시간별로 매니페스트를 비교하면 손상되었거나 일반적이지 않은 파일을 찾아내고, 보안 위반 사항을 검색하고, 시스템의 성능 문제를 해결할 수 있습니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
# bart create -R /etc > control-manifest
예는 제어 매니페스트를 만드는 방법의 Step 3을 참조하십시오.
# bart create -R /etc > test-manifest
# mv test-manifest /var/adm/log/bartlogs
매니페스트를 만드는 데 사용한 동일한 명령줄 옵션 및 규칙 파일을 사용하여 매니페스트를 비교합니다.
# bart compare options control-manifest test-manifest > bart-report
이 예에서는 시간별로 /etc 디렉토리의 변경 사항을 추적하는 방법을 보여줍니다. 이 유형의 비교를 통해 손상된 시스템에서 중요한 파일을 찾을 수 있습니다.
제어 매니페스트를 만듭니다.
# cd /var/adm/logs/manifests # bart create -R /etc > system1.control.090713 ! Version 1.1 ! HASH SHA256 ! Saturday, September 07, 2013 (11:11:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 /.login F 1429 100644 owner@:read_data/write_data/append_data/read_xattr/write_x attr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchronize :allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow,ev eryone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4bf9d6d7 0 3 ff6251a473a53de68ce8b4036d0f569838cff107caf1dd9fd04701c48f09242e . . .
나중에 동일한 명령줄 옵션을 사용하여 테스트 매니페스트를 만듭니다.
# bart create -R /etc > system1.test.101013 Version 1.1 ! HASH SHA256 ! Monday, October 10, 2013 (10:10:17) # Format: #fname D size mode acl dirmtime uid gid #fname P size mode acl mtime uid gid #fname S size mode acl mtime uid gid #fname F size mode acl mtime uid gid contents #fname L size mode acl lnmtime uid gid dest #fname B size mode acl mtime uid gid devnode #fname C size mode acl mtime uid gid devnode /.cpr_config F 2236 100644 owner@:read_data/write_data/append_data/read_xattr/wr ite_xattr/read_attributes/write_attributes/read_acl/write_acl/write_owner/synchr onize:allow,group@:read_data/read_xattr/read_attributes/read_acl/synchronize:all ow,everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow 4e271c59 0 0 3ebc418eb5be3729ffe7e54053be2d33ee884205502c81ae9689cd8cca5b0090 . . .
매니페스트를 비교합니다.
# bart compare system1.control.090713 system1.test.101013 /security/audit_class mtime 4f272f59
출력은 제어 매니페스트가 만들어진 이후 audit_class 파일에 대한 수정 시간이 변경되었음을 나타냅니다. 이 변경 사항이 예상치 않은 것이면 추가 조사를 진행할 수 있습니다.