一定期間にわたって目録を比較することによって、壊れたファイルや異常なファイルを見つけたり、セキュリティー違反を検出したり、システム上のパフォーマンスの問題をトラブルシューティングしたりすることができます。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
# bart create -R /etc > control-manifest
例については、Step 3の制御目録を作成する方法 を参照してください。
# bart create -R /etc > test-manifest
# mv test-manifest /var/adm/log/bartlogs
同じコマンド行オプションと規則ファイルを使用して、それらを作成するために使用した目録を比較します。
# bart compare options control-manifest test-manifest > bart-report
この例は、一定期間にわたって /etc ディレクトリの変更を追跡する方法を示しています。このタイプの比較を使用すると、攻撃されたシステム上の重要なファイルを見つけることができます。
制御目録を作成します。
# cd /var/adm/logs/manifests # bart create -R /etc > system1.control.090713 ! Version 1.1 ! HASH SHA256 ! Saturday, September 07, 2013 (11:11:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 /.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize :allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e . . .
あとで、同じコマンド行オプションを使用して、テスト目録を作成します。
# bart create -R /etc > system1.test.101013 Version 1.1 ! HASH SHA256 ! Monday, October 10, 2013 (10:10:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 . . .
目録を比較します。
# bart compare system1.control.090713 system1.test.101013 /security/audit_class mtime 4f272f59
この出力は、audit_class ファイル上の変更時間が、制御目録が作成されたあとに変化したことを示しています。この変化が予期しないものである場合は、さらに調査を行うことができます。