Nagios - Automatizando Auditorias de Rootkit
Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.
[ Hits: 13.380 ]
Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta
Premissas / rkhunter / check_rootkit
Premissas
Iremos adotar como premissas, os seguintes pontos:- Você já possui um servidor Nagios de monitoramento no seu ambiente.
- O cliente NRPE do Nagios já está instalado e configurado no servidor que será auditado/monitorado.
- O servidor auditado é um GNU/Linux.
Instalando o rkhunter (scan de rootkits)
Partiremos do ponto que é necessário ter um rootkit scanner instalado. Esse, por sua vez, se encarregará de identificar as potenciais ameaças.Vale ressaltar que, em hipótese alguma, um rootkit scanner garante a segurança do seu sistema, isso deriva de uma série de outros fatores complexos dos quais carecem de análise e configuração. O foco nesse artigo é automatizar o processo de auditoria, OK?
Pois bem, usaremos o "rkhunter V 1.4.0" como rootkit scanner. Sua instalação é bem simples e consiste nos seguintes passos:
Download:
Descompactação:
# tar -xvf rkhunter-1.4.0.tar.gz
Instalação:
# ./installer.sh --layout /usr/local --install
No meu caso, instalei no "/usr/local", caso deseje escolher outro diretório, fica a seu critério, mas lembre-se de adotar o caminho escolhido nos próximos passos.
Após instalado, execute-o a caráter de teste:
# rkhunter --check-all
Adicionando e configurando o plugin check_rootkit no Nagios
Esse plugin se responsabiliza por enviar o resultado do scan para o Nagios Server, e deve ser colocado no host que será monitorado.Vamos lá. Download do plugin:
Descompactação:
# gzip -cd check_rootkit.gz | gzip -d - > check_rootkit
Ele deve ser colocado no diretório em que se encontram os plugins do Nagios:
# cp check_rootkit /usr/local/nagios/libexec/
Feito isso, devemos alterar suas permissões:
# chown nagios.nagios check_rootkit
# chmod +x check_rootkit
Agora, precisamos realizar uma pequena alteração no script "check_rootkit" para que funcione corretamente. Na linha 61, iremos alterar de:
Securitydata=`sudo rkhunter --quiet --allow-ssh-root-user --checkall 2>&1`Para:
Securitydata=`sudo rkhunter --quiet --check 2>&1`
Essa alteração decorre por essa versão do rkhunter não suportar o parâmetro "--allow-ssh-root-user".
Páginas do artigo
1. Premissas / rkhunter / check_rootkit2. Configurações
3. Suprimindo warnings e mostrando somente criticals no monitor
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Autenticação via hardware: o módulo pam_usb
VPN com openVPN no Slackware 11
Recon and Scan with Metasploit
Comentários
[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h
João parabéns pelo artigo realmente ficou muito bom mesmo. =)
Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).
Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D
João parabéns pelo artigo realmente ficou muito bom mesmo. =)
Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).
Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D
[4] Comentário enviado por joaocpimenta em 26/06/2013 - 10:01h
[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:
João parabéns pelo artigo realmente ficou muito bom mesmo. =)
Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).
Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D
Opa Tácio, obrigado!
O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)
Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/
[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:
João parabéns pelo artigo realmente ficou muito bom mesmo. =)
Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).
Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D
Opa Tácio, obrigado!
O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)
Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/
[5] Comentário enviado por Tacioandrade em 26/06/2013 - 11:36h
Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).
Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Trabalhando Nativamente com Logs no Linux
Jogando Daikatana (Steam) com Patch 1.3 via Luxtorpeda no Linux
LazyDocker – Interface de Usuário em Tempo Real para o Docker
Dicas
Linux Mint: Zram + Swapfile em Btrfs
O widget do Plasma 6 Área de Notificação
Tópicos
Após todos esses anos... youtube! (4)
[Resolvido] Conselho distribuiçao brasileira (14)
Top 10 do mês
-
Xerxes
1° lugar - 113.638 pts -
Fábio Berbert de Paula
2° lugar - 57.934 pts -
Buckminster
3° lugar - 29.189 pts -
Alberto Federman Neto.
4° lugar - 19.042 pts -
Mauricio Ferrari (LinuxProativo)
5° lugar - 18.229 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 17.723 pts -
Diego Mendes Rodrigues
7° lugar - 16.906 pts -
edps
8° lugar - 16.603 pts -
Daniel Lara Souza
9° lugar - 15.963 pts -
Andre (pinduvoz)
10° lugar - 15.539 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
