Integridade dos arquivos do sistema

Pequeno artigo sobre a utilização do md5sum e do .bash_history para administradores que compartilham o acesso aos servidores com outros técnicos.

[ Hits: 9.930 ]

Por: Marcos Miras em 11/02/2008


md5sum e .bash_history



Integridade do sistema

Em virtude de muitos colegas aparecerem com o problema do tipo:

"Estava funcionando até a semana passada e parou!"

Das duas a uma, ou o problema está no hardware, ou o problema é /dev/dedinho, alguém foi lá e colocou o dedo e assim fez parar a funcionalidade principal.

Para quem vive aí também dando um de "CSI" descobrindo as artes que os técnicos fazem, pois bem, esse artigo é para você.

Falaremos nesse artigo sobre o .bash_history e o md5sum, amiguinhos que podem nos ser muito úteis!

Primeiramente falarei sobre o .bash_history, ele é um arquivo do sistema onde são armazenados os últimos comandos executados em console corrente (exceto variáveis). Este arquivo se encontra no ~(home) de todo usuário e é um arquivo oculto (.bash_history). Para saber o que o usuário espertinho andou "aprontando" no servidor, abra o arquivo com um editor (vi, vim, nano,...):

$ vi ~/.bash_history

E veja os últimos acontecimentos, só não se assuste! rs

Agora vamos ao md5sum!

Ele é uma ferramenta que gera uma chave para o arquivo e caso haja alteração no mesmo, mudará então a chave, como não sou muito didático, vamos mostrar como funcionaria com um exemplo:

Temos o Squid funcionando em um determinado servidor e muitas "crianças arteiras" que estão dentro do TI resolvem mudar as políticas por si só e então não se sabe se realmente foi alterado o arquivo padrão que estava em pleno funcionamento.

Então, ainda com utilização do Squid iremos gerar a chave do squid.conf, no meu caso será:

# md5sum /etc/squid/squid.conf

E ele retornará:

c1e33002331af24d7a122ec8cf3e41df

Onde esta é a chave do arquivo.

Caso seja alterado qualquer caracter no arquivo (número, letra, espaço,...) essa chave mudará, colocarei um comentário no arquivo para testar

# echo "#teste" >> /etc/squid/squid.conf

E então, a chave logo irá mudar:

# md5sum /etc/squid/squid.conf

011a67080e0b5087b0f0ec2fc56e3408

Logo saberemos que o arquivo foi alterado! Mas o md5sum pode servir para fins muito mais úteis, por exemplo, como brinquei acima com "CSI", ele pode servir sim para equipes que trabalham com investigação forense, onde muitas pessoas procuram "apagar o passado".

Quando temos um curso de investigação forense com informática aprendemos a gerar a chave do HD para evitar esses problemas, como um julgamento demora e existe muita corrupção, pode-se evitar problemas com esse tipo utilização do md5sum.

Pode-se também utilizar em servidor de FTP para verificar se houve corrompimento de arquivos, enfim, se for se pensar de uma forma ampla a utilização do md5sum pode ser muito útil aos administradores Linux.

Abraços!
Marcos Miras
marcosmiras@atmsystem.com.br

   

Páginas do artigo
   1. md5sum e .bash_history
Outros artigos deste autor

Introdução ao MySQL

Comunity ENTerprise Operating System, o CentOS

PhpPgAdmin e PhpMyAdmin

Ruby + Rails + Gem + Mongrel Cluster + Apache + MySQL n0 Red Hat EL

Leitura recomendada

Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash

Ataque de Rougue AP com AIRBASE-NG

Mantendo a segurança no Linux

Instalando Bind9 + chroot no Debian

Ferramentas de detecção e NMAP

  
Comentários
[1] Comentário enviado por hugobcar em 11/02/2008 - 17:08h

Podia ter sido uma dica....

[2] Comentário enviado por m4tri_x em 28/02/2008 - 16:57h

Com certeza não...

Isso merece ter espaço de artigo, pois é muito importante e é a primeira vez que eu vejo algo do tipo aqui no VOL.
Essa ferramenta md5sum é ótima...

Valeu pelo Artigo...

Me abriu a mente para algumas coisas novas...

[]´s


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts