Mediante la comparación de los manifiestos durante el transcurso del tiempo, puede ubicar archivos dañados o inusuales, detectar infracciones de seguridad y solucionar problemas de rendimiento en un sistema.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# bart create -R /etc > control-manifest
Para ver un ejemplo, consulte el Step 3 en Cómo crear un manifiesto de control.
# bart create -R /etc > test-manifest
# mv test-manifest /var/adm/log/bartlogs
Utilice las mismas opciones de la línea de comandos y el mismo archivo de reglas para comparar los manifiestos que usó para crearlos.
# bart compare options control-manifest test-manifest > bart-report
En este ejemplo, se muestra cómo realizar un seguimiento de los cambios en el directorio /etc a lo largo del tiempo. Este tipo de comparación le permite ubicar archivos importantes del sistema que se vieron comprometidos.
Cree un manifiesto de control.
# cd /var/adm/logs/manifests # bart create -R /etc > system1.control.090713 ! Version 1.1 ! HASH SHA256 ! Saturday, September 07, 2013 (11:11:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 /.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize :allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e . . .
Más adelante, cree un manifiesto de prueba con las mismas opciones de la línea de comandos.
# bart create -R /etc > system1.test.101013 Version 1.1 ! HASH SHA256 ! Monday, October 10, 2013 (10:10:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 . . .
Compare los manifiestos.
# bart compare system1.control.090713 system1.test.101013 /security/audit_class mtime 4f272f59
La salida indica que la hora de modificación del archivo audit_class ha cambiado desde la creación del manifiesto de control. Si el cambio es inesperado, puede seguir investigando.