Discussão sobre monitoramento da integridade de arquivos

carinaiwakura
(usa Ubuntu)

Enviado em 17/03/2025 - 11:06h

Bom dia a todos,
Estamos conduzindo um projeto acadêmico, este sendo o desenvolvimento de um sistema de monitoramento da integridade de arquivos no Linux. O intuito deste é auxiliar os administradores de sistemas e servidores, notificando-os sobre alterações não previstas em arquivos críticos para o funcionamento e segurança do sistema, alguns exemplos seriam:
Um arquivo executável em /bin foi alterado;
Um novo usuário foi adicionado no arquivo /etc/passwd;
Os exemplos acima são óbvios, mas agora gostaria de iniciar uma discussão neste fórum, com os administradores de sistemas, acerca de quais arquivos importantes vocês acreditam que deveriam ser monitorados e porque?
Qualquer contribuição que possam compartilhar conosco seria de grande ajuda e nos mantemos abertos para discussões!

Buckminster
(usa Debian)

Enviado em 17/03/2025 - 11:34h

Para servidores, os arquivos de configuração do DHCP, DNS, Firewall, Squid (caso tiver), etc.
Não sei se o monitoramento será, a princípio, somente de arquivos nativos do Linux, ou seja, aqueles que vem por padrão nas distribuições.
Lembrando que os caminhos variam em cada distribuição.
Por exemplo, o DHCP no Debian: /etc/dhcp/dhcpd.conf; no Arch: /etc/dhcpd.conf.
Apesar de que na maioria das distribuições o caminho é /etc/dhcp/dhcpd.conf, porém, em algumas ele muda.
Como vocês desenvolverão um monitoramento, acredito que o caminho do arquivo é importante.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

Henrique-RJ
(usa Outra)

Enviado em 17/03/2025 - 12:23h

AIDE e TRIPWIRE

Esses dois acima eu anotei aqui quando vi alguém de outro fórum comentar sobre eles que cuidam exatamente desses casos de intrusão no Linux.

Não sei se essa informação pode lhe ajudar.

_______________________________________________________
E viu-se um grande sinal no céu: uma mulher vestida do sol, tendo a lua debaixo dos seus pés, e uma coroa de doze estrelas sobre a sua cabeça. Apocalipse 12:1 Nsa Sra de Fátima, Nsa Sra de Lourdes, Nsa Sra das Graças ...
_______________________________________________________
São Padre Pio de Pietrelcina, Santa Faustina Kowalska, São Francisco de Assis e Santa Gema Galgani foram alguns dos que tiveram os milagres dos Estigmas de Cristo em seus corpos, Feridas que sangravam
_______________________________________________________
Milagre Eucarístico que ocorreu em uma Igreja de Lanciano na Itália no ano de 750 em que o vinho se tornou sangue e o pão carne humana estão até hoje intactos. https://pt.wikipedia.org/wiki/Milagre_eucar%C3%ADstico_de_Lanciano

amarildosertorio
(usa Fedora)

Enviado em 17/03/2025 - 13:57h

O Wazuh tem um módulo específico para monitoramento de integridade de arquivos (FIM - File Integrity Monitoring). Esse módulo permite detectar modificações, criações e remoções de arquivos e diretórios, ajudando na detecção de atividades suspeitas ou não autorizadas.

https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/index.html

amarildosertorio
(usa Fedora)

Enviado em 17/03/2025 - 14:03h

Sugiro que você estude as melhores práticas de segurança para arquivos e diretórios no Linux, utilizando como referência os frameworks e diretrizes do CIS, NIST e OWASP.

Exemplo:

1. Arquivos de Configuração do Sistema

/etc/passwd: Contém informações sobre as contas de usuário. Alterações aqui podem afetar a autenticação de usuários.
/etc/shadow: Armazena as senhas criptografadas dos usuários. Qualquer modificação pode indicar comprometimento de segurança.
/etc/sudoers: Controla os privilégios de sudo. Mudanças indevidas podem conceder privilégios de administrador.
/etc/group: Contém informações sobre os grupos do sistema. Monitorar esse arquivo é importante para detectar alterações no controle de acesso.
/etc/hosts: Define o mapeamento de IPs para nomes de hosts. Mudanças podem ser usadas para redirecionar o tráfego de rede.
/etc/hostname: Define o nome do host do sistema. Mudanças podem afetar a rede e o gerenciamento do sistema.
/etc/network/interfaces ou /etc/netplan/ (em sistemas mais novos): Configurações de rede do sistema. Monitorar é essencial para garantir que não haja alterações indesejadas na rede.

2. Diretórios de Sistema Crítico

/bin, /sbin: Contêm comandos essenciais para o funcionamento do sistema. Alterações nesses diretórios podem resultar em perda de funcionalidade.
/usr/bin, /usr/sbin: Contêm aplicativos e comandos utilizados no sistema. Qualquer modificação pode afetar o funcionamento dos programas.
/lib, /lib64: Contêm bibliotecas essenciais para a execução de programas no sistema. Alterações podem afetar o funcionamento do sistema e dos aplicativos.
/boot: Contém o carregador de inicialização e o kernel. Alterações podem comprometer a inicialização do sistema.

3. Arquivos de Log do Sistema

/var/log/auth.log ou /var/log/secure: Contêm logs de autenticação. Mudanças ou alterações podem indicar tentativas de invasão.
/var/log/syslog: Contém logs do sistema que podem ser úteis para detectar comportamentos suspeitos.
/var/log/messages: Registra mensagens do sistema. Mudanças podem sinalizar falhas ou comportamentos incomuns.

4. Diretórios e Arquivos Relacionados a Segurança

/etc/ssh/sshd_config: Contém configurações do servidor SSH. Mudanças podem afetar a segurança do acesso remoto.
/etc/gshadow: Contém as senhas dos grupos, essenciais para controlar o acesso a grupos no sistema.
/etc/pam.d/: Diretório que contém arquivos de configuração do PAM (Pluggable Authentication Modules). Alterações aqui podem afetar o processo de autenticação.

5. Arquivos de Chaves e Certificados

/etc/ssl/: Diretório onde certificados SSL são armazenados. Monitorar este diretório é essencial para garantir que certificados e chaves privadas não sejam alterados de forma maliciosa.
/home/usuario/.ssh/: Contém as chaves SSH dos usuários. Modificações podem comprometer o acesso remoto ao sistema.

6. Diretórios de Aplicativos e Bancos de Dados

/var/www/: Diretório geralmente utilizado para armazenar sites e arquivos web. Mudanças aqui podem indicar compromissos em sites ou servidores web.
/var/lib/mysql/: Contém dados do banco de dados MySQL. Mudanças ou exclusões podem afetar a integridade dos dados.
/var/lib/postgresql/: Contém dados do banco de dados PostgreSQL. Monitorar mudanças é crítico para a integridade dos dados.

7. Diretórios de Configuração de Software

/etc/apache2/ ou /etc/httpd/: Configurações do Apache. Alterações podem comprometer a segurança e a integridade do servidor web.
/etc/nginx/: Configurações do Nginx. Mudanças podem afetar o funcionamento do servidor web e da rede.
/etc/mysql/: Configurações do MySQL. Alterações podem comprometer a segurança do banco de dados.

8. Arquivos Relacionados ao Agendador de Tarefas

/etc/crontab: Arquivo de configuração do cron para agendar tarefas. Alterações podem ser usadas para introduzir scripts maliciosos.
/var/spool/cron/: Contém os arquivos de cron dos usuários. Monitorar é importante para detectar mudanças indesejadas.

9. Arquivos de Controle de Acesso

/etc/sudoers.d/: Diretório que contém configurações de sudo para usuários específicos. Mudanças podem alterar as permissões de acesso.
/etc/selinux/: Se o SELinux estiver ativado, monitorar essas configurações é essencial para a segurança.

10. Arquivos de Sistema de Arquivos

/etc/fstab: Contém informações sobre as partições e sistemas de arquivos montados. Mudanças podem afetar a integridade do sistema de arquivos.

danniel-lara
(usa Fedora)

Enviado em 17/03/2025 - 15:11h

Boa , bem completo