Verificação de integridade de arquivos - Ferramenta OSSEC

rafaelrocha

Neste tutorial abordaremos uma das funcionalidades da ferramenta de detecção de intruso OSSEC (Open Source Host-based Intrusion Detection System), o Syscheck. O Syscheck é responsável pela verificação da integridade e autenticidade de arquivos. O artigo está divido em três partes, introdução, instalação e configuração.

[ Hits: 36.905 ]

Por: Rafael Rocha em 29/06/2010

0 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O que é o Ossec

OSSEC (Open Source Host-based Intrusion Detection System) é uma ferramenta considerada o canivete suíço de sistemas de detecção de intruso. Com essa única ferramenta é possível fazer análise de logs, checar integridade de arquivos, monitorar administradores, detectar rootkits e obter alertas em tempo real. Dentre de todas essas funcionalidades, iremos aprender aqui como utilizar do processo Syscheck do OSSEC para a verificação de integridade de arquivos.

Porque verificar a integridade de arquivos

A resposta para a pergunta acima é simples, segurança. Quando se deseja um sistema seguro, é necessário construir barreiras em volta dele, tanto barreiras físicas quanto virtuais. Barreiras físicas são construídas no mundo real, por exemplo, os servidores devem estar localizados em uma sala na qual somente os administradores tenham acesso, o acesso a intranet de uma empresa deve ser restrita a seus funcionários etc. Já as barreiras virtuais são aquelas construídas no sistema através da utilização de softwares/hardware como proxys, firewalls etc.

Quanto o maior número de barreiras nesse sistema, mais difícil será o trabalho do invasor para obter sucesso. Porém a possibilidade de sucesso sempre existe. Na maioria das vezes que um invasor alcança seu objetivo, ele deixa rastros no sistema e a modificação de arquivos é um deles. A integridade de arquivo entra nessa guerra para identificar os rastros deixados em arquivos e notificar os administradores de um possível ataque.

Como funciona

Integridade de arquivo, como diz o nome, é o processo que verifica a integridade e autenticidade de um arquivo, ou seja, o objetivo é identificar arquivos modificados sem o consentimento do administrador do sistema. Esse processo é feito através de comparações de chaves hash que representa os arquivos.

O hash é uma sequência de bits gerado por um algoritmo de dispersão, o qual transforma uma grande quantidade de arquivo em uma pequena quantidade. Dessa forma quando um arquivo é o modificado, a chave gerada para esse novo arquivo é totalmente diferente da chave gerada anteriormente. O que possibilita a comparação de uma pequena quantidade de dados que representam os arquivos. Um ponto notável para a segurança é o fato de ser impossível reconstruir o arquivo a partir de sua chave.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Instalando o Ossec
   3. Configuração do Syscheck
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Vault: SSH com OneTimePassword

Acessando o Linux via SSH através do Android

Implementação de um sistema de arquivos criptografado transparente ao usuário

Alta Disponibilidade (High Availability) em sistemas GNU/Linux

O Kerberos não é um cachorro de 3 cabeças!

  
Comentários
[1] Comentário enviado por jeferson_roseira em 29/06/2010 - 13:26h

Prabéns pelo artigo.

Muito bom o conteúdo, gostei também dos exemplos.

att.

Jeferson Roseira

[2] Comentário enviado por Dombom em 01/07/2010 - 04:14h

Parabéns, muito bom artigo

[3] Comentário enviado por Roberto Ramos em 31/05/2012 - 16:16h

Rafael,

instalei o ossec para ver como ele funcionava mais gostaria de removelo, vc saberia me informar como procedo, ja pesquisei bastante no google e até o momento nada, vou continuar procurando, de antemão deixo aqui meu agradecimento.

[4] Comentário enviado por jtdest em 05/03/2015 - 19:41h


Ola blz,tenho uma duvida , pretendo implanta ossec na minha rede , mais a distribuição dos IPS das maquinas clientes e feita através do DHCP server , como adciona as maquinas cliente no servidor ossec, sendo que os IPS Sao dinamicamente distribuídos , pra melhor como funciona ossec sobre DHCP, por favor se pode me ajudar agradeço.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Flatpak: remover runtimes não usados e pacotes

Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2

Como deixar as abas do Firefox mais fininhas

Tópicos

Estou com sede em aprender sobre o nosso querido Linux. (1)

internalização de script (5)

big linux sem audio como resolver (2)

Como faz para dar um update-grub por shell script [RESOLVIDO] (3)

Senha SUDO no Zorin (2)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: