Sådan kontrolleres integriteten af filer og biblioteker ved hjælp af "AIDE" i Linux
I vores mega-guide til hærdning og sikring af CentOS 7 under afsnittet "beskyt system internt" er AIDE et af de nyttige sikkerhedsværktøjer, der er angivet til intern systembeskyttelse mod vira, rootkits, malware og påvisning af uautoriserede aktiviteter.
AIDE (Advanced Intrusion Detection Environment) er et lille, men kraftfuldt, gratis open source-indtrængningsdetekteringsværktøj, der bruger foruddefinerede regler til at kontrollere fil- og biblioteksintegritet i Unix-lignende operativsystemer som Linux. Det er en uafhængig statisk binær til forenklede konfigurationer af klient/serverovervågning.
Det er funktionsrige: bruger almindelige tekstkonfigurationsfiler og database, der gør det let at bruge; understøtter flere meddelelsesfordøjelsesalgoritmer, såsom men ikke begrænset til md5, sha1, rmd160, tiger; understøtter almindelige filattributter understøtter også kraftfulde regulære udtryk til selektivt at inkludere eller ekskludere filer og mapper, der skal scannes.
Det kan også kompileres med ekstraordinær understøttelse af Gzip-komprimering, Posix ACL, SELinux, XAttrs og Extended filsystemattributter.
Hjælper fungerer ved at oprette en database (som simpelthen er et øjebliksbillede af udvalgte dele af filsystemet) ud fra de regulære udtryksregler, der er defineret i konfigurationsfilerne. Når denne database er initialiseret, kan du kontrollere systemfilernes integritet i forhold til den. Denne vejledning viser, hvordan du installerer og bruger assistent i Linux.
Sådan installeres AIDE i Linux
Hjælper er pakket i officielle opbevaringssteder for almindelige Linux-distributioner, for at installere det kør kommandoen til din distribution ved hjælp af en pakkehåndtering.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Efter installationen er hovedkonfigurationsfilen /etc/aide.conf. For at se den installerede version samt kompilere tidsparametre skal du køre kommandoen nedenfor på din terminal:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Du kan åbne konfigurationen ved hjælp af din yndlingseditor.
# vi /etc/aide.conf
Det har direktiver, der definerer databaseplacering, rapportplacering, standardregler, kataloger/filer, der skal inkluderes i databasen.
Ved hjælp af ovenstående standardregler kan du f.eks. Definere nye brugerdefinerede regler i aide.conf-filen.
PERMS = p+u+g+acl+selinux+xattrs
PERMS-reglen bruges kun til adgangskontrol, den registrerer ændringer i filer eller mapper baseret på fil-/katalogtilladelser, bruger-, gruppe-, adgangskontroltilladelser, SELinux-kontekst og filattributter.
Dette kontrollerer kun filindhold og filtype.
CONTENT = sha256+ftype
Dette er en udvidet version af den tidligere regel, den kontrollerer udvidet indhold, filtype og adgang.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
DATAONLY-reglen nedenfor hjælper med at opdage ændringer i data i alle filer/bibliotek.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Definition af regler til overvågning af filer og kataloger
Når du har defineret regler, kan du angive den fil og mapper, der skal vises. I betragtning af PERMS-reglen ovenfor vil denne definition kontrollere tilladelser for alle filer i rodmappen.
/root/\..* PERMS
Dette vil kontrollere alle filer i/root-biblioteket for eventuelle ændringer.
/root/ CONTENT_EX
Brug dette for at hjælpe dig med at opdage ændringer i data i alle filer/bibliotek under/etc /.
/etc/ DATAONLY
Brug af AIDE til at kontrollere fil- og katalogintegritet i Linux
Start med at konstruere en database mod de kontroller, der udføres ved hjælp af --init flag. Dette forventes at blive gjort, før dit system er tilsluttet et netværk.
Kommandoen nedenfor opretter en database, der indeholder alle de filer, du valgte i din konfigurationsfil.
# aide --init
Omdøb derefter databasen til /var/lib/aide/aide.db.gz inden du fortsætter ved hjælp af denne kommando.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Det anbefales at flytte databasen til et sikkert sted muligvis i et skrivebeskyttet medium eller på andre maskiner, men sørg for at opdatere konfigurationsfilen for at læse den derfra.
Når databasen er oprettet, kan du nu kontrollere integriteten af filerne og mapperne ved hjælp af --check flag.
# aide --check
Det vil læse øjebliksbillede i databasen og sammenligne det med de filer/mapper, der findes din systemdisk. Hvis den finder ændringer steder, som du måske ikke forventer, genererer den en rapport, som du derefter kan gennemgå.
Da der ikke er foretaget ændringer i filsystemet, får du kun en output svarende til ovenstående. Prøv nu at oprette nogle filer i filsystemet i områder defineret i konfigurationsfilen.
# vi /etc/script.sh # touch all.txt
Kør derefter en kontrol igen, som skal rapportere de tilføjede filer ovenfor. Output af denne kommando afhænger af de dele af filsystemet, du har konfigureret til kontrol, det kan være langvarig overarbejde.
# aide --check
Du skal køre hjælpekontrol regelmæssigt, og i tilfælde af ændringer i allerede valgte filer eller tilføjelse af nye fildefinitioner i konfigurationsfilen skal du altid opdatere databasen ved hjælp af indstillingen --update :
# aide --update
Når du har kørt en databaseopdatering, skal du altid omdøbe den til /var/lib/aide/aide.db.gz for at bruge den nye database til fremtidige scanninger:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Det er alt for nu! Men vær opmærksom på disse vigtige punkter:
- Et kendetegn ved de fleste indbrudsdetekteringssystemer AIDE inklusive er, at de ikke vil levere løsninger til de fleste sikkerhedssløjfehuller på et system. De hjælper dog med at lette indbrudsresponsprocessen ved at hjælpe systemadministratorer med at undersøge ændringer i systemfiler/kataloger. Så du skal altid være opmærksom og fortsætte med at opdatere dine nuværende sikkerhedsforanstaltninger.
- Det anbefales stærkt at opbevare den nyoprettede database, konfigurationsfilen og AIDE-binærsystemet på et sikkert sted såsom skrivebeskyttede medier (muligt, hvis du installerer fra kilden).
- For yderligere sikkerhed, overvej at underskrive konfigurationen og/eller databasen.
For yderligere information og konfigurationer, se dens man-side eller tjek AIDE-hjemmesiden: http://aide.sourceforge.net/