Il s'agit de la commande furtive qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks à l'aide de l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS.
PROGRAMME:
Nom
furtif - Scanner d'intégrité de fichier furtif
SYNOPSIS
` ' représente l'emplacement du socket de domaine Unix utilisé.
Stealth --démon --dry-run --log --logmail
--taille max [BKMG] --no-mail --parse-policy-file
--random-interval --répéter
--skip-files --syslog
--syslog-facilité --syslog-priorité --syslog-tag
--verbosité politique
Stealth --dry-run --log --logmail
--taille max [BKMG] --no-mail --parse-policy-file
--random-interval --répéter
--run-commande --skip-files --stdout --syslog
--syslog-facilité --syslog-priorité --syslog-tag
--verbosité politique
Stealth {--ping,--recharger,--réexécuter,--reprendre,--suspendre,--terminer}
Stealth --help --version
DESCRIPTION
Le nom du Stealth programme est l'acronyme de :
Basé sur SSH Confiance Toujours vérifier Acquisition à travers a Localement fiable Hôte.
Stealth est basé sur une idée de Hans Gankema et Kees Pêcheur, tous deux au Centre de
Technologie de l'information de l'Université de Groningue. Hopko Meijering fourni précieux
Suggestions d'amélioration.
StealthLa tâche principale de est d'effectuer des tests d'intégrité des fichiers. Cependant, le test lui-même sera
ne laissez aucun sédiment sur l'ordinateur testé. Par conséquent, Stealth a furtif
caractéristiques. Ceci est considéré comme une caractéristique importante, améliorant la sécurité
(intégrité) du logiciel des ordinateurs surveillés par Stealth.
S'il vous plaît, réalisez que Stealth entend être juste un autre outil de sécurité : autre sécurité
des mesures telles que les pare-feu, les scanners de ports, les systèmes de détection d'intrusion, la suppression des données non cryptées
protocoles, etc. sont généralement nécessaires pour améliorer la sécurité d'un groupe d'ordinateurs qui
sont connectés à Internet. Stealth est un scanner d'intégrité de fichier, et l'intégrité de fichier
les scanners n'offrent aucun substitut à ces outils (et vv.).
Stealth utilise un fichier de stratégie pour déterminer les actions à effectuer. Chaque fichier de politique est
associé de manière unique à un hôte surveillé. Cet hôte (appelé le client ci-dessous)
fait confiance à l'ordinateur sur lequel Stealth s'exécute, appelé le moniteur (d'où : un Localement fiable
Hôte). Le moniteur effectue des tâches (normalement des tests d'intégrité des fichiers) qui Imposer le Confiance
nous avons dans l'ordinateur client. Étant donné que presque tous les tests d'intégrité peuvent être exécutés sur le client,
un moniteur peut contrôler de nombreux clients, même si le moniteur lui-même utilise des
composants logiciels.
Comme le moniteur et le client sont (c'est-à-dire devraient être) des ordinateurs différents, le moniteur doit
communiquer avec le client de manière sécurisée. Ceci est réalisé via SSH. Alors, il y a
un autre élément de « confiance locale » impliqué ici : le client doit permettre au moniteur de
mettre en place une connexion SSH sécurisée permettant au moniteur d'accéder aux éléments sensibles dans le
système de fichiers du client.
It is important à assurer qui public accès à le moniteur is empêché. Non nouveau
services devrait be autorisé. Le manuel de formation uniquement accès à le moniteur devrait be via ces console et
le moniteur devrait be mis in a physiquement sécurisée emplacement. Des livraisons d'information of
CLIENTS sommes-nous stockée in le moniteur filet système. À accès le CLIENTS Stealth in démon
mode Vous pouvez utilisé a mot de passe protégé clé ssh, ce qui permet Stealth à effectuer ces tâches
après. Ce, aussi, fait it important à empêcher le moniteur grâce au qui est accédé by
non autorisé personnes.
Si, au lieu de courir Stealth en mode démon, il est préférable de laisser Stealth effectuer
analyses d'intégrité uniques mais automatisées, puis nouvelles ssh(1) les connexions peuvent être difficiles à
établir si la clé ssh utilisée est protégée par une phrase secrète. Pour mettre en œuvre ce scénario (c'est-à-dire,
analyses d'intégrité automatisées à l'aide de clés ssh protégées par mot de passe) le programme ssh-cron(1) peut
être utilisé avec profit.
StealthLa manière actuelle de se connecter aux clients utilise un seul ssh(1) connexion, qui
n'aboutit qu'à un seul sshd(1) entrée dans les fichiers journaux du client, qui dure le
durée de Stealthest exécuté. Lors de l'utilisation Stealth en mode démon, cela minimise également le
'empreinte' Stealth a sur les hôtes clients.
Le moniteur lui-même ne nécessite normalement que deux types de services sortants : SSH pour atteindre son
clients, et certains agents de transport de courrier (par exemple, sendmail(1)) de transmettre son courrier sortant à
certains mail-hub.
Voici ce qui se passe quand Stealth en cours d'exécution en utilisant le premier synopsis :
o Premièrement, le politique le fichier est lu. Pour chaque client un fichier de politique est défini,
spécifiant les actions à effectuer, et spécifiant les valeurs de plusieurs
variables utilisées par Stealth.
o Si l'option de ligne de commande --daemon est spécifié, Stealth fonctionne comme un démon
processus, en utilisant le socket de domaine Unix ( ) pour communiquer avec Stealth
processus s'exécutant en mode IPC.
Si l'accès au socket de domaine Unix défini par Stealth s'exécutant en mode démon
doit être restreint, il peut être défini dans un répertoire avec n'est accessible qu'à
l'utilisateur exécutant Stealth (ce sera souvent l'utilisateur root).
Lors de l'exécution en mode démon, --repeat peut être spécifié pour réexécuter le
analyse d'intégrité tous les secondes. Si une analyse d'intégrité est en cours
lorsque, selon l'intervalle de répétition, la prochaine analyse d'intégrité est due, alors le
l'analyse en cours est d'abord terminée. Une fois terminé, la prochaine analyse d'intégrité sera
effectué après secondes secondes.
o Ensuite, le moniteur ouvre un shell de commande sur le client en utilisant ssh(1), et une commande
shell sur l'ordinateur du moniteur lui-même en utilisant sh (1).
o Une fois les shells de commandes disponibles, les commandes définies dans le fichier de politique sont
exécutés dans leur ordre d'apparition. Des exemples sont donnés ci-dessous. Normalement, retournez
les valeurs des programmes sont testées. Quand les valeurs de retour doivent être testées Stealth
se termine lorsqu'une valeur de retour non nulle est détectée. Si cela se produit, un message
indiquant la raison pour laquelle Stealth terminé est écrit dans le fichier de rapport (et dans
le courrier envoyé par Stealth). Dans certains cas (par exemple, lorsque le fichier de rapport n'a pas pu être
écrit), le message est écrit dans le flux d'erreurs standard.
o Très souvent, les tests d'intégrité peuvent être contrôlés à l'aide trouver(1), en appelant des programmes comme
ls(1), sha256sum(1) ou sa propre méthode -printf pour produire des informations liées à l'intégrité du fichier
statistiques. La plupart de ces programmes écrivent des noms de fichiers à la fin des lignes générées.
Cette caractéristique est utilisée par l'un des Stealthles routines internes de pour détecter les changements
dans la sortie générée. De tels changements pourraient indiquer une intention préjudiciable, comme une
Installé kit racine.
o Lorsque des changements sont détectés, ils sont enregistrés dans un rapport filet, à quelles informations
est toujours annexé. Stealth ne réduit jamais la taille du fichier de rapport ni ne réécrit son
Contenu. Lorsque des informations sont ajoutées au fichier de rapport (au-delà d'un horodatage normal)
les informations nouvellement ajoutées sont envoyées par e-mail à une adresse e-mail configurable pour
traitement (humain) ultérieur. Généralement, l'e-mail est envoyé au responsable système de
le client testé. Stealth suit l'approche du "dark cockpit" en ce sens qu'aucun
le courrier est envoyé lorsqu'aucun changement n'a été détecté.
o Le rapport et les autres fichiers journaux peuvent être alternés en toute sécurité entre une paire de --suppress et
commandes --resume (voir ci-dessous dans la section `REPORTER LA ROTATION DES FICHIERS').
If Stealth ne doit pas être exécuté en tant que processus démon, le deuxième synopsis peut être utilisé. Dans ce
maisons Stealth effectue un ou plusieurs scans d'intégrité (ce dernier lorsque l'option --repreat
a été précisé). Lorsqu'une seule analyse d'intégrité est demandée Stealth se termine après la
analyse. Lorsque --repeat est spécifié Stealth affiche une invite (c'est-à-dire `? ') et se termine après
appuyant sur la touche Entrée.
Le troisième synopsis est utilisé pour la communication avec un Stealth démon. Dans ce cas le
Unix Domain Socket défini par le Stealth processus démon doit être spécifié après le
option spécifiant la commande demandée.
OPTIONS
Les options courtes sont fournies entre parenthèses, immédiatement après leur option longue
équivalents.
Les descriptions d'options indiquant (C) ne peuvent être utilisées que sur la ligne de commande et sont ignorées lorsque
spécifié dans la deuxième section du fichier de stratégie.
Dans l'aperçu des options ` ' représente le nom du Unix Domaine Douille utiliser,
et ` ' fait référence à une spécification (relative ou absolue) d'un emplacement de fichier.
Avec les emplacements relatifs du premier et du deuxième synopsis (du socket de domaine Unix et de
autres spécifications de fichier) sont interprétées par rapport au répertoire de travail courant.
Les options de la ligne de commande remplacent les options définies dans le fichier de politique.
o --daemon (-d) : (C) exécuté en tant que processus d'arrière-plan (démon). Quand la furtivité
processus démon est démarré, le socket de domaine Unix (tt ) n'existe peut-être pas déjà.
o --dry-run : (C) aucune analyse d'intégrité ou aucun rechargement n'est effectué, mais est supposé OK.
Les tâches restantes sont normalement exécutées ;
o --help (-h) : (C) Affiche les informations d'aide et quitte ;
o --log (-L) : les messages du journal sont ajoutés à `file-spec'. Si file-spec fait
n'existe pas, il est d'abord créé ;
o --logmail : courrier envoyé par Stealth est enregistré (nécessite --log ou --syslog) ;
o --max-taille [BKMG] : les fichiers récupérés par les commandes GET peuvent avoir au plus
octets (B), Koctets (K), MBytes (M), GBytes (G). La taille par défaut est 10M, la valeur par défaut
l'unité est B.
o --no-mail : le courrier n'est pas envoyé. Par défaut, le courrier est envoyé comme configuré dans le
policy-file (--logmail peut être spécifié indépendamment de --no-mail) ;
o --parse-policy-file (-p) : (C) analyse le fichier de politique, après quoi Stealth extrémités.
Spécifiez une fois pour voir les commandes numérotées ;
deux fois pour voir également les étapes d'analyse du fichier de stratégie.
Les résultats sont écrits dans le std. sortir.
o --ping : (C) n'effectue aucune action, mais est utilisé pour vérifier qu'un Stealth démon
accessible via son socket de domaine Unix ( ). Le démon répondra même si
il effectue actuellement une analyse d'intégrité. Il est utilisé par le /usr/bin/stealthcron
script pour vérifier qu'un Stealth le démon est vivant.
o --random-interval (-i) [m]> : démarre le scan à un intervalle aléatoire de
secondes (ou minutes si un "m" est ajouté (pas d'espaces) à )
après le délai spécifié à --repeat (voir ci-dessous). Cette option nécessite
spécification des options --repeat et --daemon ;
o --recharger : (C) recharge la configuration et ignore les fichiers et redémarre l'analyse
du système Stealth processus démon. Les options définies dans le fichier de stratégie sont également
rechargé. Cependant, les options de ligne de commande ont toujours la priorité sur les options définies
dans le fichier de stratégie, donc lorsque les options de ligne de commande ont été utilisées lors du démarrage Stealth in
en mode démon, ils ne peuvent pas être modifiés en rechargeant le fichier de stratégie.
o --répéter : se réveiller et effectuer une analyse d'intégrité aux interruptions ou après
secondes (ou minutes si un "m" est ajouté (pas d'espaces) à ) après
terminer l'analyse d'intégrité précédente. L'option --random-interval peut être utilisée pour
ajouter un délai aléatoire à jusqu'à ce que la prochaine analyse d'intégrité soit effectuée. Cette
l'option nécessite la spécification de l'option et --daemon ;
o --réexécuter : (C) commencer à exécuter les commandes d'analyse d'intégrité spécifiées dans
le Stealth fichier de stratégie du processus démon ;
o --resume : (C) reprendre une suspension Stealth processus, implique --rerun;
o --run-commande (-r) : (C) Exécuter uniquement le numéro de commande (entier naturel).
Les numéros de commande sont indiqués par Stealth ---parse-policy-file. Cette option ne peut être
spécifié à l'aide du deuxième synopsis ;
o --skip-files (-s) : toutes les entrées dans sont ignorés. Leur
l'intégrité n'est pas surveillée. Si une entrée est déjà présente dans un fichier journal, alors
Stealth génère une fois un message IGNORER dans le courrier envoyé à l'adresse
spécifié à EMAIL dans le fichier de stratégie. Chaque entrée mentionnée dans file-spec doit être sur
une ligne qui lui est propre et doit être spécifié à l'aide de chemins de fichiers absolus. Entrées se terminant
dans une barre oblique sont supposés être des répertoires dont le contenu complet doit être ignoré. Autre
les entrées sont interprétées comme les noms des fichiers à ignorer. Blancs initiaux et de fin,
les lignes vides et les lignes ayant un # comme premier caractère non vide sont ignorées. Ici
sont quelques exemples :
# ignore tous les fichiers du répertoire Mail de l'utilisateur
/accueil/utilisateur/Mail/
# ignore le fichier .history de l'utilisateur
/accueil/utilisateur/.history
o --stdout (-o) : les messages sont (également) écrits sur le std. flux de sortie (uniquement
disponible avec le deuxième synopsis);
o --suspendre : (C) suspend un actif actuellement Stealth traiter. Suivant
--suspend use --resume pour réactiver un Stealth démon ou --terminate pour terminer un
Stealth démon;
o --syslog : écrit des messages syslog ;
o --syslog-facilité : installation syslog à utiliser. Par défaut installation DAEMON
est utilisé;
o --syslog-priorité : priorité syslog à utiliser. Par défaut, la priorité AVIS est
utilisé;
o --syslog-tag : spécifie l'identifiant qui est préfixé à syslog
messages. Par défaut, la balise 'STEALTH' est utilisée, voir également la section suivante ;
o --terminer : (C) terminer un actuellement actif Stealth processus;
o --horodatage (-t) : les horodatages à utiliser. Par défaut UTC. Pour utiliser le local
heure spécifiez --time-stamp LT. L'option --time-stamp ne s'applique pas aux horodatages
généré par syslog (voir aussi la section suivante) ;
o --usage : (C) Affiche les informations d'aide et quitte ;
o --verbosité : détermine la quantité d'informations enregistrées. Nécessite des options
--log ou --syslog. Les valeurs possibles sont :
0 : rien n'est enregistré
1 : (par défaut) rapports de mode et commandes de stratégie
2: aussi: commandes et actions ipc
3 : également : messages d'information sur l'analyse d'intégrité
o --version (-v) : (C) Affichage Stealthles informations de version de et résilier ;
o policy : spécification de fichier du fichier de politique. Si un emplacement relatif est spécifié
alors cet emplacement est interprété par rapport au répertoire de travail courant.
Stealth convertit cette spécification relative en un emplacement de fichier absolu, et un
une option comme --reload rechargera le fichier de politique à partir de l'absolu ainsi déterminé
chemin du fichier.
Une seule des options --daemon, --reload, --resume, --suspend ou --terminate peut être
spécifié. Les options --reload, --rerun, --resume, --suspend et --terminate ignorent tout
autres options.
Les options suivantes sont toujours reconnues pour la compatibilité descendante avec Stealth
versions antérieures à la 3.00 et seront supprimées à l'avenir Stealth version. Ils génèrent des erreurs
messages suggérant des alternatives :
o --echo-commands (-e) : renvoie les commandes à l'erreur standard lorsqu'elles sont traitées ; utiliser --log
à la place.
o --keep-alive : exécuter en tant que démon ; utilisez --daemon à la place.
o --only-stdout : le rapport d'analyse est écrit sur stdout ; utilisez --stdout à la place.
o --quiet (-q) : supprime les messages de progression écrits sur stderr ; utiliser --verbosity 0
à la place.
o --supprimer : supprime un actif actuellement Stealth traiter; utiliser --suspendre
à la place.
Les options suivantes ont été abandonnées depuis Stealth Version 3.00.00:
o --debug (l'option --verbosity ou --dry-run peut être utilisée à la place) ;
o --no-child-process;
o --parse-config-file.
Lors de la spécification d'options longues dans les fichiers de stratégie, les tirets initiaux doivent être omis. Voici
quelques exemples:
%%
journal /tmp/stealth.log
verbosité 3
EXIT STATUT
Lors de la demande d'une commande IPC ou lors du démarrage Stealth en tant que démon 0 est retourné si le
la commande a été exécutée avec succès. Sinon, une valeur différente de 0 est renvoyée.
OUVERT SSH LINK À CLIENTS
Une fois Stealth a démarré en tant que processus de premier plan ou de démon effectuant des analyses d'intégrité des fichiers
ssh(1) est utilisé pour se connecter au(x) client(s) surveillé(s) par Stealth. Alors que Stealth fonctionne uniquement
UN ssh(1) la connexion est ouverte à chaque client. Cette connexion reste active pendant
Stealthdurée de vie pour minimiser le nombre de sshd entrées dans les fichiers journaux du client.
THE POLITIQUE DOSSIER
Le fichier de stratégie se compose de deux sections, la deuxième section est facultative et commence à un
ligne contenant simplement %%.
La première section du fichier de stratégie se compose de deux ensembles de données : utilisé directives (départ
avec le mot-clé UTILISATION) et commandes. Les lignes vides et les informations au-delà des dièses (#) sont
ignoré, tandis que les lignes qui suivent les lignes se terminant par des barres obliques inverses (\) sont concaténées (en
passant suppression de ces barres obliques inverses). Premier espace blanc sur les lignes de la politique
fichier est ignoré.
La deuxième section (facultative) commence à une ligne contenant simplement %%. Suivant ceci
ligne de séparation plusieurs spécifications d'options longues peuvent être saisies (voir ci-dessous à la section
OPTIONS). Les options spécifiées sur la ligne de commande sont prioritaires sur les options spécifiées dans
le fichier de politique. Bien que l'option --reload recharge le fichier de stratégie, cela ne changera pas
valeurs d'option initialement spécifiées en tant qu'options de ligne de commande. Cette rubrique peut contenir
spécifications des fichiers à ignorer et des options de journal. Emplacements relatifs des fichiers spécifiés pour
ces options sont interprétées en fonction de l'emplacement du fichier de stratégie. Par exemple, si le
l'argument du fichier de politique est spécifié sous la forme /root/client/policy puis le journal des spécifications :
client.log aboutit à Stealth en écrivant ses logs dans le fichier /root/client/client.log.
DÉFINIR DIRECTIVES
DÉFINIR Les directives sont utilisées pour associer des chaînes de texte plus longues à certains symboles. Par exemple,
après DEFINE FINDARGS -xdev -type f -exec /usr/bin/sha256sum {} \; la spécification
${FINDARGS} peut être utilisé dans UTILISATION DIRECTIVES et commandes (voir ci-dessous) pour utiliser le texte
associé au TROUVER symbole.
Notez que DÉFINIR des symboles peuvent également être utilisés dans la définition d'autres DÉFINIR symboles comme
bien. Les définitions circulaires directes ou indirectes doivent être évitées, car elles ne sont pas ou
incomplètement élargi.
UTILISATION DIRECTIVES
UTILISATION des directives peuvent être spécifiées (les directives sont écrites en majuscules, et
doit apparaître exactement comme indiqué ci-dessous : la casse des lettres est conservée). Spécifications en
crochets angulaires (comme ) représentent les spécifications à fournir par Stealth's
utilisateurs:
o UTILISATION BASE
BASE définit le répertoire d'où Stealth fonctionne. Tout parent ultérieur
les spécifications de chemin dans le fichier de stratégie (y compris les spécifications de chemin relatif dans
la deuxième partie de la politique) sont interprétées par rapport à BASE. By défaut c'est le
répertoire où Stealth a été commencé.
BASE et d'autres chemins inexistants sont créés automatiquement par Stealth si pas encore
existant.
Exemple :
UTILISER BASE /root/client
o UTILISATION DD
Le manuel de formation DD spécification utilise /bin/jj par défaut, et définit l'emplacement du dd(1)
programme, à la fois sur le serveur et sur le client. Les DD le programme est utilisé pour copier des fichiers
entre le client et le moniteur via la connexion ssh existante. Le programme
spécifié ici n'est utilisé que par Stealth lors de l'exécution des commandes PUT et GET
(décrit ci-dessous).
Exemple montrant la valeur par défaut :
UTILISER DD /bin/jj
o UTILISATION DIFFÉRENT
Le défaut DIFFÉRENT spécification utilise /usr/bin/diff, et définit l'emplacement du
diff(1) programme sur le moniteur. Les diff(1) programme est utilisé pour comparer un ancien
fichier journal créé d'un contrôle d'intégrité avec un fichier journal nouvellement créé.
Exemple montrant la valeur par défaut :
UTILISER DIFF /usr/bin/diff
o UTILISATION DIFFPREFIXE
Le manuel de formation DIFFPREFIXE spécification définit la taille du préfixe ajouté par le DIFF
commande aux lignes produites par les commandes exécutées via Stealth.
Le défaut /usr/bin/diff le programme préfixe les lignes par `> ' ou `< '. Les
valeur par défaut pour est donc égal à 2.
Exemple montrant la valeur par défaut :
UTILISER DIFFPREFIX 2
o UTILISATION E-MAIL
Le manuel de formation E-MAIL spécification définit l'adresse e-mail pour recevoir le rapport de la
analyse d'intégrité du client. La philosophie du "dark cockpit" est suivie ici : mail
n'est envoyé que lorsqu'une modification est détectée.
Exemple montrant la valeur par défaut (apparemment une adresse e-mail sur le moniteur) :
UTILISER EMAIL racine
o UTILISATION MAILER
Le manuel de formation MAILER spécification définit le programme qui envoie un e-mail au
E-MAIL-adresse. Contrairement à DIFFÉRENT et DD et (voir ci-dessous) SH et SSH, MAILER est exécuté comme
a / Bin / sh commande, pour permettre aux scripts shell de traiter également le courrier. Par défaut
MAILER est défini comme étant /usr/bin/mail. MAILER est appelé avec les arguments suivants :
MAILARGS, voir ci-dessous;
E-MAIL, le destinataire du courrier.
Exemple montrant la valeur par défaut :
UTILISER MAILER /usr/bin/mail
Comme alternative, le script Stealthmail est fourni. Il offre une pratique
tri par filtre Stealthet en ne gardant que les lignes contenant le texte AJOUTÉ,
MODIFIÉ, SUPPRIMÉ ou STEALTH. Habituellement, ces lignes sont celles que les gestionnaires de système sont
intéressé. Le rapport et les fichiers journaux peuvent toujours être consultés pour déterminer le
nature réelle des changements.
o UTILISATION MAILARGS
Le manuel de formation MAILARGS spécification définit les arguments qui sont passés à MAILER,
suivi de la spécification EMAIL.
Exemple montrant la valeur par défaut :
UTILISER MAILARGS -s "Rapport d'analyse STEALTH"
Notez que des blancs peuvent être utilisés dans la spécification du sujet : utilisez double ou simple
guillemets pour définir les éléments contenant des blancs. Utilisez \" pour utiliser un guillemet double dans un
chaîne qui est elle-même délimitée par des guillemets doubles ; utilisez \' pour utiliser un guillemet simple dans un
chaîne qui est elle-même délimitée par des guillemets simples.
o UTILISATION RAPPORT
RAPPORT définit le nom du fichier de rapport. Des informations sont toujours ajoutées à cette
déposer. À chaque Stealth analyse d'intégrité un Paisible marqueur en ligne est écrit dans le rapport
déposer. Uniquement lorsque (en plus de la ligne de repère) des informations supplémentaires sont ajoutées
au fichier de rapport, le contenu ajouté du fichier de rapport est envoyé par courrier
l'adresse indiquée dans le UTILISATION E-MAIL spécification. Lorsqu'un fichier relatif
la spécification est utilisée elle est interprétée comme un emplacement relatif à la BASE D'UTILISATION
spécification.
Exemple montrant la valeur par défaut :
Rapport d'utilisation du rapport
o UTILISATION SH
Le manuel de formation SH spécification utilise / Bin / sh par défaut, et définit le shell de commande utilisé par
le moniteur pour exécuter des commandes sur lui-même. Ce doit être un chemin absolu
spécification.
Exemple montrant la valeur par défaut :
UTILISER SH / Bin / sh
o UTILISATION SSH
Le manuel de formation SSH spécification a aucune défautet doit être spécifié. Cela doit être un
spécification de chemin absolu.
En supposant que le client fiducies le moniteur (qui est après tout ce que ce programme est tout
à propos, donc cela ne devrait pas être une hypothèse très forte), de préférence le ssh public
la clé du moniteur doit être placée dans le fichier racine .ssh/authorized_keys du client,
accorder au client un accès root au moniteur. Un accès root est normalement nécessaire pour
accéder à tous les répertoires et fichiers du système de fichiers du client.
En pratique, la connexion à un compte à l'aide du sh(1) la coque est préférée. Lorsque
un autre shell est déjà utilisé par ce compte, il faut s'assurer que son shell
ne définit pas ses propres redirections pour l'entrée standard et la sortie standard. Une manière
accomplir cela est de forcer l'exécution de / Bin / sh dans le UTILISATION SSH
spécification. Exemples:
# le shell de la racine est / Bin / sh:
UTILISER SSH root@client -T -q
# root utilise un autre shell, mais l'utilisation de / bin / bash C'est forcé:
UTILISER SSH root@client -T -q exec / bin / bash
# une alternative:
UTILISER SSH root@client -T -q exec / bin / bash --Pas de profil
Dans certaines installations Stealth est utilisé pour inspecter le moniteur lui-même, même si c'est
pas recommandé, car il brise l'une des principales raisons de Stealthl'existence. Mais en
ces situations (donc, où Stealth est utilisé pour surveiller l'intégrité de l'hôte local),
/ bin / bash peut être spécifié dans la directive USE SSH. Par exemple:
# Pour inspecter furtivement localhost :
UTILISER SSH / bin / bash --Pas de profil
COMMANDES
Suite au UTILISATION cahier des charges, commandes peut être spécifié. Les commandes sont exécutées dans
leur ordre d'apparition dans le dossier de police. Le traitement se poursuit jusqu'à la dernière commande
a été traité ou jusqu'à ce qu'une commande testée (voir ci-dessous) renvoie une valeur de retour non nulle.
ETIQUETTE COMMANDES
ETIQUETTE les commandes sont disponibles :
o ETIQUETTE
Ceci définit une étiquette de texte qui est écrite dans le RAPPORT dossier, devant le
sortie générée par le prochain COMMENCER-commander. Si le prochain COMMENCER-la commande ne génère pas
sortie, l'étiquette de texte n'est pas écrite dans le RAPPORT-déposer. Une fois par ETIQUETTE a été
défini, il est utilisé jusqu'à ce qu'il soit redéfini par le prochain ETIQUETTE. Utiliser un vide ETIQUETTE
spécification pour supprimer l'impression d'étiquettes.
Le texte peut contenir \n caractères (deux caractères) qui sont transformés en un
caractère de nouvelle ligne.
Exemple :
ÉTIQUETTE Inspection des fichiers dans / Etc\nIncluant des sous-répertoires
ETIQUETTE
(Dans cet exemple, l'ancien ETIQUETTE spécification est effacée par ce dernier ETIQUETTE
commander).
L'APPROVISIONNEMENT COMMANDES
L'APPROVISIONNEMENT les commandes sont exécutées sur le moniteur lui-même :
o L'APPROVISIONNEMENT
Exécutez la commande sur le moniteur, en utilisant le SH shell de commande. La commande doit
réussir (c'est-à-dire, doit retourner une valeur de sortie zéro).
Exemple :
LOCAL scp rootsh@client :/usr/bin/sha256sum / Tmp
Cette commande copie le client sha256sum(1) programme sur le moniteur.
o L'APPROVISIONNEMENT REMARQUE
Exécutez la commande sur le moniteur, en utilisant le SH shell de commande. La commande peut ou peut
Ne pas réussir.
Exemple :
NOTE LOCALE mkdir /tmp/subdir
Cette commande crée /tmp/subdir sur le moniteur. La commande échoue si le répertoire
ne peut pas être créé, mais cela ne se termine pas Stealth.
o L'APPROVISIONNEMENT COMMENCER [Se Connecter =] [pathOffset]
Exécutez la commande sur le moniteur, en utilisant le SH shell de commande. La commande doit
réussir. La sortie de cette commande est comparée à la sortie de cette commande
généré lors du contrôle d'intégrité précédent exécuté par Stealth.
L'expression Se Connecter = est facultatif. Lorsqu'un emplacement de fichier relatif est spécifié à
il est interprété relativement à la spécification du chemin USE BASE.
PathOffset est également facultatif. S'il est spécifié, il définit le décalage basé sur 0 où
les noms de chemin des fichiers inspectés commencent dans les lignes produites par . Par défaut
Stealth suppose que la première occurrence d'une barre oblique définit le premier
caractère des chemins d'accès des fichiers inspectés.
Par exemple, si diff-output ressemble à ceci :
01234567890123456789012345678901234567890 (décalages de colonne)
33c33
< 90d8b506d249634c4ff80b9018644567 filename-specification
---
> b88d0b77db74cc4a742d7bc26cdd2a1e filename-specification
puis la spécification
LOCAL CHECK logfile 36 commande à exécuter
informe Stealth où trouver les spécifications du nom de fichier dans la sortie diff. À l'aide de
la norme /usr/bin/diff commande, cet offset est égal à 2 + l'offset de la
spécification de nom de fichier trouvée dans la commande à exécuter.
Toute différence entre la sortie précédente et la sortie actuelle est écrite sur RAPPORT. Si
des différences ont été trouvées, le nom du fichier journal existant est renommé en
logfile.AAMMJJ-HHMMSS, avec AAMMJJ-HHMMSS l'horodatage (UTC) à l'époque
Stealth Était dirigé.
Notez qu'à terme, de nombreux fichiers logfile.AAMMJJ-HHMMSS pourraient être créés :
le gestionnaire des systèmes du moniteur pour décider quoi faire avec l'ancien horodatage
fichiers journaux.
Les spécifications du fichier journal peuvent utiliser des chemins relatifs et absolus. Lorsque les chemins relatifs
sont utilisés, ces chemins sont relatifs à BASE. Lorsque les répertoires impliqués par le
les spécifications du fichier journal n'existent pas encore, elles sont créées en premier.
Exemple :
JOURNAL DE VÉRIFICATION LOCAL = local/sha256sum sha256sum /tmp/sha256sum
Cette commande vérifie la somme SHA256 du programme /tmp/sha256sum. La résultante
la sortie est enregistrée à BASE/local/sha256sum. Le programme doit réussir (c'est-à-dire sha256sum
doit retourner une valeur de sortie nulle).
o L'APPROVISIONNEMENT REMARQUE COMMENCER [pathOffset]
Exécutez la commande sur le moniteur, en utilisant le SH shell de commande. La commande peut ou peut
Ne pas réussir. Sinon, la commande s'exécute exactement comme la L'APPROVISIONNEMENT COMMENCER ...
commande, discuté ci-dessus.
Exemple :
JOURNAL DE VÉRIFICATION DES NOTES LOCALES = local/sha256sum sha256sum /tmp/sha256sum
Cette commande vérifie la somme SHA256 du programme /tmp/sha256sum. La résultante
la sortie est enregistrée à BASE/local/sha256sum. Le programme doit réussir (c'est-à-dire sha256sum
doit retourner une valeur de sortie nulle).
Notez que le scp(1) la commande peut être utilisée pour copier des fichiers entre le client et le moniteur,
à l'aide d'une commande locale. Ceci, cependant, est déconseillé, en tant que ssh(1)-la connexion est
requis pour chaque scp(1) commande. Cette subtilité a été apportée à l'auteur
attention par Hopko Meijerink ([email protected]).
Pour copier des fichiers entre le client et le moniteur, les commandes GET et PUT (décrites
ci-dessous) doit être utilisé à la place, car ces commandes utilisent le ssh(1) connexion. Dans
En général, les commandes LOCAL ne doivent pas être utilisées pour établir des ssh(1) connexions à un
client.
REMOTE COMMANDES
Les commandes à distance sont des commandes exécutées sur le client à l'aide du SSH coquille. Ces commandes
sont exécutés à l'aide du PATH standard défini pour le SSH coquille. Cependant, il est conseillé de
spécifier le chemin d'accès complet aux programmes à exécuter, pour empêcher les « approches de chevaux de Troie »
où un cheval de Troie est installé dans un répertoire "précédent" de la spécification PATH que
le programme prévu.
Deux commandes à distance spéciales sont GET et PUT, qui peuvent être utilisées pour copier des fichiers entre le
client et le moniteur. En interne, GET et PUT utilisent la spécification DD. Si un
une spécification autre que celle par défaut est utilisée, il faut s'assurer que le programme alternatif accepte
dd(1) les options if=, of=, bs= et count=. Avec GET les options bs=, count= et of= sont
utilisé, avec PUT les options bs=, count= et if= sont utilisées. Normalement, il ne devrait pas y avoir besoin
pour modifier la spécification DD par défaut.
La commande GET peut être utilisée comme suit :
o ÉCONOMISEZ
Copiez le fichier indiqué par client-path sur le client dans local-path sur le moniteur.
Ici, client-path doit être le chemin complet d'un fichier existant sur le client,
chemin-local peut être soit un répertoire local, auquel cas le nom de fichier du client est
utilisé, ou un autre nom de fichier peut être spécifié, auquel cas le fichier du client est
copié dans le nom de fichier local spécifié. Si le fichier local existe déjà, il est
écrasé par la procédure de copie.
Exemple :
ÉCONOMISEZ /usr/bin/sha256sum / Tmp
Le programme /usr/bin/sha256sum, disponible chez le client, est copié sur le moniteur
/ Tmp annuaire. Si, pour une raison quelconque, la copie échoue, alors Stealth se termine.
o ÉCONOMISEZ REMARQUE
Copiez le fichier indiqué par client-path sur le client dans local-path sur le moniteur.
Encore une fois, client-path doit être le chemin complet d'un fichier existant sur le client,
chemin-local peut être soit un répertoire local, auquel cas le nom de fichier du client est
utilisé, ou un autre nom de fichier peut être spécifié, auquel cas le fichier du client est
copié dans le nom de fichier local spécifié. Si le fichier local existe déjà, il est
écrasé par la procédure de copie.
Exemple :
OBTENIR DES NOTES /usr/bin/sha256sum / Tmp
Le programme /usr/bin/sha256sum, disponible chez le client, est copié sur le moniteur
/ Tmp annuaire. Les commandes restantes dans le fichier de stratégie sont exécutées, même si le
le processus de copie n'a pas réussi.
La commande PUT peut être utilisée comme suit :
o PUT
Copiez le fichier indiqué par local-path sur le moniteur vers remote-path sur le client.
L'argument chemin-local doit être le chemin complet d'un fichier existant sur le moniteur.
L'argument chemin-distant doit être le chemin complet d'un fichier sur le client. Si la
le fichier distant existe déjà, il est écrasé par PUT.
Exemple :
METTRE /tmp/sha256sum /usr/bin/sha256sum
Le programme /tmp/sha256sum, disponible sur le moniteur, est copié sur le client comme
usr/bin/sha256sum. Si la copie échoue, Stealth se termine.
o PUT REMARQUE
Copiez le fichier indiqué par local-path sur le moniteur vers remote-path sur le client.
L'argument chemin-local doit être le chemin complet d'un fichier existant sur le moniteur.
L'argument chemin-distant doit être le chemin complet d'un fichier sur le client. Si la
le fichier distant existe déjà, il est écrasé par PUT.
Exemple :
METTRE NOTE /tmp/sha256sum /usr/bin/sha256sum
Copiez le fichier indiqué par local-path sur le moniteur vers remote-path sur le client.
L'argument chemin-local doit être le chemin complet d'un fichier existant sur le moniteur.
L'argument chemin-distant doit être le chemin complet d'un fichier sur le client. Si la
le fichier distant existe déjà, il est écrasé par PUT. Commandes restantes dans le
policy sont exécutés, même si le processus de copie n'a pas réussi.
Des commandes simples peuvent être exécutées sur l'ordinateur client en les spécifiant simplement. De
Bien entendu, cela implique que les programmes sur le client qui sont nommés, par exemple, LABEL, LOCAL ou
USE, ne peut pas être exécuté, car ces noms sont interprétés autrement par Stealth. Il est
peu probable que cette restriction pose beaucoup de problème...
Les commandes suivantes sont disponibles pour exécution sur le client :
o
Exécutez le chemin de commande sur le client en utilisant le SSH shell de commande (il est fortement
conseillé de spécifier un chemin complet vers la commande à exécuter). La commande doit réussir
(c'est-à-dire qu'il doit renvoyer une valeur de sortie nulle). Cependant, toute sortie générée par le
la commande est ignorée.
Exemple :
/usr/bin/trouver / Tmp -type f -exec /bin/rm {} \ ;
Cette commande supprime tous les fichiers ordinaires dans et en dessous du client / Tmp répertoire.
o REMARQUE
Exécutez le chemin de commande sur le client, en utilisant le SSH shell de commande. La commande peut ou
peut ne pas réussir.
Exemple :
REMARQUE /usr/bin/trouver / Tmp -type f -exec /bin/rm {} \ ;
Identique à la commande précédente, mais cette fois la valeur de sortie de /usr/bin/trouver n'est pas
interprété.
o COMMENCER [Se Connecter =] [pathOffset]
Exécutez le chemin de commande sur le client, en utilisant le SSH shell de commande.
L'expression Se Connecter = est facultatif. Lorsqu'un emplacement de fichier relatif est spécifié à
il est interprété relativement à la spécification du chemin USE BASE.
PathOffset est également facultatif et a la même signification que pour le LOCAL CHECK
commande, décrite ci-dessus. La commande doit réussir. La sortie de cette commande est
par rapport à la sortie de cette commande générée lors de l'exécution précédente de
Stealth. Toute différence est écrite à RAPPORT. Si des différences étaient constatées, le
le nom du fichier journal existant est renommé en fichier journal.AAMMJJ-HHMMSS, avec AAMMJJ-HHMMSS le
datetime-timbre à l'heure Stealth Était dirigé.
Notez que la commande est exécutée sur le client, mais le fichier journal est conservé sur le
surveiller. Cette commande représente le cœur de la méthode implémentée par Stealth:
il n'y aura aucun résidu des actions effectuées par Stealth sur le client
ordinateurs.
Plusieurs exemples (notez l'utilisation de la barre oblique inverse comme caractères de continuation de ligne) :
VÉRIFIER LE JOURNAL = remote/ls.root \
/usr/bin/trouver / \
-xdev -perm /6111 -type f -exec /bin/ls -l {} \;
Tous les fichiers suid/gid/exécutables sur le même périphérique que le répertoire racine (/) sur le
l'ordinateur client est répertorié avec ses autorisations, son propriétaire et ses informations de taille. Les
la liste résultante est écrite sur le fichier BASE/remote/ls.root.
VÉRIFIER la télécommande/sha256.root \
/usr/bin/trouver / \
-xdev -perm /6111 -type f -exec /usr/bin/sha256sum {} \ ;
Les sommes de contrôle SHA256 de tous les fichiers suid/gid/exécutables sur le même appareil que le
répertoire racine (/) sur l'ordinateur client sont déterminés. La liste résultante est
écrit sur le dossier BASE/distant/sha256.root.
o REMARQUE COMMENCER [Se Connecter =] [pathOffset]
Exécutez le chemin de commande sur le client, en utilisant le SSH shell de commande.
L'expression Se Connecter = est facultatif. Lorsqu'un emplacement de fichier relatif est spécifié à
il est interprété relativement à la spécification du chemin USE BASE.
PathOffset est également facultatif et a la même signification que pour le LOCAL CHECK
commande, décrite ci-dessus. La commande peut réussir ou non. Sinon, le
programme agit de la même manière que le COMMENCER ... commande, décrite ci-dessus.
Exemple :
NOTET CHECK LOG = remote/sha256.root \
/usr/bin/trouver / \
-xdev -perm /6111 -type f -exec /usr/bin/sha256sum {} \ ;
Les sommes de contrôle SHA256 de tous les fichiers suid/gid/exécutables sur le même appareil que le
répertoire racine (/) sur l'ordinateur client sont déterminés. La liste résultante est
écrit sur le dossier BASE/distant/sha256.root. Stealth ne se termine pas si le
/usr/bin/trouver le programme renvoie une valeur de sortie non nulle.
La taille de téléchargement maximale (à l'aide de GET ou CHECK) peut être spécifiée à l'aide de --max-size
option, voir ci-dessous. Par défaut, cette taille est fixée à 10M.
RAPPORT DOSSIER ROTATION
Depuis que Stealth ajoute uniquement des informations au fichier de rapport, la taille du fichier de rapport peut
deviennent finalement d'une taille prohibitive et une rotation logarithmique peut être souhaitable. C'est bien sûr
possible d'émettre une commande --terminate, de faire pivoter les fichiers journaux et de redémarrer Stealth, mais
Stealth offre également une possibilité de suspendre temporairement les analyses d'intégrité effectuées par un
Stealth processus démon :
o Appel Stealth avec l'option --suspend suspend l'intégrité du démon
scanne. Si Stealth effectue en fait une série d'analyses d'intégrité lorsque --suspend
est émis, la commande en cours d'exécution est d'abord terminée, après quoi le
La commande --suspend se termine. Une fois la Stealth le démon a été suspendu, automatique
ou les demandes d'analyse d'intégrité explicites sont refusées, et le démon ne peut être
chargé de reprendre ses tâches d'analyse (Stealth --reprendre ) ou pour terminer
(Stealth --mettre fin ).
o Une fois `Stealth --suspendre ' est revenu, le fichier de rapport peut être tourné en toute sécurité
(en utilisant, par exemple, tourner(1)), et un nouveau fichier de rapport (vide) peut éventuellement être
créé par le processus de logrotation.
o Une fois la rotation des journaux terminée, le processus de rotation des journaux devrait émettre le
commande `Stealth --reprendre '. Cela reprend les activités d'une entreprise suspendue
Stealth processus démon, effectuant immédiatement la prochaine analyse d'intégrité. Suivant
c'est le Stealth démon est de retour à son mode d'analyse d'intégrité d'origine. Voici
un exemple de tourner(1) spécification tournant Stealth fichiers journaux :
/root/stealth/clienthost/small/report /var/log/stealth/clienthost-small.log {
Tous les jours
faire pivoter 4
compresser
missingok
copier-tronquer
scripts partagés
prérotation
/usr/bin/stealth --suspend /root/stealth/client/small.uds
endcript
postroter
/usr/bin/stealth --resume /root/stealth/client/small.uds
endcript
}
RECHARGER, REDIFFUSION ET METTRE FIN
Voici ce qui se passe quand Stealth est exécuté en utilisant le troisième synopsis :
o Lorsqu'il a commencé en tant que Stealth --recharger , les Stealth le processus démon recharge son
policy et (si spécifié) --skip-files fichier de spécification. Ensuite le Stealth
processus démon effectue une analyse d'intégrité de fichier en utilisant les informations dans la relecture
policy et skip-files. Stealth peut recharger le contenu (modifié) du
les noms des fichiers de politique et de saut spécifiés à l'origine. Si une autre police et/ou
les fichiers skip-files doivent être utilisés avec un autre Stealth processus doit être lancé, pour lequel
ces nouveaux noms de fichiers sont spécifiés.
o Lorsqu'il a commencé en tant que Stealth --rediffusion , les Stealth le démon effectue une autre analyse
(sauf s'il a été suspendu à l'aide Stealth --suspendre ).
o Lorsqu'il a commencé en tant que Stealth --mettre fin , les Stealth le démon est terminé.
RSYSLOG Filtrage
Lors de l'utilisation rsyslogd(1) les filtres basés sur les propriétés peuvent être utilisés pour filtrer les messages syslog et
écrivez-les dans un fichier de votre choix. Par exemple, pour filtrer les messages en commençant par le syslog
balise de message (par exemple, STEALTH) utiliser
:syslogtag, isequal, "STEALTH:" /var/log/stealth.log
:syslogtag, isequal, "STEALTH:" stop
Notez que les deux points font partie de la balise, mais ne sont pas spécifiés avec l'option syslog-tag.
Cela provoque l'écriture de tous les messages ayant la balise STEALTH: sur /var/log/stealth.log
après quoi ils sont jetés. Un filtrage plus étendu est également pris en charge, voir, par exemple,
http://www.rsyslog.com/doc/rsyslog_conf_filter.html et
http://www.rsyslog.com/doc/property_replacer.html
Les horodatages écrits par rsyslogd ne sont pas contrôlés par Stealth's --time-stamp option, mais,
par exemple, par une spécification TZ dans /etc/default/rsyslog. Ajoutez simplement la ligne
exporter TZ=UTC
à /etc/default/rsyslog, suivi du redémarrage de rsyslogd configure rsyslogd pour générer
horodatage en utilisant l'UTC.
DÉPLOIEMENT EN RÉSUMÉ
Ce qui suit résume les étapes conseillées à effectuer lors de l'installation de la furtivité. Tous ceux-ci
les étapes sont détaillées dans Stealth's Utilisateur Guide (chapitre Fonctionnement "furtif"):
o Installer Stealth (par exemple, utiliser dpkg(1) pour installer le . Deb déposer);
o Construire un ou plusieurs fichiers de politique ;
o Automatiser le (re)démarrage Stealth grâce à cron(1) ou ssh-cron(1) (éventuellement en appelant
furtifcron);
o Configurer la rotation automatisée des fichiers journaux, en utilisant, par exemple, nettoyage furtif et tourner(1),
définir un ou plusieurs fichiers de configuration /etc/logrotate.d/stealth....
Utilisez la furtivité en ligne en utilisant les services onworks.net
