Nagios - Automatizando Auditorias de Rootkit
Auditoria de rootkits, normalmente, é um processo que exige tempo, interação, documentação e trabalho repetitivo. Na maioria dos casos, os servidores são auditados através de scripts dos quais geram logs e precisam ser interpretados por um analista. Com este artigo, pretendo apresentar uma maneira de automatizar esse processo através do Nagios, gerando alertas conforme ameaças são encontradas.
[ Hits: 13.293 ]
Por: Joao Carlos Pimenta em 24/06/2013 | Blog: https://twitter.com/joaocpimenta
Premissas / rkhunter / check_rootkit
Premissas
Iremos adotar como premissas, os seguintes pontos:- Você já possui um servidor Nagios de monitoramento no seu ambiente.
- O cliente NRPE do Nagios já está instalado e configurado no servidor que será auditado/monitorado.
- O servidor auditado é um GNU/Linux.
Instalando o rkhunter (scan de rootkits)
Partiremos do ponto que é necessário ter um rootkit scanner instalado. Esse, por sua vez, se encarregará de identificar as potenciais ameaças.Vale ressaltar que, em hipótese alguma, um rootkit scanner garante a segurança do seu sistema, isso deriva de uma série de outros fatores complexos dos quais carecem de análise e configuração. O foco nesse artigo é automatizar o processo de auditoria, OK?
Pois bem, usaremos o "rkhunter V 1.4.0" como rootkit scanner. Sua instalação é bem simples e consiste nos seguintes passos:
Download:
Descompactação:
# tar -xvf rkhunter-1.4.0.tar.gz
Instalação:
# ./installer.sh --layout /usr/local --install
No meu caso, instalei no "/usr/local", caso deseje escolher outro diretório, fica a seu critério, mas lembre-se de adotar o caminho escolhido nos próximos passos.
Após instalado, execute-o a caráter de teste:
# rkhunter --check-all
Adicionando e configurando o plugin check_rootkit no Nagios
Esse plugin se responsabiliza por enviar o resultado do scan para o Nagios Server, e deve ser colocado no host que será monitorado.Vamos lá. Download do plugin:
Descompactação:
# gzip -cd check_rootkit.gz | gzip -d - > check_rootkit
Ele deve ser colocado no diretório em que se encontram os plugins do Nagios:
# cp check_rootkit /usr/local/nagios/libexec/
Feito isso, devemos alterar suas permissões:
# chown nagios.nagios check_rootkit
# chmod +x check_rootkit
Agora, precisamos realizar uma pequena alteração no script "check_rootkit" para que funcione corretamente. Na linha 61, iremos alterar de:
Securitydata=`sudo rkhunter --quiet --allow-ssh-root-user --checkall 2>&1`Para:
Essa alteração decorre por essa versão do rkhunter não suportar o parâmetro "--allow-ssh-root-user".
2. Configurações
3. Suprimindo warnings e mostrando somente criticals no monitor
Snort avançado: Projetando um perímetro seguro
Fail2ban no Debian - Instalação e Configuração
João parabéns pelo artigo realmente ficou muito bom mesmo. =)
Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).
Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D
[3] Comentário enviado por Tacioandrade em 26/06/2013 - 02:20h:
João parabéns pelo artigo realmente ficou muito bom mesmo. =)
Aproveitando o artigo, você conhece algum material sobre a utlização do Nagios para me indicar? encontro na internet MUITO material sobre a instalação e configuração dele e do Zabbix, porem muito pouco sobre sua utilização (e o mesmo não é tão amigável quanto outras soluções do mercado).
Caso saiba de algum material bom (de preferência em português), agradeceria muito a indicação. =D
Opa Tácio, obrigado!
O material mais completo é sem dúvida a documentação oficial que está muito bem organizada e em inglês. (http://www.nagios.org/documentation)
Em português você encontrará bastante sobre administração, configuração e até how-tos no http://nagios-br.com/
Valeu mesmo pela dica do nagios-br.com não conhecia esse site. =) Sobre a documentação oficial eu tinha dado uma lida, porem achei meio "pesada" demais a leitura dele, porem depois irei dar uma outra olhada com mais calma e ver se consigo compreender melhor (meu inglês é só para leitura mesmo e meio fraco. =/).
Patrocínio
Destaques
Artigos
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Como impedir exclusão de arquivos por outros usuários no (Linux)
Cirurgia no Linux Mint em HD Externo via USB
Anúncio do meu script de Pós-Instalação do Ubuntu
Tópicos
Alguém executou um rm e quase mata a Pixar! (0)
Por que passar nas disciplinas da faculdade é ruim e ser reprovado é b... (6)
Alguém pode me indicar um designer freelancer? [RESOLVIDO] (3)
Top 10 do mês
-
Xerxes
1° lugar - 149.580 pts -
Fábio Berbert de Paula
2° lugar - 68.903 pts -
Mauricio Ferrari
3° lugar - 21.821 pts -
Buckminster
4° lugar - 20.565 pts -
Alberto Federman Neto.
5° lugar - 19.597 pts -
edps
6° lugar - 19.313 pts -
Daniel Lara Souza
7° lugar - 19.123 pts -
Andre (pinduvoz)
8° lugar - 17.581 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 16.266 pts -
Diego Mendes Rodrigues
10° lugar - 14.251 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
