz in dem Sinne, dass nein
E-Mail wird gesendet, wenn keine Änderungen festgestellt wurden.
o Berichts- und andere Protokolldateien können sicher zwischen einem Paar von --suppress und rotiert werden
--resume-Befehle (siehe unten im Abschnitt „DATEIROTATION BERICHTEN“).
If Stealth Sollte nicht als Daemon-Prozess ausgeführt werden, kann die zweite Zusammenfassung verwendet werden. In diesem
Häuser Stealth führt einen oder mehrere Integritätsscans durch (letzterer, wenn die Option --repreat verwendet wird).
angegeben wurde). Wenn ein einzelner Integritätsscan angefordert wird Stealth endet nach dem
Scan. Wenn --repeat angegeben ist Stealth zeigt eine Eingabeaufforderung (z. B. „?“) und wird danach beendet
Drücken der Enter-Taste.
Die dritte Synopsys dient der Kommunikation mit a Stealth Daemon. In diesem Fall die
Unix-Domänen-Socket, definiert durch Stealth Der Daemon-Prozess muss nach dem angegeben werden
Option, die den angeforderten Befehl angibt.
OPTIONAL
Kurze Optionen werden in Klammern angegeben und folgen unmittelbar auf die lange Option
Äquivalente.
Optionsbeschreibungen mit (C) können nur in der Befehlszeile verwendet werden und werden dabei ignoriert
im zweiten Abschnitt der Richtliniendatei angegeben.
In der Optionsübersicht ` ' steht für den Namen des Unix Domain Steckdose benutzen,
und ` ' bezieht sich auf eine (relative oder absolute) Angabe eines Dateispeicherorts.
Mit der ersten und zweiten Zusammenfassung relativer Standorte (des Unix Domain Sockets und von
andere Dateispezifikationen) werden relativ zum aktuellen Arbeitsverzeichnis interpretiert.
Befehlszeilenoptionen haben Vorrang vor den in der Richtliniendatei definierten Optionen.
o --daemon (-d) : (C) als Hintergrundprozess (Daemon) ausführen. Wenn die Stealth
Daemon-Prozess gestartet wird, wird der Unix Domain Socket (tt ) ist möglicherweise noch nicht vorhanden.
o --dry-run: (C) Es werden keine Integritätsscans oder Neuladevorgänge durchgeführt, es wird jedoch davon ausgegangen, dass sie in Ordnung sind.
Die verbleibenden Aufgaben werden normalerweise erledigt;
o --help (-h): (C) Hilfeinformationen anzeigen und beenden;
o --log (-L) : Protokollmeldungen werden an „file-spec“ angehängt. Wenn die Dateispezifikation dies tut
nicht existiert, wird es zuerst erstellt;
o --logmail: E-Mail gesendet von Stealth wird protokolliert (erfordert --log oder --syslog);
o --max-size [BKMG]: Mit GET-Befehlen abgerufene Dateien dürfen höchstens haben
Bytes (B), KBytes (K), MBytes (M), GBytes (G). Die Standardgröße beträgt 10 MB
Einheit ist B.
o --no-mail: E-Mail wird nicht gesendet. Standardmäßig werden E-Mails wie im konfiguriert gesendet
Richtliniendatei (--logmail kann unabhängig von --no-mail angegeben werden);
o --parse-policy-file (-p): (C) Analysieren Sie die Richtliniendatei und anschließend Stealth endet.
Geben Sie einmal an, um die nummerierten Befehle anzuzeigen.
zweimal, um auch die Schritte zum Parsen der Richtliniendatei anzuzeigen.
Die Ergebnisse werden in den Standardspeicher geschrieben. Ausgabe.
o --ping : (C) führt keine Aktionen aus, wird aber verwendet, um zu überprüfen, ob a Stealth Daemon
ist über seinen Unix-Domain-Socket erreichbar ( ). Der Daemon antwortet auch dann, wenn
Es führt derzeit einen Integritätsscan durch. Es wird von /usr/bin/stealthcron verwendet
Skript, um zu überprüfen, ob a Stealth Daemon lebt.
o --random-interval (-i) [m]>: Starten Sie den Scan in einem zufälligen Intervall von
Sekunden (oder Minuten, wenn ein „m“ angehängt wird (keine Leerzeichen). )
nach der bei --repeat angegebenen Verzögerung (siehe unten). Diese Option erfordert
Angabe der Optionen --repeat und --daemon;
o --reload : (C) lädt die Konfigurations- und Skip-Dateien neu und startet den Scan neu
Stealth Daemon-Prozess. In der Richtliniendatei definierte Optionen sind ebenfalls vorhanden
neu geladen. Allerdings haben Befehlszeilenoptionen immer Vorrang vor definierten Optionen
in der Richtliniendatei, also wenn beim Start Befehlszeilenoptionen verwendet wurden Stealth in
Im Daemon-Modus können sie nicht durch erneutes Laden der Richtliniendatei geändert werden.
o --repeat : Aufwachen und einen Integritätsscan bei Interrupts oder danach durchführen
Sekunden (oder Minuten, wenn ein „m“ angehängt wird (keine Leerzeichen). ) nach
Abschluss des vorherigen Integritätsscans. Dazu kann die Option --random-interval verwendet werden
Fügen Sie eine zufällige Verzögerung hinzu bis der nächste Integritätsscan durchgeführt wird. Das
Option erfordert die Angabe der Option and --daemon;
o --rerun : (C) Starten Sie die Ausführung der Integritätsscan-Befehle, die in angegeben sind
die Stealth Richtliniendatei des Daemon-Prozesses;
o --resume : (C) eine gesperrte Person wieder aufnehmen Stealth Prozess, impliziert --rerun;
o --run-command (-r) : (C) Nur Befehlsnummer ausführen (natürliche Zahl).
Befehlsnummern werden angezeigt durch Stealth ---parse-policy-file. Diese Option kann nur sein
anhand der zweiten Zusammenfassung spezifiziert;
o --skip-files (-s) : alle Einträge in werden übersprungen. Ihre
Die Integrität wird nicht überwacht. Wenn in einer Protokolldatei bereits ein Eintrag vorhanden ist, dann
Stealth erzeugt einmal eine IGNORING-Nachricht in der an die Adresse gesendeten E-Mail
unter EMAIL in der Richtliniendatei angegeben. Jeder in der Dateispezifikation erwähnte Eintrag muss aktiviert sein
eine eigene Zeile und muss mit absoluten Dateipfaden angegeben werden. Einträge enden
in einem Schrägstrich gelten als Verzeichnisse, deren gesamter Inhalt übersprungen werden muss. Andere
Einträge werden als Namen der zu überspringenden Dateien interpretiert. Anfängliche und abschließende Leerzeichen,
Leerzeilen und Zeilen mit einem # als erstem Nicht-Leerzeichen werden ignoriert. Hier
sind einige Beispiele:
# Alle Dateien im Mail-Verzeichnis des Benutzers überspringen
/home/user/Mail/
# .history-Datei des Benutzers überspringen
/home/user/.history
o --stdout (-o): Nachrichten werden (auch) auf den Standard geschrieben. Ausgabestream (nur
verfügbar mit der zweiten Inhaltsangabe);
o --suspend : (C) unterbricht ein aktuell aktives Stealth Verfahren. Nachfolgend
--suspend verwenden Sie --resume, um eine erneut zu aktivieren Stealth Daemon oder --terminate, um einen zu beenden
Stealth Dämon;
o --syslog: Syslog-Nachrichten schreiben;
o --syslog-facility : Zu verwendende Syslog-Funktion. Standardmäßig ist DAEMON eingerichtet
wird genutzt;
o --syslog-priority : Zu verwendende Syslog-Priorität. Standardmäßig ist NOTICE Priorität
Gebraucht;
o --syslog-tag : Gibt die Kennung an, die dem Syslog vorangestellt wird
Mitteilungen. Standardmäßig wird der Tag „STEALTH“ verwendet, siehe auch den nächsten Abschnitt;
o --terminate : (C) Beenden Sie ein aktuell aktives Stealth verarbeiten;
o --time-stamp (-t) : die zu verwendenden Zeitstempel. Standardmäßig UTC. Um das Lokale zu nutzen
Zeit angeben --time-stamp LT. Die Option --time-stamp gilt nicht für Zeitstempel
generiert durch Syslog (siehe auch den nächsten Abschnitt);
o --usage: (C) Hilfeinformationen anzeigen und beenden;
o --verbosity : Bestimmt die Menge der protokollierten Informationen. Erfordert Optionen
--log oder --syslog. Mögliche Werte sind:
0: Es wird nichts protokolliert
1: (Standard-)Modusberichte und Richtlinienbefehle
2: auch: IPC-Befehle und -Aktionen
3: außerdem: Informationsmeldungen zum Integritätsscan
o --version (-v): (C) Anzeige Stealth's Versionsinformationen und beenden;
o Richtlinie: Dateispezifikation der Richtliniendatei. Wenn ein relativer Standort angegeben ist
dann wird dieser Speicherort relativ zum aktuellen Arbeitsverzeichnis interpretiert.
Stealth wandelt diese relative Angabe in einen absoluten Dateispeicherort um und an
Eine Option wie --reload lädt die Richtliniendatei von der so ermittelten Absolutheit neu
Dateipfad.
Es kann nur eine der Optionen --daemon, --reload, --resume, --suspend oder --terminate sein
angegeben. Die Optionen --reload, --rerun, --resume, --suspend und --terminate ignorieren alle
andere Optionen.
Die folgenden Optionen werden weiterhin aus Gründen der Abwärtskompatibilität erkannt Stealth
Versionen vor 3.00 und werden in Zukunft entfernt Stealth Ausführung. Sie erzeugen Fehler
Nachrichten, die Alternativen vorschlagen:
o --echo-commands (-e): Gibt Befehle zu einem Standardfehler zurück, wenn sie verarbeitet werden. Verwenden Sie --log
stattdessen.
o --keep-alive: als Daemon ausführen; Verwenden Sie stattdessen --daemon.
o --only-stdout: Scanbericht wird nach stdout geschrieben; Verwenden Sie stattdessen --stdout.
o --quiet (-q): unterdrückt Fortschrittsmeldungen, die an stderr geschrieben werden; Verwenden Sie --verbosity 0
stattdessen.
o --suppress : unterdrückt einen aktuell aktiven Stealth Verfahren; Verwenden Sie --suspend
stattdessen.
Die folgenden Optionen wurden ab diesem Zeitpunkt eingestellt Stealth Version 3.00.00:
o --debug (stattdessen könnte die Option --verbosity oder --dry-run verwendet werden);
o --no-child-processes;
o --parse-config-file.
Bei der Angabe langer Optionen in Richtliniendateien sollten anfängliche Bindestriche weggelassen werden. Hier sind
einige Beispiele:
%%
log /tmp/stealth.log
Ausführlichkeit 3
EXIT STATUS
Beim Anfordern eines IPC-Befehls oder beim Starten Stealth Als Daemon wird 0 zurückgegeben, wenn der
Der Befehl wurde erfolgreich abgeschlossen. Andernfalls wird ein Wert ungleich 0 zurückgegeben.
OPEN SSH LINK TO KUNDEN
Sobald Stealth wurde als Vordergrund- oder Daemon-Prozess gestartet, der Dateiintegritätsscans durchführt
ssh(1) wird verwendet, um eine Verbindung zu den von überwachten Clients herzustellen Stealth. Während Stealth läuft nur
dank One ssh(1) Es wird eine Verbindung zu jedem Client geöffnet. Diese Verbindung bleibt währenddessen aktiv
Stealth's Lebensdauer, um die Anzahl der zu minimieren sshd Einträge in den Protokolldateien des Clients.
POLITIK FILE
Die Richtliniendatei besteht aus zwei Abschnitten, der zweite Abschnitt ist optional und beginnt bei a
Zeile, die lediglich %% enthält.
Der erste Abschnitt der Richtliniendatei besteht aus zwei Datensätzen: - Richtlinien (beginnend
mit dem Stichwort VERWENDUNG) und Befehle. Leerzeilen und Informationen jenseits von Rautenzeichen (#) sind
ignoriert, während Zeilen, die auf Zeilen folgen, die mit Backslashes (\) enden, verkettet werden (en
Vorbeigehen Entfernen dieser abschließenden Backslashes). Führender Leerraum im Sinne der Richtlinie
Datei wird ignoriert.
Der (optionale) zweite Abschnitt beginnt in einer Zeile, die lediglich %% enthält. Im Anschluss daran
Mit der Trennlinie können mehrere lange Optionsangaben eingegeben werden (siehe unten im Abschnitt
OPTIONAL). In der Befehlszeile angegebene Optionen haben Vorrang vor den in angegebenen Optionen
die Richtliniendatei. Obwohl die Option --reload die Richtliniendatei neu lädt, ändert sie sich nicht
Optionswerte, die ursprünglich als Befehlszeilenoptionen angegeben wurden. Dieser Abschnitt kann enthalten
Spezifikationen der Skip-Dateien und Protokolloptionen. Relative Dateispeicherorte, die für angegeben werden
Diese Optionen werden relativ zum Speicherort der Richtliniendatei interpretiert. Wenn z. B. die
Wenn das Argument der Richtliniendatei als /root/client/policy angegeben ist, lautet das Spezifikationsprotokoll:
client.log führt zu Stealth schreibt seine Protokolle in die Datei /root/client/client.log.
DEFINIEREN Richtlinien
DEFINIEREN Direktiven werden verwendet, um längere Textzeichenfolgen mit bestimmten Symbolen zu verknüpfen. Z.B,
nach DEFINE FINDARGS -xdev -type f -exec /usr/bin/sha256sum {} \; die Spezifikation
${FINDARGS} darf in verwendet werden VERWENDUNG Richtlinien und Befehle (siehe unten), um den Text zu verwenden
in Verbindung mit FINDARGS Symbol.
Beachten Sie, dass DEFINIEREN Symbole können auch in der Definition von „Sonstiges“ verwendet werden DEFINIEREN Symbole als
Also. Direkte oder indirekte Zirkeldefinitionen sollten vermieden werden, da dies entweder nicht der Fall ist oder nicht
unvollständig erweitert.
VERWENDUNG Richtlinien
Folgende VERWENDUNG Anweisungen können angegeben werden (Anweisungen werden in Großbuchstaben geschrieben, und
sollte genau wie unten beschrieben aussehen: Die Groß-/Kleinschreibung bleibt erhalten. Spezifikationen in
spitze Klammern (wie ) stellen Spezifikationen dar, die bereitgestellt werden müssen Stealth
Benutzer:
o VERWENDUNG BASIS
BASIS Definiert das Verzeichnis, von dem aus Stealth betreibt. Alle nachfolgenden Verwandten
Pfadangaben in der Richtliniendatei (einschließlich relativer Pfadangaben in
(zweiter Teil der Richtlinie) werden relativ zu interpretiert BASIS. By Standard dies ist der
Verzeichnis wo Stealth wurde gestartet.
BASIS und andere nicht vorhandene Pfade werden automatisch von erstellt Stealth wenn noch nicht
bestehende.
Ejemplo:
VERWENDEN SIE BASE /root/client
o VERWENDUNG DD
Die DD Spezifikation verwendet /bin/dd als Standard und definiert den Speicherort des dd(1)
Programm, sowohl auf dem Server als auch auf dem Client. Der DD Das Programm dient zum Kopieren von Dateien
zwischen dem Client und dem Monitor über die bestehende SSH-Verbindung. Das Programm
Der hier angegebene Wert wird nur von verwendet Stealth beim Ausführen von PUT- und GET-Befehlen
(nachstehend beschrieben).
Beispiel für die Standardeinstellung:
VERWENDEN SIE DD /bin/dd
o VERWENDUNG DIFF
Der Standard DIFF Spezifikation verwendet /usr/bin/diffund definiert den Standort des
diff(1) Programm auf dem Monitor. Der diff(1) Das Programm wird verwendet, um ein früheres zu vergleichen
erstellte Protokolldatei einer Integritätsprüfung mit einer neu erstellten Protokolldatei.
Beispiel für die Standardeinstellung:
VERWENDEN SIE DIFF /usr/bin/diff
o VERWENDUNG DIFFPREFIX
Die DIFFPREFIX Die Spezifikation definiert die Größe des vom DIFF hinzugefügten Präfix
Befehl an Zeilen, die durch ausgeführte Befehle erzeugt werden Stealth.
Der Standard /usr/bin/diff Das Programm stellt Zeilen entweder „>“ oder „<“ voran. Der
Standardwert für ist also gleich 2.
Beispiel für die Standardeinstellung:
VERWENDEN SIE DIFFPREFIX 2
o VERWENDUNG EMAIL
Die EMAIL Die Spezifikation definiert die E-Mail-Adresse, an die der Bericht des gesendet werden soll
Integritätsscan des Clients. Hier wird die „Dark Cockpit“-Philosophie verfolgt: Mail
wird nur gesendet, wenn eine Änderung erkannt wird.
Beispiel für die Standardeinstellung (anscheinend eine E-Mail-Adresse auf dem Monitor):
VERWENDEN SIE E-MAIL-Root
o VERWENDUNG MAILER
Die MAILER Die Spezifikation definiert das Programm, an das E-Mails gesendet werden sollen
EMAIL-Adresse. Gegensätzlich zu DIFF und DD und (siehe unten) SH und SSH, MAILER wird ausgeführt als
a / Bin / sh Befehl, damit auch Shell-Skripte die E-Mail verarbeiten können. Standardmäßig
MAILER ist definiert als /usr/bin/mail. MAILER wird mit folgenden Argumenten aufgerufen:
-------------------------------------------------- --------
MAILARGS, siehe unten;
EMAIL, der Adressat der Mail.
-------------------------------------------------- --------
Beispiel für die Standardeinstellung:
VERWENDEN SIE MAILER /usr/bin/mail
Alternativ steht das Skript Stealthmail zur Verfügung. Es bietet eine praktische
Filtersortierung Stealth's Ausgabe und behält nur Zeilen bei, die den Text ADDED enthalten,
GEÄNDERT, ENTFERNT oder STEALTH. Normalerweise handelt es sich bei diesen Leitungen um diejenigen, die Systemmanager sind
interessiert. Der Bericht und die Protokolldateien können jederzeit eingesehen werden, um das zu ermitteln
tatsächliche Art der Änderungen.
o VERWENDUNG MAILARGS
Die MAILARGS Die Spezifikation definiert die Argumente, die an MAILER übergeben werden.
gefolgt von der EMAIL-Spezifikation.
Beispiel für die Standardeinstellung:
VERWENDEN SIE MAILARGS -s „STEALTH-Scan-Bericht“
Beachten Sie, dass in der Betreffspezifikation Leerzeichen verwendet werden dürfen: Verwenden Sie double oder single
Anführungszeichen zur Definition von Elementen, die Leerzeichen enthalten. Verwenden Sie „\“, um in a ein doppeltes Anführungszeichen zu verwenden
Zeichenfolge, die selbst durch doppelte Anführungszeichen getrennt ist; Verwenden Sie \', um ein einfaches Anführungszeichen in a zu verwenden
Zeichenfolge, die selbst durch einfache Anführungszeichen getrennt ist.
o VERWENDUNG BERICHT
BERICHT definiert den Namen der Berichtsdatei. Informationen sind diesem stets beigefügt
Datei. Bei jedem Stealth Integritätsscan a Zeit Marker Linie wird in den Bericht geschrieben
Datei. Nur wenn (zusätzlich zur Markierungslinie) zusätzliche Informationen angehängt werden
Zur Berichtsdatei werden die hinzugefügten Inhalte der Berichtsdatei an die E-Mail-Adresse gesendet
Adresse angegeben in der VERWENDUNG EMAIL Spezifikation. Wenn eine relative Datei
Wenn die Spezifikation verwendet wird, wird sie als Position relativ zur USE BASE interpretiert
Spezifikation.
Beispiel für die Standardeinstellung:
USE REPORT-Bericht
o VERWENDUNG SH
Die SH Spezifikation verwendet / Bin / sh als Standard und definiert die von verwendete Befehlsshell
Der Monitor kann Befehle auf sich selbst ausführen. Dies muss ein absoluter Pfad sein
Spezifikation.
Beispiel für die Standardeinstellung:
VERWENDEN SIE SH / Bin / sh
o VERWENDUNG SSH
Die SSH Spezifikation hat nicht Standard und sollen angegeben werden. Das muss ein sein
absolute Pfadangabe.
Übernahme des Kunden Trusts den Monitor (was ja schließlich das ist, was dieses Programm ausmacht).
ungefähr, daher sollte dies keine sehr starke Annahme sein), vorzugsweise das öffentliche SSH
Der Schlüssel des Monitors sollte in der Stammdatei .ssh/authorized_keys des Clients abgelegt werden.
Gewähren des Root-Zugriffs des Monitors auf den Client. Normalerweise ist Root-Zugriff erforderlich
Zugriff auf alle Verzeichnisse und Dateien des Dateisystems des Clients erhalten.
In der Praxis wird die Verbindung zu einem Konto mithilfe von hergestellt sh(1) Schale ist bevorzugt. Wann
Wenn von diesem Konto bereits eine andere Shell verwendet wird, sollte man sicherstellen, dass es sich um eine andere Shell handelt
definiert keine eigenen Umleitungen für Standardeingabe und Standardausgabe. Ein Weg
Um dies zu erreichen, muss man die Ausführung erzwingen / Bin / sh in England, VERWENDUNG SSH
Spezifikation. Beispiele:
# Roots Shell ist / Bin / sh:
VERWENDEN Sie SSH root@client -T -q
# root verwendet eine andere Shell, aber die Verwendung von / bin / bash ist gezwungen:
VERWENDEN Sie SSH root@client -T -q exec / bin / bash
# eine Alternative:
VERWENDEN Sie SSH root@client -T -q exec / bin / bash --kein Profil
In einigen Installationen Stealth wird verwendet, um den Monitor selbst zu überprüfen, auch wenn dies der Fall ist
nicht empfohlen, da es einer der Hauptgründe dafür ist Stealth's Existenz. Aber in
diese Situationen (also, wo Stealth wird verwendet, um die Integrität des Localhosts zu überwachen),
/ bin / bash kann in der USE SSH-Direktive angegeben werden. Zum Beispiel:
# Zur heimlichen Überprüfung von localhost:
VERWENDEN SIE SSH / bin / bash --kein Profil
BEFEHLE
Nach dem VERWENDUNG Spezifikationen, Befehle angegeben werden kann. Die Befehle werden in ausgeführt
die Reihenfolge ihres Erscheinens in der Richtliniendatei. Die Verarbeitung wird bis zum letzten Befehl fortgesetzt
verarbeitet wurde oder bis ein getesteter Befehl (siehe unten) einen Rückgabewert ungleich Null zurückgibt.
LABEL BEFEHLE
Folgende LABEL Befehle sind verfügbar:
o LABEL
Dies definiert ein Text-Label, das in geschrieben wird BERICHT Datei, vor dem
Ausgabe, die vom nächsten generiert wird Check-Befehl. Wenn der nächste Check-Befehl generiert nein
Ausgabe, die Textbeschriftung wird nicht in die geschrieben BERICHT-Datei. Einmal LABEL wurde
definiert, wird es verwendet, bis es durch das nächste neu definiert wird LABEL. Verwenden Sie ein Leerzeichen LABEL
Spezifikation zur Unterdrückung des Etikettendrucks.
Der Text kann \n Zeichen (zwei Zeichen) enthalten, die in a umgewandelt werden
Newline-Zeichen.
Ejemplo:
LABEL Dateien werden überprüft in / Etc\nEinschließlich Unterverzeichnissen
LABEL
(In diesem Beispiel das erstere LABEL Die Spezifikation wird dadurch gelöscht LABEL
Befehl).
LOCAL BEFEHLE
LOCAL Befehle werden auf dem Monitor selbst ausgeführt:
o LOCAL
Führen Sie den Befehl mit dem Befehl auf dem Monitor aus SH Befehlsshell. Der Befehl muss
Erfolgreich (d. h. muss einen Exit-Wert von Null zurückgeben).
Ejemplo:
LOKALER scp rootsh@client:/usr/bin/sha256sum / Tmp
Dieser Befehl kopiert die des Clients sha256sum(1) Programm auf den Monitor übertragen.
o LOCAL NOTEST
Führen Sie den Befehl mit dem Befehl auf dem Monitor aus SH Befehlsshell. Der Befehl kann oder darf
nicht bestanden.
Ejemplo:
LOCAL NOTEST mkdir /tmp/subdir
Dieser Befehl erstellt /tmp/subdir auf dem Monitor. Der Befehl schlägt fehl, wenn das Verzeichnis
kann nicht erstellt werden, dies wird jedoch nicht beendet Stealth.
o LOCAL Check [LOG =] [pathOffset]
Führen Sie den Befehl mit dem Befehl auf dem Monitor aus SH Befehlsshell. Der Befehl muss
gelingen. Die Ausgabe dieses Befehls wird mit der Ausgabe dieses Befehls verglichen
generiert während der vorherigen Integritätsprüfung durch Stealth.
Der Begriff LOG = es ist optional. Wenn ein relativer Dateispeicherort angegeben ist unter
Es wird relativ zur USE BASE-Pfadspezifikation interpretiert.
PathOffset ist ebenfalls optional. Wenn angegeben, definiert es den (0-basierten) Offset wo
Pfadnamen der überprüften Dateien beginnen in den von erstellten Zeilen . Standardmäßig
Stealth geht davon aus, dass das erste Vorkommen eines Schrägstrichs den ersten definiert
Zeichen der Pfadnamen der überprüften Dateien.
Wenn die Diff-Ausgabe beispielsweise so aussieht:
01234567890123456789012345678901234567890 (Spaltenversätze)
33c33
< 90d8b506d249634c4ff80b9018644567 filename-specification
---
> b88d0b77db74cc4a742d7bc26cdd2a1e filename-specification
dann die Spezifikation
LOCAL CHECK Protokolldatei 36 Befehl, der ausgeführt werden soll
Informiert Stealth Wo finde ich die Dateinamensangaben in der Diff-Ausgabe? Benutzen
des Standards /usr/bin/diff Befehl, dieser Offset entspricht 2 + dem Offset des
Dateinamenspezifikation im auszuführenden Befehl gefunden.
Alle Unterschiede zwischen der vorherigen und der aktuellen Ausgabe werden beschrieben BERICHT. Wenn
Wenn Unterschiede festgestellt wurden, wird der bestehende Protokolldateiname in umbenannt
logfile.YYMMDD-HHMMSS, mit YYMMDD-HHMMSS dem (UTC) Datum/Uhrzeit-Stempel zu diesem Zeitpunkt
Stealth gelaufen wurde.
Beachten Sie, dass möglicherweise viele Logfile.YYMMDD-HHMMSS-Dateien erstellt werden: Es liegt an der Zeit
Der Systemmanager des Monitors entscheidet, was mit alten Datums-/Uhrzeitstempeln geschehen soll
Protokolldateien.
Die Protokolldateispezifikationen können relative und absolute Pfade verwenden. Bei relativen Pfaden
verwendet werden, sind diese Pfade relativ zu BASIS. Wenn die Verzeichnisse impliziert sind
Protokolldateispezifikationen existieren noch nicht, sie werden zuerst erstellt.
Ejemplo:
LOKALES CHECK-LOG = local/sha256sum sha256sum /tmp/sha256sum
Dieser Befehl prüft die SHA256-Summe des Programms /tmp/sha256sum. Das Ergebnis
Die Ausgabe wird unter gespeichert BASIS/local/sha256sum. Das Programm muss erfolgreich sein (z. B. sha256sum
muss einen Null-Exit-Wert zurückgeben).
o LOCAL NOTEST Check [pathOffset]
Führen Sie den Befehl mit dem Befehl auf dem Monitor aus SH Befehlsshell. Der Befehl kann oder darf
nicht bestanden. Ansonsten verhält sich der Befehl genauso wie der LOCAL Check ...
Befehl, oben besprochen.
Ejemplo:
LOCAL NOTEST CHECK LOG=local/sha256sum sha256sum /tmp/sha256sum
Dieser Befehl prüft die SHA256-Summe des Programms /tmp/sha256sum. Das Ergebnis
Die Ausgabe wird unter gespeichert BASIS/local/sha256sum. Das Programm muss erfolgreich sein (z. B. sha256sum
muss einen Null-Exit-Wert zurückgeben).
Beachten Sie, dass die scp(1) Mit dem Befehl können Dateien zwischen dem Client und dem Monitor kopiert werden.
mit einem lokalen Befehl. Davon wird jedoch gesondert abgeraten ssh(1)-Verbindung ist
jeweils einzeln erforderlich scp(1) Befehl. Diese Subtilität wurde dem Autor vermittelt
Aufmerksamkeit von Hopko Meijerink ([E-Mail geschützt] ).
Um Dateien zwischen dem Client und dem Monitor zu kopieren, sind die Befehle GET und PUT (beschrieben) erforderlich
unten) sollte stattdessen verwendet werden, da diese Befehle die vorhandenen verwenden ssh(1) Verbindung. In
Generell sollten LOCAL-Befehle nicht zur Einrichtung zusätzlicher verwendet werden ssh(1) Verbindungen zu a
Kunden.
REMOTE BEFEHLE
Remote-Befehle sind Befehle, die auf dem Client mithilfe von ausgeführt werden SSH Hülse. Diese Befehle
werden unter Verwendung des Standard-PATH-Sets für ausgeführt SSH Hülse. Es wird jedoch dazu geraten
Geben Sie den vollständigen Pfadnamen zu den auszuführenden Programmen an, um „Trojaner-Annäherungen“ zu verhindern.
bei dem ein Trojanisches Pferd in einem „früheren“ Verzeichnis der PATH-Spezifikation installiert ist
das vorgesehene Programm.
Zwei spezielle Remote-Befehle sind GET und PUT, mit denen Dateien zwischen den kopiert werden können
Client und Monitor. Intern verwenden GET und PUT die DD-Spezifikation. Wenn ein
Wenn eine nicht standardmäßige Spezifikation verwendet wird, sollte sichergestellt werden, dass das alternative Programm diese akzeptiert
dd(1)'s if=, of=, bs= und count= Optionen. Bei GET stehen die Optionen bs=, count= und of= zur Verfügung
verwendet, bei PUT werden die Optionen bs=, count= und if= verwendet. Normalerweise sollte kein Bedarf bestehen
um die Standard-DD-Spezifikation zu ändern.
Der GET-Befehl kann wie folgt verwendet werden:
o STARTE
Kopieren Sie die durch „client-path“ auf dem Client angegebene Datei in „local-path“ auf dem Monitor.
Hier muss client-path der vollständige Pfad einer vorhandenen Datei auf dem Client sein.
local-path kann entweder ein lokales Verzeichnis sein. In diesem Fall lautet der Dateiname des Clients
verwendet werden, oder es kann ein anderer Dateiname angegeben werden. In diesem Fall handelt es sich um die Datei des Clients
in den angegebenen lokalen Dateinamen kopiert. Wenn die lokale Datei bereits vorhanden ist, ist sie vorhanden
durch den Kopiervorgang überschrieben.
Ejemplo:
STARTE /usr/bin/sha256sum / Tmp
Das Programm /usr/bin/sha256sum, die beim Client verfügbar ist, wird auf den Monitor kopiert
/ Tmp Verzeichnis. Wenn das Kopieren aus irgendeinem Grund fehlschlägt, dann Stealth beendet.
o STARTE NOTEST
Kopieren Sie die durch „client-path“ auf dem Client angegebene Datei in „local-path“ auf dem Monitor.
Auch hier muss client-path der vollständige Pfad einer vorhandenen Datei auf dem Client sein.
local-path kann entweder ein lokales Verzeichnis sein. In diesem Fall lautet der Dateiname des Clients
verwendet werden, oder es kann ein anderer Dateiname angegeben werden. In diesem Fall handelt es sich um die Datei des Clients
in den angegebenen lokalen Dateinamen kopiert. Wenn die lokale Datei bereits vorhanden ist, ist sie vorhanden
durch den Kopiervorgang überschrieben.
Ejemplo:
ERHALTEN SIE NOTIZEN /usr/bin/sha256sum / Tmp
Das Programm /usr/bin/sha256sum, die beim Client verfügbar ist, wird auf den Monitor kopiert
/ Tmp Verzeichnis. Die verbleibenden Befehle in der Richtliniendatei werden ausgeführt, auch wenn die
Der Kopiervorgang war nicht erfolgreich.
Der PUT-Befehl kann wie folgt verwendet werden:
o SETZEN
Kopieren Sie die durch „local-path“ auf dem Monitor angegebene Datei in „remote-path“ auf dem Client.
Das Argument local-path muss der vollständige Pfad einer vorhandenen Datei auf dem Monitor sein.
Das Argument remote-path muss der vollständige Pfad zu einer Datei auf dem Client sein. Wenn die
Wenn die Remote-Datei bereits existiert, wird sie durch PUT überschrieben.
Ejemplo:
PUT /tmp/sha256sum /usr/bin/sha256sum
Das auf dem Monitor verfügbare Programm /tmp/sha256sum wird auf den Client kopiert als
usr/bin/sha256sum. Wenn das Kopieren fehlschlägt, Stealth beendet.
o SETZEN NOTEST
Kopieren Sie die durch „local-path“ auf dem Monitor angegebene Datei in „remote-path“ auf dem Client.
Das Argument local-path muss der vollständige Pfad einer vorhandenen Datei auf dem Monitor sein.
Das Argument remote-path muss der vollständige Pfad zu einer Datei auf dem Client sein. Wenn die
Wenn die Remote-Datei bereits existiert, wird sie durch PUT überschrieben.
Ejemplo:
PUT NOTEST /tmp/sha256sum /usr/bin/sha256sum
Kopieren Sie die durch „local-path“ auf dem Monitor angegebene Datei in „remote-path“ auf dem Client.
Das Argument local-path muss der vollständige Pfad einer vorhandenen Datei auf dem Monitor sein.
Das Argument remote-path muss der vollständige Pfad zu einer Datei auf dem Client sein. Wenn die
Wenn die Remote-Datei bereits existiert, wird sie durch PUT überschrieben. Verbleibende Befehle im
Richtliniendatei werden ausgeführt, auch wenn der Kopiervorgang nicht erfolgreich war.
Einfache Befehle können auf dem Client-Computer ausgeführt werden, indem sie einfach angegeben werden. Von
Dies impliziert natürlich, dass Programme auf dem Client, die z. B. LABEL, LOCAL oder benannt sind
USE kann nicht ausgeführt werden, da diese Namen von anders interpretiert werden Stealth. Es ist
Es ist unwahrscheinlich, dass diese Einschränkung ein großes Problem darstellt ...
Zur Ausführung auf dem Client stehen folgende Befehle zur Verfügung:
Ö
Führen Sie den Befehlspfad auf dem Client mit dem aus SSH Befehlsshell (es ist stark
Es wird empfohlen, einen vollständigen Pfad zum auszuführenden Befehl anzugeben. Der Befehl muss erfolgreich sein
(d. h. muss einen Null-Exit-Wert zurückgeben). Allerdings ist jede Ausgabe, die von der erzeugt wird
Befehl wird ignoriert.
Ejemplo:
/usr/bin/find / Tmp -type f -exec /bin/rm {} \;
Dieser Befehl entfernt alle gewöhnlichen Dateien im und unterhalb des Clients / Tmp Verzeichnis.
o NOTEST
Führen Sie command-path auf dem Client aus, indem Sie Folgendes verwenden: SSH Befehlsshell. Der Befehl kann oder
möglicherweise nicht gelingen.
Ejemplo:
NOTEST /usr/bin/find / Tmp -type f -exec /bin/rm {} \;
Wie der vorherige Befehl, diesmal jedoch mit dem Exit-Wert von /usr/bin/find ist nicht
interpretiert.
o Check [LOG =] [pathOffset]
Führen Sie command-path auf dem Client aus, indem Sie Folgendes verwenden: SSH Befehls-Shell.
Der Begriff LOG = es ist optional. Wenn ein relativer Dateispeicherort angegeben ist unter
Es wird relativ zur USE BASE-Pfadspezifikation interpretiert.
PathOffset ist ebenfalls optional und hat die gleiche Bedeutung wie für LOCAL CHECK
Befehl, wie oben beschrieben. Der Befehl muss erfolgreich sein. Die Ausgabe dieses Befehls ist
im Vergleich zur Ausgabe dieses Befehls, die während der vorherigen Ausführung von generiert wurde
Stealth. Etwaige Differenzen werden angeschrieben BERICHT. Wenn Unterschiede festgestellt wurden, wird der
Der Name der bestehenden Protokolldatei wird in logfile.YYMMDD-HHMMSS umbenannt, mit YYMMDD-HHMMSS
Datum/Uhrzeit-Stempel zu diesem Zeitpunkt Stealth gelaufen wurde.
Beachten Sie, dass der Befehl auf dem Client ausgeführt wird, die Protokolldatei jedoch auf dem Client gespeichert wird
Monitor. Dieser Befehl stellt den Kern der von implementierten Methode dar Stealth:
Es bleiben keine Rückstände der durchgeführten Aktionen zurück Stealth auf dem Kunden
Computern.
Einige Beispiele (beachten Sie die Verwendung des Backslashs als Zeilenfortsetzungszeichen):
CHECK LOG = remote/ls.root \
/usr/bin/find / \.
-xdev -perm /6111 -type f -exec /bin/ls -l {} \;
Alle suid/gid/executable-Dateien auf demselben Gerät wie das Stammverzeichnis (/) auf dem
Client-Computer werden mit Informationen zu Berechtigungen, Besitzer und Größe aufgelistet. Der
Die resultierende Auflistung wird in die Datei geschrieben BASIS/remote/ls.root.
PRÜFEN Sie remote/sha256.root \
/usr/bin/find / \.
-xdev -perm /6111 -type f -exec /usr/bin/sha256sum {} \;
Die SHA256-Prüfsummen aller suid/gid/executable-Dateien auf demselben Gerät wie das
Root-Verzeichnis (/) auf dem Client-Rechner ermittelt. Die resultierende Auflistung ist
in die Akte geschrieben BASIS/remote/sha256.root.
o NOTEST Check [LOG =] [pathOffset]
Führen Sie command-path auf dem Client aus, indem Sie Folgendes verwenden: SSH Befehls-Shell.
Der Begriff LOG = es ist optional. Wenn ein relativer Dateispeicherort angegeben ist unter
Es wird relativ zur USE BASE-Pfadspezifikation interpretiert.
PathOffset ist ebenfalls optional und hat die gleiche Bedeutung wie für LOCAL CHECK
Befehl, wie oben beschrieben. Der Befehl kann erfolgreich sein oder auch nicht. Ansonsten der
Das Programm verhält sich identisch wie das Check ... Befehl, wie oben beschrieben.
Ejemplo:
NOTEST CHECK LOG = remote/sha256.root \
/usr/bin/find / \.
-xdev -perm /6111 -type f -exec /usr/bin/sha256sum {} \;
Die SHA256-Prüfsummen aller suid/gid/executable-Dateien auf demselben Gerät wie das
Root-Verzeichnis (/) auf dem Client-Rechner ermittelt. Die resultierende Auflistung ist
in die Akte geschrieben BASIS/remote/sha256.root. Stealth endet nicht, wenn die
/usr/bin/find Das Programm gibt einen Exit-Wert ungleich Null zurück.
Die maximale Downloadgröße (mit GET oder CHECK) kann mit --max-size angegeben werden
Option, siehe unten. Standardmäßig ist diese Größe auf 10 MB eingestellt.
BERICHT FILE DREHUNG
Da Stealth Hängt nur Informationen an die Berichtsdatei an, die Größe der Berichtsdatei kann jedoch variieren
werden schließlich unerschwinglich groß, und eine Protokollrotation kann wünschenswert sein. Das ist es natürlich
Es ist möglich, den Befehl --terminate einzugeben, die Protokolldateien zu rotieren und neu zu starten Stealth, Aber
Stealth bietet auch die Möglichkeit, von a durchgeführte Integritätsscans vorübergehend auszusetzen
Stealth Daemon-Prozess:
o Anruf Stealth mit der Option --suspend setzt die Integrität des Daemons außer Kraft
scannt. Wenn Stealth führt tatsächlich eine Reihe von Integritätsscans durch, wenn --suspend
ausgegeben wird, wird zunächst der aktuell ausgeführte Befehl ausgeführt und anschließend der
Der Befehl --suspend wird abgeschlossen. Sobald die Stealth Daemon wurde automatisch angehalten
oder explizite Integritätsscan-Anforderungen werden abgelehnt, und der Daemon kann dies nur tun
angewiesen, seine Scanaufgaben fortzusetzen (Stealth --wieder aufnehmen ) oder zu beenden
(Stealth --beenden ).
o Einmal `Stealth --aussetzen ' zurückgegeben wurde, kann die Berichtsdatei sicher rotiert werden
(unter Verwendung von z. B. Logrotat(1)) und optional eine neue (leere) Berichtsdatei
erstellt durch den Logrotationsprozess.
o Sobald die Protokollrotation abgeschlossen ist, sollte der Protokollrotationsprozess Folgendes ausgeben:
Befehl `Stealth --wieder aufnehmen '. Dadurch werden die Aktivitäten eines suspendierten Benutzers wieder aufgenommen
Stealth Daemon-Prozess, der sofort den nächsten Integritätsscan durchführt. Nachfolgend
das ist das Stealth Der Daemon kehrt in seinen ursprünglichen Integritätsscanmodus zurück. Hier ist
ein Beispiel für Logrotat(1) Spezifikation rotierend Stealth Protokolldateien:
/root/stealth/clienthost/small/report /var/log/stealth/clienthost-small.log {
Unterricht
drehen 4
komprimieren
missingok
kopieren, abschneiden
Sharedscripts
vordrehen
/usr/bin/stealth --suspend /root/stealth/client/small.uds
Endschrift
nachdrehen
/usr/bin/stealth --resume /root/stealth/client/small.uds
Endschrift
}
NEU LADEN, WIEDERHOLUNG UND KÜNDIGEN
Folgendes passiert, wenn: Stealth wird mit der dritten Zusammenfassung ausgeführt:
o Beim Start als Stealth --neu laden , Die Stealth Daemon-Prozess lädt seine neu
Richtliniendatei und (falls angegeben) --skip-files-Spezifikationsdatei. Als nächstes die Stealth
Der Daemon-Prozess führt einen Dateiintegritätsscan anhand der Informationen im erneuten Lesevorgang durch
Richtlinien- und Skip-Files-Dateien. Stealth kann den (geänderten) Inhalt des neu laden
ursprünglich angegebene Richtlinien- und Skip-Dateinamen. Wenn eine andere Police und/oder
Skip-Files-Dateien müssen anders verwendet werden Stealth Der Prozess muss gestartet werden, wofür
diese neuen Dateinamen werden angegeben.
o Beim Start als Stealth --Wiederholung , Die Stealth Der Dämon führt einen weiteren Scan durch
(es sei denn, es wurde mit suspendiert Stealth --aussetzen ).
o Beim Start als Stealth --beenden , Die Stealth Daemon wird beendet.
RSYSLOG FILTERUNG
Beim Benutzen rsyslogd(1) Eigenschaftsbasierte Filter können zum Filtern von Syslog-Nachrichten verwendet werden
Schreiben Sie sie in eine Datei Ihrer Wahl. Zum Beispiel, um Nachrichten zu filtern, die mit dem Syslog beginnen
Nachrichten-Tag (z. B. STEALTH) verwenden
:syslogtag, isequal, „STEALTH:“ /var/log/stealth.log
:syslogtag, isequal, „STEALTH:“ stop
Beachten Sie, dass der Doppelpunkt Teil des Tags ist, aber nicht mit der Option syslog-tag angegeben wird.
Dadurch werden alle Nachrichten mit dem Tag STEALTH: in /var/log/stealth.log geschrieben
Danach werden sie verworfen. Es wird auch eine umfassendere Filterung unterstützt, siehe z. B.
http://www.rsyslog.com/doc/rsyslog_conf_filter.html und
http://www.rsyslog.com/doc/property_replacer.html
Von rsyslogd geschriebene Zeitstempel werden nicht von kontrolliert Stealthist die Option --time-stamp, aber
zB durch eine TZ-Angabe in /etc/default/rsyslog. Fügen Sie einfach die Zeile hinzu
Export TZ=UTC
zu /etc/default/rsyslog, gefolgt von einem Neustart von rsyslogd, konfiguriert rsyslogd für die Generierung
Zeitstempel mit UTC.
EINSATZ ZUSAMMENFASSUNG
Im Folgenden sind die empfohlenen Schritte zusammengefasst, die bei der Stealth-Installation durchzuführen sind. All diese
Schritte werden in ausführlicher erläutert Stealth Mitglied Guide (Kapitel Laufen „heimlich“):
o Installieren Stealth (z. B. verwenden dpkg(1) um die zu installieren . Deb Datei);
o Erstellen Sie eine oder mehrere Richtliniendateien.
o Automatisieren Sie den (Neu-)Start Stealth mit automatisierten cron(1) oder ssh-cron(1) (eventuell anrufen
Stealthcron);
o Richten Sie eine automatisierte Protokolldateirotation ein, indem Sie z. B. Folgendes verwenden: Stealthcleanup und Logrotat(1)
Definieren einer oder mehrerer /etc/logrotate.d/stealth...-Konfigurationsdateien.
Nutzen Sie Stealth online mit den onworks.net-Diensten
