Das afick-Paket Die Einleitung Das afick-Paket ([1]http://afick.sourceforge.net/) stellt das AFICK-Sicherheitswerkzeug (Another File Integrity ChecKer) zur Verfuegung, welches es erlaubt Aenderungen im Dateisystem zu ueberwachen und so Systemkompromittierungen zu erkennen. Die Funktionen Das afick-Paket besteht aus folgender Komponente: * afick - Das afick-Werkzeug. ([2]http://afick.sourceforge.net/) Die Voraussetzungen Zur Nutzung des Programms wird ein installiertes Perl-Programmpaket benoetigt. Die Installation Das afick-Paket wird ueber das Setup-Menue installiert. Wird eine aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die neuen Programmdateien installiert werden. Das Menue im Setup-Programm Das Menue im Setup-Programm ist wie folgt aufgebaut: * View documentation: Anzeigen der Dokumentation * Edit configuration: Bearbeiten der Konfiguration * Initialize database: Initialisieren der Datenbank * Compare database: Vergleich der Datenbank * Update database: Vergleich und Aktualisierung der Datenbank * View log file: Die Logmeldungen anzeigen * View error file: Die Fehlermeldungen anzeigen * Return: Untermenue verlassen Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion nicht weiter eingegangen. Die Aenderung der Konfiguration Die Konfiguration kann ueber den Menuepunkt 'Edit configuration' geaendert werden. Standardmaessig wird der Editor aufgerufen, der in der Environment-Konfiguration ueber die Variable 'EDITOR' festgelegt wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber ein Skript die Anpassungen umgehend wirksam gemacht. Die Konfigurationsdatei In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter /etc/config.d/afick. Die Parameter START_AFICK Fuer die Aktivierung des afick-Dienstes muss diese Variable lediglich auf den Wert `yes' gestellt werden. Die Einstellung 'no' deaktiviert den afick-Dienst. Gueltige Werte: yes, no Standardeinstellung: START_AFICK='no' AFICK_EXCLUDE_PREFIX Ueber diesen Parameter koennen auf Wunsch Praefixe von Dateien festgelegt werden, welche von der Pruefung des Dateisystemes ausgeschlossen werden. Mehrere Praefixe werden jeweils durch ein Leerzeichen voneinander getrennt. Standardmaessig sind keine Dateipraefixe definiert. Gueltige Werte: leer, default, Dateipraefixe Standardeinstellung: AFICK_EXCLUDE_PREFIX='default' AFICK_EXCLUDE_SUFFIX Ueber diesen Parameter koennen auf Wunsch Suffixe von Dateien festgelegt werden, welche von der Pruefung des Dateisystemes ausgeschlossen werden. Mehrere Suffixe werden jeweils durch ein Leerzeichen voneinander getrennt. Standardmaessig sind folgende Dateipraefixe definiert: log, LOG, html, htm, HTM, txt, TXT, xml, hlp, pod, chm, tmp, old, bak, fon, ttf, TTF, bmp, BMP, jpg, JPG, gif, png, ico, wav, WAV, mp3, avi Gueltige Werte: leer, default, Dateisuffixe Standardeinstellung: AFICK_EXCLUDE_SUFFIX='default' AFICK_EXCLUDE_REGEXP Ueber diesen Parameter koennen auf Wunsch regulaere Ausdruecke festgelegt werden, auf deren Basis Dateien von der Pruefung des Dateisystemes ausgeschlossen werden. Mehrere regulaere Ausdruecke werden jeweils durch ein Leerzeichen voneinander getrennt. Standardmaessig sind keine regulaeren Ausdruecke definiert. Gueltige Werte: leer, default, regulaere Ausdruecke Standardeinstellung: AFICK_EXCLUDE_REGEXP='default' AFICK_SEND_REPORT Ueber diesen Parameter kann der regelmaessige Versand eine Pruefreports aktiviert werden. Gueltige Werte: yes, no Standardeinstellung: AFICK_SEND_REPORT='no' AFICK_SEND_REPORT_ADDR Ueber diesen Parameter werden eine oder mehrere E-Mail-Adressen angegeben an welche ein erstellter Pruefreport gesandt werden soll. Gueltige Werte: eine oder mehrere E-Mail-Adressen Beispiel: AFICK_SEND_REPORT_ADDR='root@local.lan' AFICK_SEND_REPORT_VERBOSE Ueber diesen Parameter wird festgelegt, ob ein ausfuehrlicher oder verkuerzter Pruefreport versandt werden soll. Gueltige Werte: yes, no Standardeinstellung: AFICK_SEND_REPORT_VERBOSE='no' AFICK_ARCHIVE_RETENTION Ueber diesen Parameter wird festgelegt wie mit den erstellten Archivdatei umgegangen werden soll. Der Wert `keep' legt fest, dass generell keine Archivdateien geloescht werden sollen. Alternativ kann ein Zahlenwert, gefolgt von der gewuenschten Einheit, `d' (days), `w' (weeks), `m' (months) und `y' (years). Gueltige Werte: keep, Zahlenwert+Einheit Beispiel: AFICK_ARCHIVE_RETENTION='2w' Standardeinstellung: AFICK_ARCHIVE_RETENTION='keep' AFICK_ALIAS_N Ueber diesen Parameter wird die Anzahl der Aliasdefinitionen festgelegt. Gueltige Werte: Zahlenwert Standardeinstellung: AFICK_ALIAS_N='7' AFICK_ALIAS_x_ACTIVE Ueber diesen Parameter wird der aktuelle Datensatz aktiviert bzw. deaktiviert. Gueltige Werte: yes oder no Standardeinstellung: AFICK_ALIAS_1_ACTIVE='yes' AFICK_ALIAS_x_COMMENT Ueber diesen Parameter kann ein Kommentar eingegeben werden, welcher einzig der Beschreibung dieses Datensatzes dient. Gueltige Werte: beliebiger Text Beispiel: AFICK_ALIAS_x_COMMENT='beschreibender Text' AFICK_ALIAS_x_NAME Ueber diesen Parameter wird der gewuenschte Aliasname festgelegt. Gueltige Werte: Aliasname Beispiel: AFICK_ALIAS_1_NAME='DEV' AFICK_ALIAS_x_ACTION Ueber diesen Parameter wird festgelegt, welche Datei- oder Verzeichnisattribute geprueft werden sollen. Die einzelnen Attribute werden mittels der Trennzeichen `+' (aktivieren) oder `-' (deaktivieren) verknuepft. Folgende Optionen stehen zur Verfuegung: a : atime i : inode s : size b : number of blocks md5 : md5 checksum sha1 : sha-1 checksum c : ctime m : mtime sha256 : sha-256 checksum d : device n : number of links sha512 : sha-512 checksum g : group p : permissions u : user Gueltige Werte: Kombination aus den zuvor genannten Angaben Beispiel: AFICK_ALIAS_1_ACTION='p+n' AFICK_PATH_FILE_N Ueber diesen Parameter wird die Anzahl der Datei- oder Verzeichnisdefinitionen festgelegt. Gueltige Werte: Zahlenwert Standardeinstellung: AFICK_PATH_FILE_N='26' AFICK_PATH_FILE_x_ACTIVE Ueber diesen Parameter wird der aktuelle Datensatz aktiviert bzw. deaktiviert. Gueltige Werte: yes oder no Standardeinstellung: AFICK_PATH_FILE_1_ACTIVE='yes' AFICK_PATH_FILE_x_COMMENT Ueber diesen Parameter kann ein Kommentar eingegeben werden, welcher einzig der Beschreibung dieses Datensatzes dient. Gueltige Werte: beliebiger Text Beispiel: AFICK_PATH_FILE_x_COMMENT='beschreibender Text' AFICK_PATH_FILE_x_ACTION Ueber diesen Parameter wird festgelegt, wie mit der angegebenen Datei oder dem angegebenen Verzeichnis verfahren werden soll. Hinweis Bei Verwendung des Wertes `singledir' bitte auch die Details unter dem Parameter[3]AFICK_PATH_FILE_x_NAME beachten. Folgende Optionen stehen zur Verfuegung: scan - Die angegebene Datei oder das Verzeichnis wird geprueft. skip - Die angegebene Datei oder das Verzeichnis wird nicht geprueft. singledir - Es wird nur das angegebene Verzeichnis geprueft. Gueltige Werte: scan, skip, singledir Beispiel: AFICK_PATH_FILE_1_ACTION='scan' AFICK_PATH_FILE_x_NAME Ueber diesen Parameter wird der absolute Datei- oder Verzeichnispfad angegeben fuer den die gewuenschte Aktion ausgefuehrt werden soll. ACHTUNG Wurde der Parameter [4]AFICK_PATH_FILE_x_ACTION auf den Wert `singledir' gesetzt, so kann ueber die Pfadangabe weiter Einfluss auf die Art der Pruefung genommen werden. Ended die Pfadangabe mit einem `/' (Slash), so werden nur das Verzeichnis selbst und die darin enthaltenen Dateien geprueft, nicht aber Unterverzeichnisse. Ohne einen finalen Slash werden nur das Verzeichnis, nicht aber die darin enthaltenen Dateien und Unterverzeichnisse geprueft. Gueltige Werte: absoluter Datei- oder Verzeichnispfad Beispiel: AFICK_PATH_FILE_1_NAME='/usr/bin' AFICK_PATH_FILE_x_ALIAS_NAME Ueber diesen Parameter wird der Aliasname festgelegt, welcher auf die zu pruefenden Dateiattribute referenziert. Gueltige Werte: Aliasname Beispiel: AFICK_PATH_FILE_1_ALIAS_NAME='DIR' AFICK_CHECK_CRON Ueber diesen Parameter wird die zyklische Pruefung des Dateisystems aktiviert. Gueltige Werte: yes, no Standardeinstellung: AFICK_CHECK_CRON='yes' AFICK_CHECK_CRON_SCHEDULE Ueber diesen Parameter wird festgelegt zu welchem Zeitpunkt bzw. in welchem Intervall eine Systempruefung durchgefuehrt werden soll. Die fuenf Teilparameter haben dabei folgende Bedeutung: 1 - Minuten, 2 - Stunden, 3 - Tag des Monats, 4 - Monat, 5 - Wochentag D.h. bei Verwendung der Standardeinstellung wird zweimal taeglich um 01:00h und 13:00h eine Systempruefung durchgefuehrt. Wer naeheres ueber die verwendete Befehlssyntax erfahren moechte, sollte ueber eine Internet-Suchmaschine nach 'man' und 'crontab' suchen. Gueltige Werte: Crontab-spezifischer Parametereintrag Standardeinstellung: AFICK_CHECK_CRON_SCHEDULE='0 1/12 * * *' __________________________________________________________________ Juergen Edner 2018-01-28 References 1. http://afick.sourceforge.net/ 2. http://afick.sourceforge.net/