Kif Tiċċekkja l-Integrità tal-Fajl u tad-Direttorju billi tuża AIDE fil-Linux
Fil-mega gwida tagħna għall-ebusija u l-iżgurar ta 'CentOS 7, taħt it-taqsima proteġi s-sistema internament, waħda mill-għodod ta' sigurtà utli li elenkajna għall-protezzjoni tas-sistema interna kontra viruses, rootkits, malware, u skoperta ta 'attivitajiet mhux awtorizzati hija AIDE.
AIDE (Advanced Intrusion Detection Environment) hija għodda ta' skoperta ta' intrużjoni ta' sors miftuħ żgħir iżda b'xejn, li tuża regoli predefiniti biex tiċċekkja l-integrità tal-fajls u tad-direttorju f'sistemi operattivi bħal Unix bħal Linux. Huwa binarju statiku indipendenti għal konfigurazzjonijiet simplifikati ta 'monitoraġġ tal-klijent/server.
Huwa b'ħafna karatteristiċi: juża fajls ta 'konfigurazzjoni ta' test sempliċi u database li jagħmilha faċli biex tużah; jappoġġja diversi algoritmi tad-diġest tal-messaġġi bħal iżda mhux limitati għal md5, sha1, rmd160, tiger; jappoġġja attributi komuni tal-fajl; jappoġġja wkoll espressjonijiet regolari qawwija biex b'mod selettiv jinkludu jew jeskludu fajls u direttorji li għandhom jiġu skennjati.
Ukoll jista 'jiġi kkompilat b'appoġġ eċċezzjonali għall-kompressjoni Gzip, Posix ACL, SELinux, XAttrs u attributi ta' sistema ta 'fajls Estiżi.
Aide jaħdem billi joħloq database (li hija sempliċiment stampa ta' partijiet magħżula tas-sistema tal-fajls), mir-regoli tal-espressjoni regolari definiti fil-fajl(i) tal-konfigurazzjoni. Ladarba din id-database tiġi inizjalizzata, tista 'tivverifika l-integrità tal-fajls tas-sistema kontriha. Din il-gwida se turi kif tinstalla u tuża aide fil-Linux.
Kif Tinstalla AIDE fil-Linux
Aide huwa ppakkjat f'repożitorji uffiċjali tad-distribuzzjonijiet mainstream tal-Linux, biex tinstallaha tħaddem il-kmand għad-distribuzzjoni tiegħek billi tuża maniġer tal-pakketti.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Wara li tinstallah, il-fajl tal-konfigurazzjoni prinċipali huwa /etc/aide.conf. Biex tara l-verżjoni installata kif ukoll tiġbor il-parametri tal-ħin, mexxi l-kmand hawn taħt fuq it-terminal tiegħek:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Tista 'tiftaħ il-konfigurazzjoni billi tuża l-editur favorit tiegħek.
# vi /etc/aide.conf
Għandu direttivi li jiddefinixxu l-post tad-database, il-post tar-rapport, ir-regoli default, id-direttorji/fajls li għandhom jiġu inklużi fid-database.
Bl-użu tar-regoli default ta 'hawn fuq, tista' tiddefinixxi regoli personalizzati ġodda fil-fajl aide.conf pereżempju.
PERMS = p+u+g+acl+selinux+xattrs
Ir-regola PERMS tintuża għall-kontroll tal-aċċess biss, se tiskopri kwalunkwe tibdil fil-fajl jew direttorji bbażati fuq permessi ta 'fajl/direttorju, utent, grupp, permessi ta' kontroll tal-aċċess, kuntest SELinux u attributi tal-fajl.
Dan se jiċċekkja biss il-kontenut tal-fajl u t-tip tal-fajl.
CONTENT = sha256+ftype
Din hija verżjoni estiża tar-regola preċedenti, tiċċekkja l-kontenut estiż, it-tip ta 'fajl u l-aċċess.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Ir-regola DATAONLY hawn taħt tgħin biex tiskopri kwalunkwe tibdil fid-dejta ġewwa l-fajls/direttorju kollha.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Definizzjoni ta' Regoli biex Tara Fajls u Direttorji
Ladarba tkun iddefinit ir-regoli, tista' tispeċifika l-fajl u d-direttorji li għandek tara. Meta wieħed iqis ir-regola PERMS hawn fuq, din id-definizzjoni se tiċċekkja l-permessi għall-fajls kollha fid-direttorju tal-għeruq.
/root/\..* PERMS
Dan se jiċċekkja l-fajls kollha fid-direttorju /root għal kwalunkwe tibdil.
/root/ CONTENT_EX
Biex jgħinek tiskopri kwalunkwe tibdil fid-dejta fil-fajls/direttorju kollha taħt /etc/, uża dan.
/etc/ DATAONLY
L-użu ta 'AIDE biex Iċċekkja l-Integrità tal-Fajl u tad-Direttorju fil-Linux
Ibda billi tibni database kontra l-kontrolli li se jsiru bl-użu tal-marka --init
. Dan huwa mistenni li jsir qabel ma s-sistema tiegħek tkun konnessa ma 'netwerk.
Il-kmand hawn taħt se joħloq database li fiha l-fajls kollha li għażilt fil-fajl tal-konfigurazzjoni tiegħek.
# aide --init
Imbagħad semmi mill-ġdid id-database għal /var/lib/aide/aide.db.gz qabel ma tipproċedi, billi tuża dan il-kmand.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Huwa rakkomandat li tmexxi d-database f'post sigur possibilment f'midja li tinqara biss jew fuq magni oħra, iżda żgura li taġġorna l-fajl tal-konfigurazzjoni biex taqrah minn hemm.
Wara li tinħoloq id-database, issa tista' tiċċekkja l-integrità tal-fajls u direttorji billi tuża l-marka --check
.
# aide --check
Se jaqra l-istampa fid-database u tqabbelha mal-fajls/direttorji misjuba inti disk tas-sistema. Jekk issib bidliet f'postijiet li forsi ma tistennax, tiġġenera rapport li mbagħad tista' tirrevedi.
Peress li ma saru l-ebda bidliet fis-sistema tal-fajls, ikollok biss output simili għal dak ta 'hawn fuq. Issa pprova toħloq xi fajls fis-sistema tal-fajls, f'żoni definiti fil-fajl tal-konfigurazzjoni.
# vi /etc/script.sh # touch all.txt
Imbagħad agħmel verifika għal darb'oħra, li għandha tirrapporta l-fajls miżjuda hawn fuq. L-output ta 'dan il-kmand jiddependi fuq il-partijiet tas-sistema tal-fajls li kkonfigurajt għall-iċċekkjar, tista' tkun sahra twila.
# aide --check
Ikollok bżonn tagħmel kontrolli ta' għajnuna regolarment, u f'każ ta' xi tibdil f'fajls diġà magħżula jew żieda ta' definizzjonijiet ta' fajls ġodda fil-fajl ta' konfigurazzjoni, dejjem taġġorna d-database billi tuża l-għażla --update
:
# aide --update
Wara li tmexxi aġġornament tad-database, biex tuża d-database l-ġdida għal skanijiet futuri, dejjem semmieha /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Dak kollu għalissa! Imma ħu nota ta 'dawn il-punti importanti:
- Karatteristika waħda tal-biċċa l-kbira tas-sistemi ta' skoperta ta' intrużjonijiet AIDE inklużivi, hija li mhux se jipprovdu soluzzjonijiet għall-biċċa l-kbira tat-toqob tal-loop tas-sigurtà fuq sistema. Madankollu, jgħinu biex jiffaċilitaw il-proċess tar-rispons għall-intrużjoni billi jgħinu lill-amministraturi tas-sistema jeżaminaw kwalunkwe tibdil fil-fajls/direttorji tas-sistema. Għalhekk għandek dejjem tkun viġilanti u tkompli taġġorna l-miżuri tas-sigurtà attwali tiegħek.
- Huwa rakkomandat ħafna li d-database maħluqa ġdida, il-fajl tal-konfigurazzjoni u l-binarju AIDE jinżammu f'post sigur bħal midja li tinqara biss (possibbli jekk tinstalla mis-sors).
- Għal sigurtà addizzjonali, ikkunsidra li tiffirma l-konfigurazzjoni u/jew id-database.
Għal informazzjoni u konfigurazzjonijiet addizzjonali, ara l-paġna man tagħha jew iċċekkja l-Homepage AIDE: http://aide.sourceforge.net/