Kuidas kontrollida failide ja kataloogide terviklikkust Linuxis "AIDE" abil
CentOS 7 karastamise ja turvamise megajuhendis jaotises\"süsteemi sisemine kaitse" on AIDE, mis on loetletud sisesüsteemi kaitsmiseks viiruste, juurkomplektide, pahavara ja lubamatu tegevuse tuvastamiseks.
AIDE (Advanced Intrusion Detection Environment) on väike, kuid võimas, avatud lähtekoodiga sissetungide tuvastamise tööriist, mis kasutab eelnevalt määratud reegleid failide ja kataloogide terviklikkuse kontrollimiseks Unixi-laadsetes operatsioonisüsteemides, näiteks Linuxis. See on sõltumatu staatiline binaarne lihtsustatud kliendi/serveri jälgimiskonfiguratsioonide jaoks.
See on funktsioonirikas: kasutab lihtsat teksti konfiguratsioonifaile ja andmebaasi, mis muudab selle kasutamise hõlpsaks; toetab mitut sõnumi kokkuvõtte algoritmi, näiteks, kuid mitte ainult, md5, sha1, rmd160, tiiger; toetab levinud failiatribuute; toetab ka võimsaid regulaaravaldisi skannitavate failide ja kataloogide valikuliseks kaasamiseks või välistamiseks.
Samuti saab selle kompileerida Gzip-pakkimise, Posix ACL, SELinuxi, XAttrsi ja laiendatud failisüsteemi atribuutide erakordse toega.
Aide loob konfiguratsioonifaili (de) s määratletud regulaaravaldise reeglitest andmebaasi (mis on lihtsalt hetktõmmis failisüsteemi valitud osadest) Kui see andmebaas on lähtestatud, saate kontrollida süsteemifailide terviklikkust selle suhtes. See juhend näitab, kuidas installida ja kasutada Linuxis abivahendit.
Kuidas installida AIDE Linuxi
Aide on pakendatud Linuxi peavoolu distributsioonide ametlikesse hoidlatesse, selle installimiseks käivitage oma levitamise käsk paketihalduri abil.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Pärast selle installimist on peamine konfiguratsioonifail /etc/aide.conf. Installitud versiooni vaatamiseks ja aja parameetrite kompileerimiseks käivitage terminalis järgmine käsk:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Konfiguratsiooni saate avada oma lemmikredaktori abil.
# vi /etc/aide.conf
Sellel on direktiivid, mis määratlevad andmebaasi asukoha, aruande asukoha, vaikereeglid, andmebaasidesse lisatavad kataloogid/failid.
Ülaltoodud vaikereeglite abil saate määratleda uued kohandatud reeglid näiteks failis aide.conf.
PERMS = p+u+g+acl+selinux+xattrs
Reeglit PERMS kasutatakse ainult juurdepääsu kontrollimiseks. See tuvastab failis või kataloogides tehtud muudatused, tuginedes faili/kataloogi lubadele, kasutajale, rühmale, juurdepääsu kontrollimisõigustele, SELinuksi kontekstile ja faili atribuutidele.
See kontrollib ainult faili sisu ja failitüüpi.
CONTENT = sha256+ftype
See on eelmise reegli laiendatud versioon, see kontrollib laiendatud sisu, failitüüpi ja juurdepääsu.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Allpool olev reegel DATAONLY aitab tuvastada kõigi failide/kataloogide andmete muutusi.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Failide ja kataloogide vaatamise reeglite määratlemine
Kui olete reeglid määratlenud, saate määrata faili ja kataloogid, mida vaadata. Võttes arvesse ülaltoodud reeglit PERMS, kontrollib see määratlus kõigi juurkataloogi failide õigusi.
/root/\..* PERMS
See kontrollib kõiki faile/juurkataloogis muudatusi.
/root/ CONTENT_EX
Kõigi failide/kataloogi/etc/all olevate andmete muutuste tuvastamiseks kasutage seda.
/etc/ DATAONLY
AIDE'i kasutamine failide ja kataloogide terviklikkuse kontrollimiseks Linuxis
Alustage andmebaasi loomisest kontrollide jaoks, mis viiakse läbi lipu --init
abil. Eeldatakse, et see tehakse enne, kui teie süsteem on võrguga ühendatud.
Alltoodud käsk loob andmebaasi, mis sisaldab kõiki teie konfiguratsioonifailis valitud faile.
# aide --init
Seejärel nimetage selle käsu abil andmebaasi enne jätkamist ümber /var/lib/aide/aide.db.gz.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Soovitatav on andmebaas teisaldada turvalisse kohta, võib-olla kirjutuskaitstud meediumis või mõnes muus masinas, kuid veenduge, et värskendaksite konfiguratsioonifaili selle lugemiseks.
Pärast andmebaasi loomist saate nüüd failide ja kataloogide terviklikkust kontrollida lipu --check
abil.
# aide --check
See loeb hetktõmmise andmebaasis ja võrdleb seda failidega/kataloogidega, mis leidsid teie süsteemi kettalt. Kui see leiab muudatusi kohtades, mida te ei pruugi oodata, loob see aruande, mille saate seejärel üle vaadata.
Kuna failisüsteemis pole muudatusi tehtud, saate ainult ülaltooduga sarnase väljundi. Nüüd proovige luua mõned failid failisüsteemis konfiguratsioonifailis määratletud aladel.
# vi /etc/script.sh # touch all.txt
Seejärel käivitage veel kord kontroll, mis peaks teatama ülaltoodud failidest. Selle käsu väljund sõltub failisüsteemi osadest, mille olete kontrollimiseks konfigureerinud, see võib olla pikaajaline ületunnitöö.
# aide --check
Peate regulaarselt korraldama abikontrolli ja kui juba valitud failides muudatusi tehakse või konfiguratsioonifailis lisatakse uusi failimääratlusi, värskendage andmebaasi alati valiku --update
abil:
# aide --update
Pärast andmebaasivärskenduse käivitamist nimetage see uue andmebaasi kasutamiseks tulevaste skannimiste jaoks alati ümber /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Praeguseks kõik! Kuid võtke arvesse neid olulisi punkte:
- Enamiku sissetungimise tuvastamise süsteemide AIDE (kaasa arvatud) üks omadus on see, et need ei paku lahendusi enamusele süsteemi turvaaugude aukudele. Need aitavad aga sissetungivastuse protsessi hõlbustada, aidates süsteemiadministraatoritel süsteemifailides/kataloogides tehtud muudatusi uurida. Seega peaksite alati olema valvas ja oma praeguseid turvameetmeid pidevalt ajakohastama.
- See on väga soovitatav hoida vastloodud andmebaas, konfiguratsioonifail ja AIDE binaarkaabel turvalises kohas, näiteks kirjutuskaitstud meediumis (võimalik, kui installite allikast).
- Täiendava turvalisuse huvides kaaluge konfiguratsiooni ja/või andmebaasi allkirjastamist.
Lisateavet ja konfiguratsioone leiate selle manulehelt või AIDE kodulehelt: http://aide.sourceforge.net/