Contents Previous Next

Comando mtmon_audit.pl

Este programa identifica os seguintes problemas no sistema de arquivos :

Em função do tempo que leva para realizar esta verificação, recomenda-se que este programa seja incluído na crontab num horário de menor atividade do Sistema Operacional :

15 3 * * * /usr/local/Multitask/mtmon/bin/mtmon_audit.pl #

Opções disponíveis na linha de comando :

--arquivo

Nome do arquivo de configuração que define os critérios usados na busca. Se não for informada esta opção, o programa usará o arquivo $MTMON/etc/mtmon_audit.conf.

--notifica

Ao criar o evento, inclui o parâmetro --notifica.

--preview

Não cria eventos no servidor MTMON. É útil para inicializar os arquivos de controle numa primeira execução.

--gerarevento

O padrão do plugin é processar os arquivos e não gerar evento no MTMON. Quando a opção --gerarevento é informada, serão gerados eventos do tipo alerta, com severidade=1.

--debug

Um log detalhado das operações é apresentado na saída padrão. Se um nome de arquivo for informado, a saída do debug será gravado neste arquivo.

Arquivo de configuração mtmon_audit.conf

O arquivo de configuração pode ter as seguintes sessões :

[SUID]
  Arquivo=mtmon_suid.Ctrl
  notifica=

[BIGFILES]
  Ignorar=mtmon_bigfiles.Ignorar
  IgnorarDir=mtmon_bigfiles.IgnorarDir
  Arquivo=mtmon_bigfiles.Ctrl
  tamanho=100Mb
  alerta=20%
  critico=50%
  notifica=

[BIGDIR]
  Ignorar=mtmon_bigdir.Ignorar
  Arquivo=mtmon_bigdir.Ctrl
  limite=900
  alerta=20%
  critico=50%
  notifica=

[BIGUSER]
  IgnorarUID=0,
  limite=10Mb
  Arquivo=mtmon_biguser.Ctrl
  alerta=20%
  critico=50%
  notifica=

Sessão SUID

Esta sessão identifica os arquivos que possuem o SUID ou SGID ligados. Ao identificar os arquivos com o atributo, o checksum e chmod são salvos no arquivo definido na opção Arquivo da sessão, por default, mtmon_suid.Ctrl.

Na primeira execução, o arquivo mtmon_suid.Ctrl não existe e deve ser feita uma auditoria para identificar se os arquivos podem continuar com o atributo SUID ou SGID. Nas execuções subsequentes, o arquivo mtmon_suid.Ctrl será usado como base, e serão gerados eventos sempre que novos arquivos possuirem o atributo em questão ou se o checksum do arquivo foi alterado. O checksum pode ser alterado numa aplicação de PATCH ou atualização de software, mas existe o potencial de uma quebra de segurança no ambiente monitorado, que é o objetivo maior deste programa.

A sessão SUID pode ainda ter a opção Notifica, que tem a mesma função definida em --notifica.

Sessão BIGFILES

Identifica os arquivos com tamanho maior do que o valor definido na opção Tamanho.

O ciclo de pesquisa é semelhante ao descrito na sessão SUID acima, isto é, os valores default são salvos numa primeira execução e depois o novos arquivos que atendem o critério são incluídos na lista com o evento gerado. Um ponto importante na busca é que se um arquivo crescer mais do que o percentual definido nas opções alerta ou critico, um novo evento será gerado.

Quando se deseja ignorar determinados arquivos, por exemplo, datafiles de um banco de dados, eles podem ser incluídos no arquivo cujo nome é definido na opção Ignorar.

A opção IgnorarDir é usada para os diretórios que contém archives ou arquivos grandes, mas que já possuem alguma forma de controle.

IMPORTANTE: Subdiretórios de IgnorarDir serão pesquisados para identificar situações do tipo $DIR/old.

Sessão BIGDIR

A opção Limite define o número de arquivos que podem estar num diretório. Se algum diretório contém mais arquivos do que o definido, um evento é gerado.

Sessão BIGUSER

Identifica os usuários que consomem mais área em disco do que o definido na opção Limite.

Usuários cadastrados na opção IgnorarUID não serão contabilizados.


Contents Previous Next