Auditorías de Seguridad en GNU/Linux.
Capítulo 4 Otros auditores para GNU/Linux

Aunque parezca complicado portar este tipo de programas a GNU/Linux, la experiencia demuestra lo contrario. Por ejemplo, Robert L. Ziegler, como ya se ha comentado, modificó Tiger para que pudiera ser usado en RedHat 5.1 el 14 de septiembre de 1998.

Y también es posible diseñar auditores de forma que sean portables entre plataformas, como es el caso del denominado gomagog de C. Parisel, que ha sido probado sobre AIX 4.2, HP-UX 10 y Linux 2.0

Este paquete de seguridad se divide en tres módulos: un cliente gog, un servidor magog, y un interfaz para el servidor vía HTML llamado gogview.

El cliente gog, es un script en shell que recoge información sobre los directorios indicados en la configuración, que, por ejemplo, pueden ser el directorio /etc y los directorios donde se almacen los binarios del sistema. Sobre estos extrae la información de permisos y pertenencia, al tiempo que extrae una firma del documento a través de la función md5. Toda esta información es almacenada en un directorio determinado. Se supone que esta información se recrea cada cierto tiempo, la documentación sugiere que mediante una entrada en el cron.

El servidor magog accede vía FTP a los clientes identificándose con un nombre de usuario y password y recupera los ficheros que éstos han dejado con la información sobre cada uno de sus sistemas. Comprueba esta información con los históricos que ha almacenado y avisa de algún cambio.

De esta forma es posible saber si se ha modificado un binario (quizás indique que un intruso ha instalado un troyano), o si se han modificado los permisos (quizás alguien le ha puesto el bit de setuid a alguno de los ficheros).

La idea general es que los clientes ejecuten rutinariamente gog y que cada cierto tiempo se ejecute magog para comprobar los cambios. Además, la filosofía de descentralización permite que todos los clientes sean gestioados desde una sóla máquina.

El interfaz añadido en la segunda versión del paquete (que fue distribuida el 21 de diciembre de 1998) llamado gogview, permite configurar el programa servidor añadiendo y eliminando clientes a los que debe acceder, y ver la integridad de cada uno de los clientes, que puede estar en uno de cuatro estados: en buen estado, con una alteración en el perfil, con varias alteraciones en el perfil o inalcanzable. Los programas que lo forman deben ser instalados en el directorio /cgi-bin/ de un servidor de WWW ya funcional. Los programas de configuración del programa que acompañan la distribución realizan automáticamente esta tarea.