Product SiteDocumentation Site

10.2. Effettuate periodicamente dei controlli sull'integrità del sistema

Basandovi sulle informazioni che avete generato in fase di installazione come metro di paragone, (ovvero l'istantanea descritta in Sezione 4.19, «Una fotografia del sistema») dovreste essere in grado di controllare l'integrità del sistema quando volete. Un controllo sull'integrità del sistema sarà in grado di rilevare le modifiche su disco, effettuate da un intruso o generate da errori dell'amministratore di sistema.
Integrity checks should be, if possible, done offline.[64] That is, without using the operating system of the system to review, in order to avoid a false sense of security (i.e. false negatives) produced by, for example, installed rootkits. The integrity database that the system is checked against should also be used from read-only media.
Potreste pensare di voler fare dei controlli d'integrità a sistema avviato (ossia, utilizzando il sistema operativo che state controllando) usando uno qualsiasi dei sistemi di controllo dell'integrità del filesystem disponibili, (descritti in Sezione 4.17.3, «Controllare l'integrità del file system») se non avete la possibilità di spengere il sistema. Comunque sia, dovreste assicurarvi che la banca dati usata nel controllo dell'integrità del filesystem non sia scrivibile e che gli strumenti di analisi che state usando (incluso il nucleo del sistema operativo) non siano stati manomessi.
Alcuni degli strumenti sono stati menzionati nella sezione sugli strumenti per il controllo dell'integrità, ad esempio aide, integrit o samhain sono già predisposti per effettuare periodicamente dei controlli (nei primi due casi si usa il crontab mentre samhain utilizza un demone indipendente) e possono avvisare l'amministratore in vari modi (in genere tramite email, ma samhain può anche inviare pagine web, avvisi mediante syslog o notifiche SNMP) qualora il filesystem sia stato alterato.
Naturalmente, se eseguite un aggiornamento per la sicurezza, dovrete effettuare una nuova istantanea del sistema che fotografi anche i cambiamenti legittimi avvenuti in seguito ad un aggiornamento del sistema per la sicurezza.


[64] An easy way to do this is using a Live CD, such as http://www.knoppix-std.org/ which includes both the file integrity tools and the integrity database for your system.