Kaip patikrinti failo ir katalogo vientisumą naudojant „AIDE“ sistemoje „Linux“.
Mūsų didžiuliame CentOS 7 tvirtinimo ir apsaugos vadove, skiltyje „Apsaugoti sistemą viduje“ – vienas iš mūsų išvardytų naudingų saugos įrankių, skirtų vidinei sistemos apsaugai nuo virusų, šaknų rinkinių, kenkėjiškų programų ir neteisėto aptikimo. veikla yra AIDE.
AIDE (Išplėstinė įsibrovimų aptikimo aplinka) yra mažas, bet galingas nemokamas atvirojo kodo įsibrovimų aptikimo įrankis, kuris naudoja iš anksto nustatytas taisykles failų ir katalogų vientisumui patikrinti Unix tipo operacinėse sistemose. pavyzdžiui, Linux. Tai nepriklausomas statinis dvejetainis failas, skirtas supaprastintoms kliento/serverio stebėjimo konfigūracijoms.
Jame yra daug funkcijų: naudojami paprasto teksto konfigūracijos failai ir duomenų bazė, todėl juo lengva naudotis; palaiko kelis pranešimų santraukos algoritmus, tokius kaip md5, sha1, rmd160, tiger, bet tuo neapsiribojant; palaiko bendrus failų atributus; taip pat palaiko galingas reguliariąsias išraiškas, kad būtų galima pasirinktinai įtraukti arba neįtraukti failų ir katalogų, kuriuos reikia nuskaityti.
Taip pat jis gali būti sudarytas su išskirtiniu Gzip glaudinimo, Posix ACL, SELinux, XAttrs ir išplėstinės failų sistemos atributų palaikymu.
Aide sukuria duomenų bazę (kuri yra tiesiog pasirinktų failų sistemos dalių momentinė nuotrauka) pagal konfigūracijos faile (-iuose) apibrėžtas reguliariosios išraiškos taisykles. Kai ši duomenų bazė bus inicijuota, galite patikrinti sistemos failų vientisumą. Šiame vadove bus parodyta, kaip įdiegti ir naudoti „Linux“ pagalbą.
Kaip įdiegti AIDE Linux
„Aide“ yra supakuota į oficialias pagrindinių „Linux“ paskirstymų saugyklas. Norėdami ją įdiegti, paleiskite paskirstymo komandą naudodami paketų tvarkyklę.
apt install aide [On Debian/Ubuntu]
yum install aide [On RHEL/CentOS]
dnf install aide [On Fedora 22+]
zypper install aide [On openSUSE]
emerge aide [On Gentoo]
Jį įdiegus pagrindinis konfigūracijos failas yra /etc/aide.conf. Norėdami peržiūrėti įdiegtą versiją ir kompiliuoti laiko parametrus, savo terminale paleiskite toliau pateiktą komandą:
aide -v
Pavyzdžio išvestis
Aide 0.14
Compiled with the following options:
WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Galite atidaryti konfigūraciją naudodami mėgstamą redaktorių.
vi /etc/aide.conf
Ji turi direktyvas, kurios apibrėžia duomenų bazės vietą, ataskaitos vietą, numatytąsias taisykles, katalogus/failus, kurie turi būti įtraukti į duomenų bazę.
Numatytųjų pagalbinių taisyklių supratimas
Naudodami anksčiau pateiktas numatytąsias taisykles, galite apibrėžti naujas tinkintas taisykles, pavyzdžiui, faile aide.conf.
PERMS = p+u+g+acl+selinux+xattrs
Taisyklė PERMS naudojama tik prieigos kontrolei, ji aptiks bet kokius failo ar katalogų pakeitimus pagal failo/katalogo leidimus, naudotoją, grupę, prieigos valdymo leidimus, SELinux kontekstą ir failo atributus.
Tai patikrins tik failo turinį ir failo tipą.
CONTENT = sha256+ftype
Tai išplėstinė ankstesnės taisyklės versija, ji tikrina išplėstinį turinį, failo tipą ir prieigą.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Taisyklė TIK DUOMENYS padės aptikti bet kokius duomenų pakeitimus visuose failuose/kataloge.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Failų ir katalogų žiūrėjimo taisyklių apibrėžimas
Apibrėžę taisykles, galite nurodyti failą ir katalogus, kuriuos norite žiūrėti. Atsižvelgiant į aukščiau pateiktą PERMS taisyklę, šis apibrėžimas patikrins visų šakninio katalogo failų teises.
/root/\..* PERMS
Taip bus patikrinta, ar visuose /root katalogo failuose nėra pakeitimų.
/root/ CONTENT_EX
Jei norite aptikti bet kokius duomenų pakeitimus visuose failuose/kataloge, esančiame /etc/, naudokite tai.
/etc/ DATAONLY
AIDE naudojimas failų ir katalogų vientisumui patikrinti Linux sistemoje
Pradėkite nuo duomenų bazės kūrimo pagal patikrinimus, kurie bus atlikti naudojant --init vėliavėlę. Tikimasi, kad tai bus padaryta prieš sistemai prijungiant prie tinklo.
Toliau pateikta komanda sukurs duomenų bazę, kurioje bus visi failai, kuriuos pasirinkote konfigūracijos faile.
aide --init
Tada prieš tęsdami naudodami šią komandą pervardykite duomenų bazę į /var/lib/aide/aide.db.gz.
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Duomenų bazę rekomenduojama perkelti į saugią vietą, galbūt tik skaitomoje laikmenoje arba kituose įrenginiuose, tačiau įsitikinkite, kad atnaujinate konfigūracijos failą, kad galėtumėte jį nuskaityti iš ten.
Sukūrę duomenų bazę, dabar galite patikrinti failų ir katalogų vientisumą naudodami vėliavėlę --check.
aide --check
Jis nuskaitys momentinį vaizdą duomenų bazėje ir palygins jį su failais/katalogais, kuriuos radote sistemos diske. Jei jis nustato pakeitimų vietose, kurių galbūt nesitikėjote, ji sukuria ataskaitą, kurią galite peržiūrėti.
Kadangi failų sistemoje nebuvo atlikta jokių pakeitimų, gausite tik išvestį, panašų į aukščiau pateiktą. Dabar pabandykite sukurti kai kuriuos failus failų sistemoje konfigūracijos faile nurodytose srityse.
vi /etc/script.sh
touch all.txt
Tada dar kartą atlikite patikrinimą, kuris turėtų pranešti apie anksčiau pridėtus failus. Šios komandos išvestis priklauso nuo failų sistemos dalių, kurias sukonfigūravote tikrinti, tai gali užtrukti ilgai.
aide --check
Turite reguliariai vykdyti pagalbinius patikrinimus, o jei jau pasirinktuose failuose pasikeičia arba konfigūracijos faile pridedami nauji failų apibrėžimai, visada atnaujinkite duomenų bazę naudodami parinktį --update:
aide --update
Paleidę duomenų bazės naujinimą, norėdami naudoti naują duomenų bazę būsimiems nuskaitymams, visada pervardykite ją į /var/lib/aide/aide.db.gz:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Tai kol kas viskas! Tačiau atkreipkite dėmesį į šiuos svarbius dalykus:
- Viena iš daugelio įsibrovimų aptikimo sistemų AIDE savybių yra ta, kad jos nepadės išspręsti daugumos sistemos saugumo kilpų spragų. Tačiau jie padeda palengvinti reagavimo į įsilaužimą procesą, nes padeda sistemos administratoriams išnagrinėti visus sistemos failų/katalogų pakeitimus. Todėl visada turėtumėte būti budrūs ir nuolat atnaujinti esamas saugumo priemones.
- Labai rekomenduojama naujai sukurtą duomenų bazę, konfigūracijos failą ir AIDE dvejetainį failą laikyti saugioje vietoje, pavyzdžiui, tik skaitomoje laikmenoje (galima, jei įdiegiate iš šaltinio).
- Dėl papildomo saugumo apsvarstykite galimybę pasirašyti konfigūraciją ir (arba) duomenų bazę.
Norėdami gauti papildomos informacijos ir konfigūracijų, žr. jo vadovą arba AIDE pagrindinį puslapį: http://aide.sourceforge.net/