criticality=4   event=open(.*),mkdir,mknod,link,symlink return=Success  user!=root      match=^/etc/shadow$

criticality=2   event=open(.*),mkdir,mknod,link,symlink return=Failure  user!=root      match=^/etc/shadow$

Если оставить одну строку, то это снизит эффективность системы, и действительно опасное предупреждение может просто затеряться среди подобных сообщений.

Для более тонкой настройки можно добавить индивидуальный контроль файлов, в которых прячутся rootkits (их список большой, вот некоторые: login, telnet, ftp, netstat, ifconfig, ls, ps, ssh, find, du, df, sync, reboot, halt и shutdown) и основные настроечные системные и сетевые файлы /etc/resolv.conf, /etc/hosts, /etc/lilo.conf, /boot/grub/grub.conf, и пр. Список основных системных вызовов и их значения приведен в разделе «Appendix A – Events Audited».

Единственное, о чем следует помнить, – это то, что при увеличении контролируемых параметров увеличивается и потребление системных ресурсов, на маломощных системах этот показатель может быть критичным.

В Windows нет разделения на Objectives или Kernel, доступна только Audit Reporting Objectives, и в силу специфики системы отслеживаются другие события (logon, logoff, обращение к файлу или каталогу, остановка и запуск процесса, использование прав пользователя и администратора, изменение политики безопасности, перезагрузка, останов системы и некоторые другие).

После внесения всех необходимых настроек необходимо перезапустить сервис «Activity  Apply and Restart Audit», после чего в главном окне программы будут выводиться все события, попадающие под установленные правила. Щелкнув дважды мышкой по представляющему интерес событию, можно получить дополнительную информацию. Используя «Prev» и «Next», можно двигаться вперед-назад, просматривая события. Все, на мой взгляд, просто и понятно. Просмотреть статус работы SNARE можно, выбрав пункт «Bид  Audit Status», при этом можно увидеть общее количество событий, обработанных модулем ядра без фильтрации, а также ID процесса демона, версию SNARE и активность демона.

Удаленное управление

К сожалению, версия под Linux лишена на данный момент возможности удаленного управления при помощи веб-интерфейса. А вот запустив SNARE под Windows и набрав в строке браузера IP-адрес или имя компьютера, получаем не только возможность сконфигурировать его удаленно, но и информацию о пользователях и группах локальных и домена. Для подстраховки лучше зайти предварительно в пункт «Setup  Remote Control Configuration» и выставить IP-адрес, с которого можно удаленно заходить на компьютер и пароль для получения доступа, здесь же можно выбрать и порт, на котором работает сервер.

Но в Linux можно просто зайти на удаленную систему при помощи SSH и запустить на ней клиента. Если на подконтрольной системе не используется X-Window, то перед запуском экспортируем переменную DISPLAY.