back

0. Copertina

1. Editoriale

2. La pagina dei lettori

3. Storia e filosofia di debian

- Zack

4. Il sistema operativo debian

- Debian4Children

5. Debian Ports

- Debian GNU/Hurd: aggiornamenti

6. Hardware & Debian

- Pam_usb

7. Tips & Tricks

- PGP: configurazione e utilizzo in Debian
- Squid e DansGuardian: come costruire un proxy con filtro dei contenuti web

8. Softwares in analisi

- MoBlock (MoBloquer)
- Tiger: uno strumento per l'audit di sicurezza

9. Il Kernel Linux

- Introduzione ai Kernel: prima parte

10. Impressum

Come si può notare, ad esempio, nella configurazione di default le verifiche relative ai moduli check_known, check_rootkit, check_logfiles, check_runprocs, check_rootdir, check_root sono eseguite tutti i giorni del mese e della settimana alle ore 0, 8 e 16. Inoltre, quando eseguito attraverso lo scheduler, tiger è configurato di default per notificare le anomalie riscontrate tramite posta elettronica all'indirizzo dell'amministratore di sistema (Tiger_Mail_RCPT="root").

ATTENZIONE: È utile ricordare che il mail transfer agent exim dirotta, per motivi di sicurezza, i messaggi di posta elettronica indirizzati all'amministratore del sistema locale (l'utente root) ad un'altra utenza che è specificata in /etc/aliases (consultare /usr/share/doc/exim4/README.Debian.gz per maggiori dettagli).

Modalità di utilizzo

tiger è generalmente utilizzabile immediatamente dopo l'installazione. Al termine di essa, infatti, lo scheduler di sistema (attraverso il file /etc/cron.d/tiger) è istruito dagli script di installazione ad eseguire automaticamente lo shell script /usr/sbin/tigercron (la versione di tiger specifica per l'avvio automatico) secondo gli orari e le frequenze di avvio specificate in /etc/tiger/cronrc e prelevando la configurazione sulle tipologie di verifiche dal file /etc/tiger/cronrc. Quando avviato secondo tale modalità, tiger distribuisce il carico computazionale delle diverse tipologie di controlli nel tempo, avviandone generalmente uno per volta e lasciando trascorre del tempo tra l'uno e l'altro.
Esiste, inoltre, la possibilità di utilizzare manualmente tiger, cioé di avviare, quando ritenuto necessario, il programma (lo shell script /usr/sbin/tiger) che, in tal caso, esegue in sequenza i moduli di controllo indicati come attivi nel file di configurazione /etc/tiger/tigerrc. Questa tipologia di utilizzo prevede che il programma sia eseguito con i privilegi dell'amministratore di sistema (l'utente root).
Stante la natura modulare di tiger, infine, c'é la possibilità di avviare manualmente, essendo shell script, anche i singoli moduli di controllo indipendentemente dal programma principale.

Generazione dei resoconti

Man mano che esegue i controlli tiger registra nel percorso /var/log/tiger un resoconto delle segnalazioni in "formato testo" consentendone la visione solo all'amministratore di sistema. Per ciascuna segnalazione all'interno dei resoconti segue una struttura predefinita che comprende i seguenti campi separati da uno spazio:

  • la gravità della segnalazione espressa nei seguenti livelli di importanza decrescente (tratto dalla pagina di manuale di tigexp):
    • --ALERT--: possibile tentativo di intrusione o un grave errore di configurazione che può esporre l'intero sistema ad attacchi;
    • --FAIL--: violazione di un politica di sicurezza generica o possibile intrusione;
    • --WARN--: problema di sicurezza che dovrebbe essere verificato e potrebbe essere correlato ad una possibile vulnerabilità o ad un'esposizione (la maggior parte dei messaggi di tiger appaiono in questa categoria);

Tiger

1. Politica di sicurezza e audit

- Definizioni
- Cenni storici

2. Tiger

- Introduzione
- Finalità
- Architettura
- Installazione
- Configurazione
- Modalità di utilizzo
- Generazione dei resoconti

3. Casi d'uso

- Ambiente di test
- Caso 1: Avvio manuale - Caso 2: Avvio automatico
- Caso 3: Disabilitazione di una segnalazione

4. Discussione

5. Conclusione

back