[ Pobierz całość w formacie PDF ]
.Aby wygenerować sumę, której nie da się łatwo oszukać, potrzebny jest mocniejszy mechanizm,na przykład taki jak opisany w podrozdziale pt. Skróty wiadomości i podpisy cyfrowe" w rozdziale6.Zależą one również od zawartości pliku, ale są zbyt skomplikowane, aby można je było ominąćlub oszukać.Jeśli mielibyśmy program do generowania sum kontrolnych MD5, moglibyśmy zmienić nasz skrypttak:#!/bin/shfind 'cat /usr/adm/1i sta.plików' -ls -type f -exec md5 (]\; > /tmp/teraz diff -b /user/adm/1ista.zapisana /tmp/terazPakiet TripwirePowyżej opisaliśmy metodę generowania listy atrybutów i skrótów wiadomości.Kłopot z tymimetodami polega na tym, że zawsze interesuje nas, czy nie został zmieniony właściciel lub trybdostępu do pliku /etc/passwd, ale nie obchodzi nas wielkość i suma kontrolna, dlatego że wnaturze, tego pliku leżą ciągłe zmiany.Jednocześnie bardzo dbamy o to, by nie zmieniła sięzawartość programu /bin/login.Chcielibyśmy również móc używać innych algorytmów generowania skrótów wiadomości.Wniektórych przypadkach jesteśmy zdecydowaniu użyć trzech silnych algorytmów, mimo iż wiemy,że zajmie to sporo czasu.W końcu jeden z algorytmów może wkrótce być złamany.W innychśrodowiskach wszystkim, czego nam będzie trzeba, będzie szybki i bezpieczny algorytm używanyw połączeniu z innymi metodami.Próbą spełnienia tych oczekiwań1 jest pakiet Tripwire.Został on napisany w Purdue, a jegoautorami są Gene Kim i Gene Spafford.Jest to program, który działa w większości znanych wersjiUnixa (i kilku nietypowych też).Odczytuje on plik kon-figuracyjny zawierający nazwy plików ikatalogów przeznaczonych do sprawdzenia, po czym śledzi zmiany informacji o i-węzłach izawartości plików.Baza danych jest wysoce konfigurowalna i pozwala administratorowi określićkonkretne atrybuty, które mają być monitorowane, oraz wybrać algorytm generowania skrótówdla każdego pliku.Budowanie pakietu TripwireAby zbudować pakiet Tripwire, należy ściągnąć go z miejsca jego dystrybucji: ftp://co-asLca.purdue.edu/pub/CO ASTfTripioire^.Wersja dystrybucyjna została podpisana elek-tronicznym podpisem PGP.Dzięki temu można zweryfikować, czy pobrane oprogramowanie jestautentyczne i nie zostało zmienione w nieautoryzowany sposób (omówienie podpisów cyfrowychmożna znalezć w podrozdziale pt. Odłączone podpisy PGP" w rozdziale 6).Następnie należy przeczytać treść wszystkich plików README i zrozumieć omawiane tamzagadnienia.Należy zwrócić szczególną uwagę na szczegóły dotyczące dostosowania programu dowarunków lokalnych, w tym adaptacji do systemu operacyjnego.Zazwyczaj potrzebnych będziekilka zmian w pliku include/config.h.Należy również nadać zmiennym CONFIG_PATH iDATABASE_PATH wartości zabezpieczonego katalogu, w którym będą przechowywane dane.Jedną dodatkową rzeczą, którą być może trzeba będzie zrobić, jest ustawienie domyślnychwartości znaczników w polu DEFAULTIGNORE.Element ten określa pola, które Tripwire będziedomyślnie monitorował lub ignorował dla plików bez jawnie określonych znaczników.Początkowoustawioną wartością tego elementu jest R-3456789" - znacznik dla plików tylko do odczytu ialgorytmów generowania skrótów numer l i 2.Algorytmy te odpowiadają podpisom MD5 i Snerfu.Można to zmienić, aby dostępne były również inne algorytmy.Można też zastąpić jeden z nichinnym, choć MD5, SHA i Haval wyglądają na najsilniejsze znane algorytmy.Następnie należy wywołać polecenie make, po czym make test.Test sprawdza wszystkie funkcjeprogramu Tripwire i zapewnia jego prawidłowe zbudowanie dla danego komputera.Demonstrujeon również, jak wyglądają dane wyjściowe z programu.Następnym krokiem jest utworzenie pliku konfiguracyjnego.Tripwire przeszukuje pliki, którychnazwy zostały zamieszczone w pliku konfiguracyjnym.Oprócz nazw plików i katalogów są tamumieszczone znaczniki określające, co należy uznać za zmianę.Oto przykładowa treść plikukonfiguracyjnego:/.rhosts R # może nie istnieć/.profile R # może nie istnieć/.forward R-12+78 # może nie istnieć/usr/spool/at L=/tmp L-nW tym przykładzie dla plików /.rhosts, /.profile i /.forward sprawdzane są wszystkie informacje i-węzłów oprócz czasu dostępu.Oznacza to, że monitorowane są takie parametry jak: właściciel,grupa, rozmiar, tryby ochrony, czasy modyfikacji, licznik łączy oraz ctime.Ponadto dla pierwszychdwóch plików są generowane sumy kontrolne za pomocą algorytmów SHA i HAYAL
[ Pobierz całość w formacie PDF ]