Controle op integriteit Een andere zeer goede manier om lokale (en ook netwerk) aanvallen op je
systeem op te sporen is het uitvoeren van een "integrity checker" zoals
Tripwire, Aide of Osiris. Deze "Integrity
checkers" voeren een aantal controles uit op al je belangrijke binary's en
configuratiebestanden en vergelijkt ze met een database van eerdere,
goed-bewezen waarden als een naslagwerk. Kortom, alle veranderingen in de
bestanden zullen genoteerd worden. Het is een goed idee om dit soort programma's op een floppy te
installeren en dan het floppy tegen schrijven te beveiligen. Op deze manier
kunnen indringers niet knoeien met de "Integrity checker" of de database
veranderen. Als je zoiets eenmaal hebt ingesteld, is het een goed idee om het
uit te voeren als een onderdeel van je normale beveiligingsbeheertaken om te
zien of er iets is veranderd. Je kunt zelfs een crontab entry toevoegen om het
controleprogramma vanaf je floppy elke nacht uit te voeren en de resultaten 's
morgens per e-mail te krijgen. Iets als:
# set mailto
MAILTO=kevin
# run Tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire zal je elke morgen om 5.15 uur een verslag mailen. "Integrety checkers" kunnen een uitkomst zijn om indringers op te sporen
voordat je ze op een andere manier in de gaten krijgt. Omdat er op een
doorsnee systeem veel bestanden wijzigen, moet je voorzichtig zijn in het
bepalen van wat het werk van een cracker is en wat je zelf gedaan hebt. Je kunt de open source versie van Tripwire vinden op , zonder kosten.
Handleidingen en ondersteuning kunnen aangeschaft worden.Aide vind je op .Osiris vind je op .