Content
Dateianzeige für afick (1.0.3)
usr/share/doc/afick/afick.txt
Das afick-Paket
Die Einleitung
Das afick-Paket ([1]http://afick.sourceforge.net/) stellt das
AFICK-Sicherheitswerkzeug (Another File Integrity ChecKer) zur
Verfuegung, welches es erlaubt Aenderungen im Dateisystem zu
ueberwachen und so Systemkompromittierungen zu erkennen.
Die Funktionen
Das afick-Paket besteht aus folgender Komponente:
* afick - Das afick-Werkzeug.
([2]http://afick.sourceforge.net/)
Die Voraussetzungen
Zur Nutzung des Programms wird ein installiertes Perl-Programmpaket
benoetigt.
Die Installation
Das afick-Paket wird ueber das Setup-Menue installiert. Wird eine
aeltere Paketversion vorgefunden, so wird diese deinstalliert bevor die
neuen Programmdateien installiert werden.
Das Menue im Setup-Programm
Das Menue im Setup-Programm ist wie folgt aufgebaut:
* View documentation: Anzeigen der Dokumentation
* Edit configuration: Bearbeiten der Konfiguration
* Initialize database: Initialisieren der Datenbank
* Compare database: Vergleich der Datenbank
* Update database: Vergleich und Aktualisierung der Datenbank
* View log file: Die Logmeldungen anzeigen
* View error file: Die Fehlermeldungen anzeigen
* Return: Untermenue verlassen
Die Menuepunkte duerften selbsterklaerend sein, da sie keinerlei
weitere Eingaben erwarten. Aus diesem Grund wird auf deren Funktion
nicht weiter eingegangen.
Die Aenderung der Konfiguration
Die Konfiguration kann ueber den Menuepunkt 'Edit configuration'
geaendert werden. Standardmaessig wird der Editor aufgerufen, der in
der Environment-Konfiguration ueber die Variable 'EDITOR' festgelegt
wurde. Nachdem der Editor beendet wurde wird abgefragt, ob die
Konfiguration aktiviert werden soll. Wird dies bestaetigt, werden ueber
ein Skript die Anpassungen umgehend wirksam gemacht.
Die Konfigurationsdatei
In der Konfigurationsdatei, die ueber das Menue zugaenglich ist, sind
folgende Parameter vorhanden; wer sie von Hand editieren will findet
sie unter /etc/config.d/afick.
Die Parameter
START_AFICK
Fuer die Aktivierung des afick-Dienstes muss diese Variable
lediglich auf den Wert `yes' gestellt werden. Die Einstellung
'no' deaktiviert den afick-Dienst.
Gueltige Werte: yes, no
Standardeinstellung: START_AFICK='no'
AFICK_EXCLUDE_PREFIX
Ueber diesen Parameter koennen auf Wunsch Praefixe von Dateien
festgelegt werden, welche von der Pruefung des Dateisystemes
ausgeschlossen werden. Mehrere Praefixe werden jeweils durch ein
Leerzeichen voneinander getrennt.
Standardmaessig sind keine Dateipraefixe definiert.
Gueltige Werte: leer, default, Dateipraefixe
Standardeinstellung: AFICK_EXCLUDE_PREFIX='default'
AFICK_EXCLUDE_SUFFIX
Ueber diesen Parameter koennen auf Wunsch Suffixe von Dateien
festgelegt werden, welche von der Pruefung des Dateisystemes
ausgeschlossen werden. Mehrere Suffixe werden jeweils durch ein
Leerzeichen voneinander getrennt.
Standardmaessig sind folgende Dateipraefixe definiert: log, LOG,
html, htm, HTM, txt, TXT, xml, hlp, pod, chm, tmp, old, bak,
fon, ttf, TTF, bmp, BMP, jpg, JPG, gif, png, ico, wav, WAV, mp3,
avi
Gueltige Werte: leer, default, Dateisuffixe
Standardeinstellung: AFICK_EXCLUDE_SUFFIX='default'
AFICK_EXCLUDE_REGEXP
Ueber diesen Parameter koennen auf Wunsch regulaere Ausdruecke
festgelegt werden, auf deren Basis Dateien von der Pruefung des
Dateisystemes ausgeschlossen werden. Mehrere regulaere
Ausdruecke werden jeweils durch ein Leerzeichen voneinander
getrennt.
Standardmaessig sind keine regulaeren Ausdruecke definiert.
Gueltige Werte: leer, default, regulaere Ausdruecke
Standardeinstellung: AFICK_EXCLUDE_REGEXP='default'
AFICK_SEND_REPORT
Ueber diesen Parameter kann der regelmaessige Versand eine
Pruefreports aktiviert werden.
Gueltige Werte: yes, no
Standardeinstellung: AFICK_SEND_REPORT='no'
AFICK_SEND_REPORT_ADDR
Ueber diesen Parameter werden eine oder mehrere E-Mail-Adressen
angegeben an welche ein erstellter Pruefreport gesandt werden
soll.
Gueltige Werte: eine oder mehrere E-Mail-Adressen
Beispiel: AFICK_SEND_REPORT_ADDR='root@local.lan'
AFICK_SEND_REPORT_VERBOSE
Ueber diesen Parameter wird festgelegt, ob ein ausfuehrlicher
oder verkuerzter Pruefreport versandt werden soll.
Gueltige Werte: yes, no
Standardeinstellung: AFICK_SEND_REPORT_VERBOSE='no'
AFICK_ARCHIVE_RETENTION
Ueber diesen Parameter wird festgelegt wie mit den erstellten
Archivdatei umgegangen werden soll. Der Wert `keep' legt fest,
dass generell keine Archivdateien geloescht werden sollen.
Alternativ kann ein Zahlenwert, gefolgt von der gewuenschten
Einheit, `d' (days), `w' (weeks), `m' (months) und `y' (years).
Gueltige Werte: keep, Zahlenwert+Einheit
Beispiel: AFICK_ARCHIVE_RETENTION='2w'
Standardeinstellung: AFICK_ARCHIVE_RETENTION='keep'
AFICK_ALIAS_N
Ueber diesen Parameter wird die Anzahl der Aliasdefinitionen
festgelegt.
Gueltige Werte: Zahlenwert
Standardeinstellung: AFICK_ALIAS_N='7'
AFICK_ALIAS_x_ACTIVE
Ueber diesen Parameter wird der aktuelle Datensatz aktiviert
bzw. deaktiviert.
Gueltige Werte: yes oder no
Standardeinstellung: AFICK_ALIAS_1_ACTIVE='yes'
AFICK_ALIAS_x_COMMENT
Ueber diesen Parameter kann ein Kommentar eingegeben werden,
welcher einzig der Beschreibung dieses Datensatzes dient.
Gueltige Werte: beliebiger Text
Beispiel: AFICK_ALIAS_x_COMMENT='beschreibender Text'
AFICK_ALIAS_x_NAME
Ueber diesen Parameter wird der gewuenschte Aliasname
festgelegt.
Gueltige Werte: Aliasname
Beispiel: AFICK_ALIAS_1_NAME='DEV'
AFICK_ALIAS_x_ACTION
Ueber diesen Parameter wird festgelegt, welche Datei- oder
Verzeichnisattribute geprueft werden sollen. Die einzelnen
Attribute werden mittels der Trennzeichen `+' (aktivieren) oder
`-' (deaktivieren) verknuepft. Folgende Optionen stehen zur
Verfuegung:
a : atime i : inode s : size
b : number of blocks md5 : md5 checksum sha1 : sha-1 checksum
c : ctime m : mtime sha256 : sha-256 checksum
d : device n : number of links sha512 : sha-512 checksum
g : group p : permissions u : user
Gueltige Werte: Kombination aus den zuvor genannten Angaben
Beispiel: AFICK_ALIAS_1_ACTION='p+n'
AFICK_PATH_FILE_N
Ueber diesen Parameter wird die Anzahl der Datei- oder
Verzeichnisdefinitionen festgelegt.
Gueltige Werte: Zahlenwert
Standardeinstellung: AFICK_PATH_FILE_N='26'
AFICK_PATH_FILE_x_ACTIVE
Ueber diesen Parameter wird der aktuelle Datensatz aktiviert
bzw. deaktiviert.
Gueltige Werte: yes oder no
Standardeinstellung: AFICK_PATH_FILE_1_ACTIVE='yes'
AFICK_PATH_FILE_x_COMMENT
Ueber diesen Parameter kann ein Kommentar eingegeben werden,
welcher einzig der Beschreibung dieses Datensatzes dient.
Gueltige Werte: beliebiger Text
Beispiel: AFICK_PATH_FILE_x_COMMENT='beschreibender Text'
AFICK_PATH_FILE_x_ACTION
Ueber diesen Parameter wird festgelegt, wie mit der angegebenen
Datei oder dem angegebenen Verzeichnis verfahren werden soll.
Hinweis
Bei Verwendung des Wertes `singledir' bitte auch die Details
unter dem Parameter[3]AFICK_PATH_FILE_x_NAME beachten.
Folgende Optionen stehen zur Verfuegung:
scan - Die angegebene Datei oder das Verzeichnis wird
geprueft.
skip - Die angegebene Datei oder das Verzeichnis wird
nicht geprueft.
singledir - Es wird nur das angegebene Verzeichnis geprueft.
Gueltige Werte: scan, skip, singledir
Beispiel: AFICK_PATH_FILE_1_ACTION='scan'
AFICK_PATH_FILE_x_NAME
Ueber diesen Parameter wird der absolute Datei- oder
Verzeichnispfad angegeben fuer den die gewuenschte Aktion
ausgefuehrt werden soll.
ACHTUNG
Wurde der Parameter [4]AFICK_PATH_FILE_x_ACTION auf den Wert
`singledir' gesetzt, so kann ueber die Pfadangabe weiter
Einfluss auf die Art der Pruefung genommen werden. Ended die
Pfadangabe mit einem `/' (Slash), so werden nur das Verzeichnis
selbst und die darin enthaltenen Dateien geprueft, nicht aber
Unterverzeichnisse. Ohne einen finalen Slash werden nur das
Verzeichnis, nicht aber die darin enthaltenen Dateien und
Unterverzeichnisse geprueft.
Gueltige Werte: absoluter Datei- oder Verzeichnispfad
Beispiel: AFICK_PATH_FILE_1_NAME='/usr/bin'
AFICK_PATH_FILE_x_ALIAS_NAME
Ueber diesen Parameter wird der Aliasname festgelegt, welcher
auf die zu pruefenden Dateiattribute referenziert.
Gueltige Werte: Aliasname
Beispiel: AFICK_PATH_FILE_1_ALIAS_NAME='DIR'
AFICK_CHECK_CRON
Ueber diesen Parameter wird die zyklische Pruefung des
Dateisystems aktiviert.
Gueltige Werte: yes, no
Standardeinstellung: AFICK_CHECK_CRON='yes'
AFICK_CHECK_CRON_SCHEDULE
Ueber diesen Parameter wird festgelegt zu welchem Zeitpunkt bzw.
in welchem Intervall eine Systempruefung durchgefuehrt werden
soll. Die fuenf Teilparameter haben dabei folgende Bedeutung:
1 - Minuten, 2 - Stunden, 3 - Tag des Monats, 4 - Monat, 5 -
Wochentag
D.h. bei Verwendung der Standardeinstellung wird zweimal
taeglich um 01:00h und 13:00h eine Systempruefung durchgefuehrt.
Wer naeheres ueber die verwendete Befehlssyntax erfahren
moechte, sollte ueber eine Internet-Suchmaschine nach 'man' und
'crontab' suchen.
Gueltige Werte: Crontab-spezifischer Parametereintrag
Standardeinstellung: AFICK_CHECK_CRON_SCHEDULE='0 1/12 * * *'
__________________________________________________________________
Juergen Edner 2018-01-28
References
1. http://afick.sourceforge.net/
2. http://afick.sourceforge.net/