Oracle® Solaris 11.2 でのファイルのセキュリティー保護とファイル整合性の検証

印刷ビューの終了

 
更新: 2014 年 7 月
 
 

一定期間内で同一システムの目録を比較する方法

一定期間にわたって目録を比較することによって、壊れたファイルや異常なファイルを見つけたり、セキュリティー違反を検出したり、システム上のパフォーマンスの問題をトラブルシューティングしたりすることができます。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

  1. システム上でモニターするファイルの制御目録を作成します。 
    # bart create -R /etc > control-manifest
  2. (オプション)目録を将来の使用のために保護されたディレクトリ内に保存します。

    例については、Step 3制御目録を作成する方法 を参照してください。

  3. あとで、制御目録と同一の目録を準備します。 
    # bart create -R /etc > test-manifest
  4. ()2 番目の目録を保護します。 
    # mv test-manifest /var/adm/log/bartlogs
  5. 2 つの目録を比較します。

    同じコマンド行オプションと規則ファイルを使用して、それらを作成するために使用した目録を比較します。

    # bart compare options control-manifest  test-manifest > bart-report
  6. BART レポートを調べ、異常がないかを確認します。
使用例 2-2  一定期間にわたる同じシステムに対するファイル変更の追跡

この例は、一定期間にわたって /etc ディレクトリの変更を追跡する方法を示しています。このタイプの比較を使用すると、攻撃されたシステム上の重要なファイルを見つけることができます。

  • 制御目録を作成します。

    # cd /var/adm/logs/manifests
# bart create -R /etc > system1.control.090713
! Version 1.1
! HASH SHA256
! Saturday, September 07, 2013 (11:11:17)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
/.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x
attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize
:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev
eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e
.
.
.

  • あとで、同じコマンド行オプションを使用して、テスト目録を作成します。

    # bart create -R /etc > system1.test.101013
Version 1.1
! HASH SHA256
! Monday, October 10, 2013 (10:10:17)
# Format:
#fname D size mode acl dirmtime uid gid
#fname P size mode acl mtime uid gid
#fname S size mode acl mtime uid gid
#fname F size mode acl mtime uid gid contents
#fname L size mode acl lnmtime uid gid dest
#fname B size mode acl mtime uid gid devnode
#fname C size mode acl mtime uid gid devnode
/.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr
ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr
onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all
ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090
.
.
.

  • 目録を比較します。

    # bart compare system1.control.090713 system1.test.101013
/security/audit_class
mtime  4f272f59

この出力は、audit_class ファイル上の変更時間が、制御目録が作成されたあとに変化したことを示しています。この変化が予期しないものである場合は、さらに調査を行うことができます。

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ