Product SiteDocumentation Site

10.2. Faça verificações de integridade periódicas

A verificação de integridade é feita baseada na informação completa do sistema gerada depois da instalação (ex. o snapshot descrito em Seção 4.19, “Fazendo um snapshot do sistema”) e deve ser feita de tempos em tempos. Com a verificação de integridade é possível detectar modificações no sistema de arquivos feitas por um intruso ou por algum erro do administrador do sistema.
As verificações de integridade devem ser, se possível, feitas offline [63] . Isto é, utilizar outro sistema operacional para fazer a verificação, evitando assim um falso senso de segurança (ex. falsos negativos) produzido por, por exemplo, rootkits instalados. A base de dados de integridade verificada pelo sistema também deve ser usada em uma mídia somente leitura.
Você deve considerar fazer a verificação online utilizando qualquer ferramenta de verificação de integridade do sistema de arquivos disponíveis (descrito em Seção 4.17.3, “Verificando a integridade do sistema de arquivos”), se você não puder deixar o sistema fora do ar. Entretanto, algumas precauções devem ser levadas em conta como a utilização de uma base de dados da integridade somente para leitura e assegurar que a ferramenta de verificação de integridade (e o kernel do sistema operacional) não esteja sendo usada.
Algumas das ferramentas citadas nesta seção, como aide, integrit ou samhain já estão preparadas para fazer revisões periódicas (através do crontab nas duas primeiras e através de um daemon standalone na samhain) e pode avisar o administrador por diferentes canais (geralmente e-mail, mas samhain também pode enviar pages, traps SNMP ou alertas do syslog) quando ocorrem alterações no sistema de arquivos.
Claro que se você for executar uma atualização do sistema, deve ser tirado novamente um snapshot para acomodar as alterações sofridas durante a atualização de segurança.


[63] Uma maneira fácil de fazer isso é utilizar um Live CD, tipo o http://www.knoppix-std.org/ que inclue ambas as ferramentas de verificação de arquivos e a base de dados de integridade do seu sistema.