Controllo dell'integrità di sistema con Integrit

Il pacchetto Integrit salva lo stato di sistema corrente e poi quotidianamente lo confronta con la nuova situazione, informando di eventuali cambiamenti.

apt-get install integrit 

• Editare il file /etc/integrit/integrit.conf.

Solitamente è sufficiente inserire solo i percorsi/file da ignorare, ad esempio:

...
!/dev/ptmx
!/dev/pts
!/files
!/lost+found
!/mnt
!/proc
!/sys
!/tmp
!/usr/local/uvscan/datfiles
!/var/backups
!/var/cache/apt
!/var/cache/locate
$/var/cache/man/local           SIpLugZAMC
$/var/cache/man/oldlocal        SIpLugZAMC
$/var/cache/man                 SIpLugZAMC
!/var/lib/amavis
!/var/lib/apt/lists
!/var/lib/clamav
$/var/lib/dpkg/lock             SIpLugZAMC
!/var/lib/integrit
$/var/lib/logrotate/status      SIpLugZAMC
/var/log                SIpLugZAMC
!/var/run/*
!/var/spool/postfix/active
!/var/spool/postfix/bounce
!/var/spool/postfix/defer
!/var/spool/postfix/deferred
!/var/spool/postfix/flush
!/var/spool/postfix/incoming
!/var/spool/postfix/maildrop
!/var/spool/postfix/public/pickup
!/var/spool/postfix/public/qmgr
!/var/spool/squid
...

Per il significato dei simboli ! $ o le stringhe poste dopo il percorso, si veda /usr/share/doc/integrit/README o il sito http://integrit.sf.net.

• Editare il file /etc/integrit/integrit.debian.conf inserendo i valori necessari per gli alert email.

• Eseguire come root lo script quotidiano manualmente. Questo crea il database iniziale:

sudo /etc/cron.daily/integrit

A seguito di un messaggio di cambiamenti, qualora vengano accettati, cioè se sono frutto di una modifica volontaria (configurazione, aggiornamento, o installazione di nuovi pacchetti..), è necessario ricreare uno stato valido:

sudo rm -vf /var/lib/integrit/*.cdb
sudo /etc/cron.daily/integrit