Kali Linux Revealed




Download 11,68 Mb.
Pdf ko'rish
bet99/174
Sana15.01.2024
Hajmi11,68 Mb.
#137314
1   ...   95   96   97   98   99   100   101   102   ...   174
Bog'liq
Kali-Linux-Revealed-2021-edition

What Is a File
Fingerprint?
As a reminder: a fingerprint is a value, often a number (although in hexadecimal
notation), that contains a kind of signature for the contents of a file. This signature
is calculated with an algorithm (MD5, SHA1, SHA256 being well-known examples)
that more or less guarantees that even the tiniest change in the file contents will
result in a change of the fingerprint; this is known as the “avalanche effect”. A simple
numerical fingerprint then serves as a litmus test to check whether the contents of a
file have been altered. These algorithms are not reversible; in other words, for most of
them, knowing a fingerprint doesn’t allow finding the corresponding contents. Recent
mathematical advances seem to weaken the absoluteness of these principles but their
use is not called into question so far, since creating different contents yielding the
same fingerprint still seems to be quite a difficult task.
Running
dpkg -V
will verify all installed packages and will print out a line for each file that fails
verification. Each character denotes a test on some specific meta-data. Unfortunately,
dpkg
does
not store the meta-data needed for most tests and will thus output question marks for them. Cur-
rently only the checksum test can yield a 5 on the third character (when it fails).
dpkg -V
??5??????
/lib/systemd/system/ssh.service
??5?????? c /etc/libvirt/qemu/networks/default.xml
??5?????? c /etc/lvm/lvm.conf
??5?????? c /etc/salt/roster
In the example above, dpkg reports a change to SSH’s service file that the administrator made to
the packaged file instead of using an appropriate
/etc/systemd/system/ssh.service
override
169
Chapter 7 — Securing and Monitoring Kali Linux

(which would be stored below
/etc
like any configuration change should be). It also lists multiple
configuration files (identified by the “c” letter on the second field) that had been legitimately
modified.
Monitoring Files: AIDE
The Advanced Intrusion Detection Environment (AIDE) tool checks file integrity and detects any
change against a previously-recorded image of the valid system. The image is stored as a database
(
/var/lib/aide/aide.db
) containing the relevant information on all files of the system (finger-
prints, permissions, timestamps, and so on).
You can install AIDE by running
apt update
followed by
apt install aide
. You will first initial-
ize the database with
aideinit
; it will then run daily (via the
/etc/cron.daily/aide
script) to
check that nothing relevant changed. When changes are detected, AIDE records them in log files
(
/var/log/aide/*.log
) and sends its findings to the administrator by email.

Download 11,68 Mb.
1   ...   95   96   97   98   99   100   101   102   ...   174




Download 11,68 Mb.
Pdf ko'rish