- 论坛徽章:
- 0
|
六、文件/系统完整性管理BART
Basic Audit Reporting Tool工具帮助快速可靠的检查已部署的系统,创建已配置好的系统上的文件列表manifest,在系统上发现文件一级的改变,所以在配置好系统后应尽快建立系统或关键目录的文件列表manifest,并按系统的变化经常更新。
如,/etc目录往往存放系统的重要配置信息,
2005年05月20日建立/etc的文件列表manifest:
# bart create -R /etc >; etc2005-05-20
2005年05月30日建立/etc的文件列表manifest:
# bart create -R /etc >; etc2005-05-30
如在2005年05月20日到05月30日,发觉/etc目录不安全,可能有人改过,可进行对比:
# bart compare etc20050520 etc20050530
/inet/hosts:
size control:742 test:758
mtime control:42883bc8 test:42997c6e
contents control:360be0aaa88e730ee1681c4d9afa20e3 test:50d8ab70777f0bd203f660cd9c0d6ad5
随即可发现,有人改变/etc/hosts文件。
那会不会有人改变了/etc的文件列表manifest呢,文件可读:
# grep host etc20050530
。。。
/inet/hosts F 758 100444 user::r--,group::r--,mask:r--,other:r-- 42997c6e 0 3 50d8ab70777f0bd203f660cd9c0d6ad5
。。。
会发现文件列表manifest使用了MD5数字签名算法校验,可不是人人都是山东大学王小云教授。 |
|