Utilisation de BART (tâches)

La commande bart permet de créer et comparer des manifestes. Tous les utilisateurs peuvent exécuter cette commande. Toutefois, les utilisateurs peuvent uniquement répertorier et contrôler les fichiers pour lesquels ils disposent de droits d'accès. Par conséquent, les utilisateurs et la plupart des rôles peuvent répertorier utilement les fichiers dans leur répertoire d'accueil, mais le compte root permet de répertorier tous les fichiers, y compris les fichiers système.

Considérations de sécurité BART

Les manifestes et rapports BART sont lisibles par n'importe quel utilisateur. Si la sortie BART contient des informations confidentielles, protégez-la en effectuant les actions nécessaires. Par exemple, utilisez les options générant des fichiers de sortie avec des autorisations restreintes ou placez les fichiers de sortie dans un répertoire protégé.

Utilisation de BART (liste des tâches)

Création d'un manifeste de contrôle

La procédure suivante décrit la création d'un manifeste de base pour votre système. Utilisez ce type de manifeste lorsque vous installez de nombreux systèmes à partir d'une image centrale. Vous pouvez également utiliser ce type de manifeste pour effectuer des comparaisons lorsque vous souhaitez vérifier que les installations sont identiques. Pour plus d'informations sur les manifestes de base, reportez-vous à la section Manifeste BART. Pour connaître les conventions de format, reportez-vous à la section Exemple 6-1.

Avant de commencer

Pour créer un manifeste de contrôle du système, vous devez prendre le rôle root.

1. Après avoir personnalisé votre système Oracle Solaris en fonction des exigences de sécurité de votre site, créez un manifeste de contrôle et redirigez la sortie vers un fichier.

   # bart create options > control-manifest

   -R

   Spécifie le répertoire root pour le manifeste. Tous les chemins d'accès spécifiés par les règles sont interprétés par rapport à ce répertoire. Tous les chemins d'accès signalés dans le manifeste sont relatifs à ce répertoire.

   -I

   Accepte une liste de fichiers individuels à classifier, soit sur la ligne de commande soit à lire dans l'entrée standard.

   -r

   Nom du fichier de règles pour ce manifeste. Un argument - lit le fichier de règles de l'entrée standard.

   -n

   Désactive les signatures de contenu de tous les fichiers standard dans la liste de fichiers. Cette option peut être utilisée pour améliorer les performances. Ou bien vous pouvez l'utiliser s'il est prévu que le contenu de la liste de fichiers change, comme dans le cas des fichiers journaux du système.

2. Examinez le contenu du manifeste.

   Pour obtenir une explication sur le format, reportez-vous à l'Exemple 6-1.

3. (Facultatif) Protégez le manifeste.

   Pour protéger les manifestes système, une méthode consiste à les placer dans un répertoire auquel seul le compte root peut accéder.

   # mkdir /var/adm/log/bartlogs
   # chmod 700 /var/adm/log/bartlogs
   # mv control-manifest /var/adm/log/bartlogs

   Choisissez un nom explicite pour le manifeste. Par exemple, utilisez le nom du système et la date de création du manifeste comme dans mach1-120312.

Exemple 6-1 Explication du format de manifeste BART

Dans cet exemple, l'échantillon de sortie est suivi d'une explication du format de manifeste.

# bart create
! Version 1.1
! HASH SHA256
! Friday, September 07, 2012 (22:22:27)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/ D 1024 40755 user::rwx,group::r-x,mask:r-x,other:r-x
3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 0 0
.
.
.
/zone D 512 40755 user::rwx group::r-x,mask:r-x,other:r-x 3f81e892
154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334 0 0
.
.
.

Chaque manifeste se compose d'un en-tête et d'entrées de fichier. Chaque entrée de fichier constitue une seule ligne, selon le type de fichier. Par exemple, pour chaque entrée de fichier dans la sortie ci-dessus, le type F indique un fichier et le type D un répertoire. Sont également répertoriées des informations sur la taille, le contenu, l'ID utilisateur, l'ID de groupe et les autorisations. Les entrées de fichier dans la sortie sont triées par versions codées des noms de fichier de sorte à traiter correctement les caractères spéciaux. Toutes les entrées sont stockées dans l'ordre croissant par nom de fichier. Pour tous les noms de fichiers non standard, tels que ceux contenant des caractères de retour à la ligne ou de tabulation, les caractères non standard sont mis entre guillemets avant que le tri ne soit effectué.

Les lignes commençant par ! fournissent des métadonnées sur le manifeste. La ligne de version du manifeste indique la version de spécification du manifeste. La ligne de hachage indique le mécanisme de hachage qui a été utilisé. Pour plus d'informations sur le hachage SHA256 utilisé en tant que somme de contrôle, reportez-vous à la page de manuel sha2(3EXT).

La ligne de date indique la date de création du manifeste. Reportez-vous à la page de manuel date(1). Certaines lignes sont ignorées par l'outil de comparaison de manifestes. Les lignes ignorées incluent des métadonnées, des lignes vides, des lignes composées uniquement d'espaces blancs et des commentaires commençant par #.

Personnalisation d'un manifeste

Vous pouvez personnaliser un manifeste de l'une des façons suivantes :

• En spécifiant une sous-arborescence

  Spécifier une sous-arborescence est un moyen efficace de surveiller les modifications apportées aux fichiers importants sélectionnés, tels que tous les fichiers du répertoire /etc.

• En spécifiant un nom de fichier

  Spécifier un nom de fichier est un moyen efficace pour surveiller les fichiers particulièrement sensibles, tels que les fichiers de configuration et d'exécution d'une application de base de données.

• En utilisant un fichier de règles

  L'utilisation d'un fichier de règles pour créer et comparer des manifestes vous donne la possibilité de spécifier des attributs multiples pour plusieurs fichiers ou sous-arborescences. Sur la ligne de commande, vous pouvez spécifier une définition d'attribut générale s'appliquant à tous les fichiers inclus dans un manifeste ou un rapport. A partir d'un fichier de règles, vous pouvez indiquer les attributs qui ne s'appliquent pas au niveau global.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Déterminez les fichiers que vous souhaitez classifier et surveiller.
2. Créez un manifeste personnalisé à l'aide de l'une des options suivantes :

   • En spécifiant une sous-arborescence :

     # bart create -R subtree

   • En spécifiant un ou des noms de fichiers :

     # bart create -I filename...

     Par exemple :

     # bart create -I /etc/system /etc/passwd /etc/shadow

   • En utilisant un fichier de règles :

     # bart create -r rules-file

3. Examinez le contenu du manifeste.
4. (Facultatif) Enregistrez le manifeste dans un répertoire protégé en vue d'une utilisation ultérieure.

   Pour obtenir un exemple, reportez-vous à l'Étape 3 in Création d'un manifeste de contrôle.

   ---

   Astuce - Si vous avez utilisé un fichier de règles, enregistrez-le avec le manifeste. Pour que la comparaison soit utile, vous devez l'exécuter avec le fichier de règles.

   ---

Comparaison des manifestes pour le même système dans le temps

En comparant les manifestes au fil du temps, vous pouvez localiser les fichiers endommagés ou inhabituels, détecter les violations de sécurité et résoudre les problèmes de performances sur un système.

Avant de commencer

Pour créer et comparer des manifestes qui incluent des fichiers système, vous devez prendre le rôle root.

1. Créez un manifeste de contrôle des fichiers à surveiller sur le système.

   # bart create -R /etc > control-manifest

2. (Facultatif) Enregistrez le manifeste dans un répertoire protégé en vue d'une utilisation ultérieure.

   Pour obtenir un exemple, reportez-vous à l'Étape 3 in Création d'un manifeste de contrôle.

3. Plus tard, préparez un manifeste identique au manifeste de contrôle.

   # bart create -R /etc > test-manifest

4. Protégez le second manifeste.

   # mv test-manifest /var/adm/log/bartlogs

5. Comparez les deux manifestes.

   Utilisez les mêmes options de ligne de commande et le même fichier de règles pour comparer les manifestes qui vous avez utilisés pour les créer.

   # bart compare options control-manifest test-manifest > bart-report

6. Recherchez les singularités dans le rapport BART

Exemple 6-2 Suivi des modifications de fichier pour le même système au fil du temps

Cet exemple illustre le suivi des modifications dans le répertoire /etc au fil du temps. Ce type de comparaison vous permet de localiser sur le système les fichiers importants qui ont été compromis.

• Créez un manifeste de contrôle.

  # cd /var/adm/logs/manifests
  # bart create -R /etc > system1.control.090712
  ! Version 1.1
  ! HASH SHA256
  ! Friday, September 07, 2012 (11:11:17)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
  ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
  onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
  ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
  4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
  /.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x
  attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize
  :allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev
  eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 
  4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e
  .
  .
  .

• Plus tard, créez un manifeste test en utilisant les mêmes options de ligne de commande.

  # bart create -R /etc > system1.test.101012
  Version 1.1
  ! HASH SHA256
  ! Wednesday, October 10, 2012 (10:10:17)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
  ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
  onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
  ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
  4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
  .
  .
  .

• Comparez les manifestes.

  # bart compare system1.control.090712 system1.test.101012 
  /security/audit_class 
  mtime  4f272f59

La sortie indique que le temps de modification sur le fichier audit_class a changé depuis que le manifeste de contrôle a été créé. Si cette modification est inattendue, vous pouvez effectuer une analyse plus approfondie.

Comparaison de manifestes de différents systèmes

En comparant des manifestes de différents systèmes, vous pouvez déterminer si les systèmes sont installés de façon identique ou s'ils ont été mis à niveau de façon synchronisée. Par exemple, si vous avez personnalisé vos systèmes en fonction d'un objectif de sécurité spécifique, cette comparaison recherche tous les écarts entre le manifeste qui représente cet objectif et les manifestes des autres systèmes.

Avant de commencer

Pour comparer les manifestes système, vous devez prendre le rôle root.

1. Créez un manifeste de contrôle.

   # bart create options > control-manifest

   Pour connaître les options, reportez-vous à la page de manuel bart(1M).

2. (Facultatif) Enregistrez le manifeste dans un répertoire protégé en vue d'une utilisation ultérieure.

   Pour obtenir un exemple, reportez-vous à l'Étape 3 in Création d'un manifeste de contrôle.

3. Sur le système test, utilisez les mêmes options bart pour créer un manifeste.

   # bart create options > test1-manifest

4. (Facultatif) Enregistrez le manifeste dans un répertoire protégé en vue d'une utilisation ultérieure.
5. Pour effectuer la comparaison, copiez les manifestes dans un emplacement central.

   Par exemple :

   # cp control-manifest /net/ test-server/var/adm/logs/bartlogs

   Si le système test n'est pas un système monté via NFS, utilisez sftp ou un autre moyen fiable pour copier les manifestes à un emplacement central.

6. Comparez les manifestes et redirigez la sortie vers un fichier.

   # bart compare control-manifest test1-manifest > test1.report

7. Recherchez les singularités dans le rapport BART

Exemple 6-3 Identification d'un fichier suspect dans le répertoire /usr/bin

Cet exemple compare le contenu du répertoire /usr/bin sur les deux systèmes.

• Créez un manifeste de contrôle.

  # bart create -R /usr/bin > control-manifest.090711
  ! Version 1.1
  ! HASH SHA256
  ! Wednesday, September 07, 2011 (11:11:17)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /2to3 F 105 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribut
  es/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:read
  _data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:re
  ad_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4bf9d261 0
   2 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334
  /7z F 509220 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribu
  tes/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:rea
  d_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:r
  ead_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4dadc48a 0
   2 3ecd418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
  ...

• Créez un manifeste identique pour chaque système que vous souhaitez comparer avec le système de contrôle.

  # bart create -R /usr/bin > system2-manifest.101011
  ! Version 1.1
  ! HASH SHA256
  ! Monday, October 10, 2011 (10:10:22)
  # Format:
  #fname D size mode acl dirmtime uid gid
  #fname P size mode acl mtime uid gid
  #fname S size mode acl mtime uid gid
  #fname F size mode acl mtime uid gid contents
  #fname L size mode acl lnmtime uid gid dest
  #fname B size mode acl mtime uid gid devnode
  #fname C size mode acl mtime uid gid devnode
  /2to3 F 105 100555 owner@:read_data/read_xattr/write_xattr/execute/read_attribut
  es/write_attributes/read_acl/write_acl/write_owner/synchronize:allow,group@:read
  _data/read_xattr/execute/read_attributes/read_acl/synchronize:allow,everyone@:re
  ad_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow 4bf9d261 0
   2 154de3e7bdfd0d57a074c9fae0896a9e2e04bebfe5e872d273b063319e57f334
  ...

• Copiez les manifestes dans le même emplacement.

  # cp control-manifest.090711 /net/system2.central/bart/manifests

• Comparez les manifestes.

  # bart compare control-manifest.090711 system2.test.101011 > system2.report
  /su:
    gid  control:3  test:1
  /ypcat:
    mtime  control:3fd72511  test:3fd9eb23

La sortie indique que l'ID de groupe du fichier su dans le répertoire /usr/bin est différent de celui du système de contrôle. Ces informations peuvent indiquer qu'une version différente du logiciel a été installée sur le système test. L'ID de groupe est différent car quelqu'un a probablement modifié le fichier.

Personnalisation d'un rapport BART en spécifiant des attributs de fichiers

Cette procédure est utile pour filtrer la sortie des manifestes existants afin de vérifier des attributs de fichier spécifiques.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Déterminez les attributs de fichier à vérifier.
2. Comparez deux manifestes contenant les attributs de fichier à vérifier.

   Par exemple :

   # bart compare -i lnmtime,mtime control-manifest.121511 \ 
   test-manifest.010512 > bart.report.010512

   Utilisez une virgule dans la syntaxe de ligne de commande pour séparer chaque attribut de fichier.

3. Recherchez les singularités dans le rapport BART

Personnalisation d'un rapport BART en utilisant un fichier de règles

A l'aide d'un fichier de règles, vous pouvez personnaliser un manifeste BART pour des fichiers spécifiques et des attributs de fichier importants. En utilisant différents fichiers de règles sur des manifestes BART par défaut, vous pouvez exécuter différentes comparaisons pour les mêmes manifestes.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Déterminez les fichiers et attributs de fichier à surveiller.
2. Créez un fichier de règles avec les directives appropriées.
3. Créez un manifeste de contrôle avec le fichier de règles que vous avez créé.

   # bart create -r myrules1-file > control-manifest

4. (Facultatif) Enregistrez le manifeste dans un répertoire protégé en vue d'une utilisation ultérieure.

   Pour obtenir un exemple, reportez-vous à l'Étape 3 in Création d'un manifeste de contrôle.

5. Créez un manifeste identique sur un autre système, ultérieurement, ou les deux.

   # bart create -r myrules1-file > test-manifest

6. Comparez les manifestes en utilisant le même fichier de règles.

   # bart compare -r myrules1-file control-manifest test-manifest > bart.report

7. Recherchez les singularités dans le rapport BART

Exemple 6-4 Utilisation d'un fichier de règles pour personnaliser les manifestes BART et le rapport de comparaison

Le fichier de règles suivant redirige la commande bart create pour répertorier tous les attributs des fichiers du répertoire /usr/bin. En outre, le fichier de règles indique à la commande bart compare de signaler uniquement les modifications de taille et de contenu dans le même répertoire.

# Check size and content changes in the /usr/bin directory.
# This rules file only checks size and content changes.
# See rules file example.

IGNORE all
CHECK size contents
/usr/bin

• Créez un manifeste de contrôle avec le fichier de règles que vous avez créé.

  # bart create -r usrbinrules.txt > usr_bin.control-manifest.121011

• Préparez un manifeste identique chaque fois que vous voulez surveiller les modifications apportées au répertoire /usr/bin.

  # bart create -r usrbinrules.txt > usr_bin.test-manifest.121111

• Comparez les manifestes en utilisant le même fichier de règles.

  # bart compare -r usrbinrules.txt usr_bin.control-manifest.121011 \
  usr_bin.test-manifest.121111

• Examinez la sortie de la commande bart compare.

   /usr/bin/gunzip:  add
  /usr/bin/ypcat:
    delete

La sortie ci-dessus indique que le fichier /usr/bin/ypcat a été supprimé et le fichier /usr/bin/gunzip ajouté.