I comandi Linux: la sicurezza ( 2 ) | ALTRI capitoli | ||||
Il funzionamento di
Una volta creato il database, sarà possibile, periodicamente, effettuare la verifica dell'integrità:
In modalità di verifica,
Anche in questo caso, è possibile specificare una serie di opzioni, quali il file di configurazione da utilizzare, il file di policy da usare, il database di riferimento, il file di report da creare, le chiavi di crittografia da utilizzare per apporre la firma digitale sui file di configurazione, sul file di report e sul database:
L'opzione:
dice a
La verifica dell'integrità del filesystem può essere eseguita anche su singole regole di policy:
Per accedere al database ed ai file di report, è necessario utilizzare il comando
Il report generato (
oppure, chiamate l'aggiornamento del database manualmente:
E' necessario specificare a
ma è possibile specificarne uno differente:
Anche per l'aggiornamento del database,
Nel nuovo database, entreranno tutte quelle voci che avrete selezionato. Le voci non selezionate, invece, non verranno aggiornate. Se desiderate selezionare tutte le voci, a priori, inserite l'opzione:
Un ultimo parametro importante da impostare è il cosiddetto "livello di sicurezza": cosa deve fare
Se preferite, invece, che
Potremmo scoprire che le modifiche segnalate non abbiano una grande importanza, oppure che non ne abbiano alcuna. Questo, solitamente, dipende da una qualche direttiva ( o regola ), contenuta nel file di policy, inadeguata o ridondante. Per modificare il file di policy, occorre intervenire sulla versione testuale dell'esistente file, per esempio:
Una volta apportate le necessarie modifiche e salvato il file di testo, sarà sufficiente chiedere a
Visto che l'aggiornamento del file di policy è strettamente connesso ad un aggiornamento del database, è ovvio che le opzioni disponibili per questo comando siano simili, in tutto e per tutto, a quelle disponibili per il comando
L'utility
Il file di policy dice a
dove:
rappresenta un file o una directory del filesystem, da tenere monitorato;
rappresenta una sequenza di caratteri singoli, ciascuno dei quali rappresenta una proprietà. Gli spazi tra "object_name" ed il token "
indica a
indica a
Le proprietà possono essere anche dichiarate in una variabile:
Esistono anche una serie di variabili predefinite, il cui valore non può essere modificato:
Attenzione: è possibile associare una sola maschera ad un oggetto. Se, per errore, vengono associate due o più maschere allo stesso oggetto:
Per esempio:
Inoltre,
Come si usano gli attributi?
E' possibile associare più attributi ad una stessa regola:
oppure associare uno o più attributi a più regole:
Come modificano, gli attributi, il comportamento di
Un ulteriore strumento, offerto da
dove
magari facendo si che il programma che ha effetuato la chiamata venga chiuso, con uno stato diverso da zero:
La direttiva:
delimita una sezione del file di policy:
permettendo, anche, di evidenziare le sezioni riservate ad un sistema operativo specifico:
Infine, la direttiva:
indica la fine del file di policy: qualsiasi testo venisse aggiunto dopo, non verrebbe mai preso in considerazione da Il comando
Per stampare, invece, un intero file di report, dovremo indicare il nome del file da caricare:
Se non venisse specificato alcun file, infatti,
Visto che data e ora attuale cambiano costantemente, diventa necessario specificare un file particolare. Se il comando per stampare il database non specifica alcun oggetto particolare, verranno stampati tutti gli oggetti in esso contenuti. E', quindi, possibile specificare uno o più oggetti:
Naturalmente, è possibile specificare alcuni parametri. Per il database:
Per il file di report:
Inoltre, è anche possibile specificare un livello di accuratezza dell'output:
Per livello di accuratezza, si intende il numero dei dettagli pubblicati. Se non specificato, verrà preso dalla variabile REPORTLEVEL, all'interno del file di configurazione. E' un numero compreso tra 0 e 4. Per esempio:
Sia per la stampa del database, sia per la stampa dei file di report, è possibile chiedere sia una maggiore verbosità ( più informazioni ), sia una totale assenza di dati, nell'output, utilizzando, rispettivamente, le opzioni:
Il comando
Il comando
E' possibile chiedere un output in valori esadecimali, invece che in notazione 64base:
E' possibile chiedere un output su una sola riga:
|
|||||
I comandi Linux: la sicurezza ( 2 ) | Le guide di .bit: contenuto originale |