Nagios - Automatizando Auditorias de Rootkit

Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.

[ Hits: 12.496 ]

Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta


Suprimindo warnings e mostrando somente criticals no monitor



Caso não deseje que o Warning seja constantemente apresentado no monitor do Nagios, basta alterar o script check_rootkit dos hosts, para que gerem alertas somente com reports críticos.

Alterando o exit da linha 71 para o valor 0, ficando da seguinte forma:

Securitydata=`sudo rkhunter --quiet --check 2>&1`
   status=$?
   if test "$1" = "-v" -o "$1" = "--verbose"; then
      echo ${Securitydata}
   fi
   if test ${status} -eq 127; then
      echo "root kit hunter UNKNOWN - command not found (did you install it?)"
      exit -1
   elif test ${status} -ne 0 ; then
      echo "WARNING - rkhunter returned state $status"
      exit 0
   fi
   if echo ${Securitydata} | egrep infected > /dev/null; then
      echo rkhunter CRITICAL - Infection detected!
      exit 2
   else
      echo Security ok
      exit 0
   fi


Conclusão

Bom pessoal, com esse artigo espero que vocês poupem tempo e paciência nas auditorias de rootkit.

Página anterior    

Páginas do artigo
   1. Premissas / rkhunter / check_rootkit
   2. Configurações
   3. Suprimindo warnings e mostrando somente criticals no monitor
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Snort avançado: Projetando um perímetro seguro

YASG (Yet Another Security Guide)

Como saber se houve uma invasão

Festa com SQL injection

Recuperando senhas de usuários

  
Comentários
[1] Comentário enviado por silent-man em 24/06/2013 - 08:36h

Excelente, parabéns!!!

[2] Comentário enviado por joaocpimenta em 25/06/2013 - 12:55h

Obrigado Gleison!

[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D

[4] Comentário enviado por joaocpimenta em 26/06/2013 - 10:01h


[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:

João parabéns pelo artigo realmente ficou muito bom mesmo. =)

Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).

Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D


Opa Tácio, obrigado!

O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)

Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/

[5] Comentário enviado por Tacioandrade em 26/06/2013 - 11:36h

Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts