Kuinka tarkistaa tiedostojen ja hakemistojen eheys Linuxin "AIDE" - sovelluksella
CentOS 7: n kovettumista ja suojaamista käsittelevässä megaoppaassamme, kohdassa "Suojaa järjestelmä sisäisesti", on yksi hyödyllisistä suojaustyökaluista, jotka lueteltiin sisäisen järjestelmän suojaamiseksi viruksilta, juuripaketeilta, haittaohjelmilta ja luvattomien toimintojen havaitsemiselta, AIDE.
AIDE (Advanced Intrusion Detection Environment) on pieni mutta tehokas, ilmainen avoimen lähdekoodin tunkeutumisen tunnistustyökalu, joka käyttää ennalta määritettyjä sääntöjä tiedostojen ja hakemistojen eheyden tarkistamiseen Unix-tyyppisissä käyttöjärjestelmissä, kuten Linux. Se on itsenäinen staattinen binääri yksinkertaistetuille asiakas/palvelin -valvontamäärityksille.
Se on monipuolinen: käyttää yksinkertaisen tekstin kokoonpanotiedostoja ja tietokantaa, mikä tekee siitä helppokäyttöisen; tukee useita viestinpuristusalgoritmeja, kuten md5, sha1, rmd160, tiger, mutta niihin rajoittumatta; tukee yleisiä tiedostomääritteitä; tukee myös tehokkaita säännöllisiä lausekkeita sisällyttämään tai poissulkemaan skannattavat tiedostot ja hakemistot.
Lisäksi se voidaan kääntää poikkeuksellisella tuella Gzip-pakkaus-, Posix ACL-, SELinux-, XAttrs- ja Extended File System -määritteille.
Aide toimii luomalla tietokanta (joka on yksinkertaisesti tilannekuva tiedostojärjestelmän valituista osista) kokoonpanotiedostoissa määriteltyjen säännöllisten lausekkeiden säännöistä. Kun tämä tietokanta on alustettu, voit tarkistaa järjestelmätiedostojen eheyden sitä vastaan. Tämä opas näyttää, kuinka apu asennetaan ja käytetään Linuxissa.
Kuinka asentaa AIDE Linuxiin
Aide on pakattu Linuxin jakelun virallisiin arkistoihin, jotta se voidaan asentaa suorittamalla jakelun komento paketinhallinnan avulla.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Asennuksen jälkeen pääasetustiedosto on /etc/aide.conf. Voit tarkastella asennettua versiota ja kääntää aikaparametreja suorittamalla päätelaitteesi alla olevan komennon:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Voit avata kokoonpanon suosikkieditorilla.
# vi /etc/aide.conf
Siinä on direktiivejä, jotka määrittelevät tietokannan sijainnin, raportin sijainnin, oletussäännöt, hakemistot/tiedostot, jotka sisällytetään tietokantaan.
Yllä olevien oletussääntöjen avulla voit määrittää uudet mukautetut säännöt esimerkiksi aide.conf-tiedostossa.
PERMS = p+u+g+acl+selinux+xattrs
PERMS-sääntöä käytetään vain pääsynvalvontaan, se havaitsee muutokset tiedostoihin tai hakemistoihin tiedoston/hakemiston, käyttäjän, ryhmän, käyttöoikeuksien, SELinux-kontekstin ja tiedostomääritteiden perusteella.
Tämä tarkistaa vain tiedoston sisällön ja tiedostotyypin.
CONTENT = sha256+ftype
Tämä on edellisen säännön laajennettu versio, se tarkistaa laajennetun sisällön, tiedostotyypin ja pääsyn.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Alla oleva DATAONLY-sääntö auttaa havaitsemaan muutokset kaikissa tiedostoissa/hakemistossa.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Tiedostojen ja hakemistojen katselusääntöjen määrittäminen
Kun olet määrittänyt säännöt, voit määrittää tarkasteltavan tiedoston ja hakemistot. Edellä oleva PERMS-sääntö huomioon ottaen tämä määritelmä tarkistaa kaikkien juurihakemiston tiedostojen käyttöoikeudet.
/root/\..* PERMS
Tämä tarkistaa kaikki tiedostot/juurihakemistosta mahdollisten muutosten varalta.
/root/ CONTENT_EX
Käytä tätä, jotta voit havaita tietojen muutokset kaikissa tiedostoissa/hakemistossa/etc /.
/etc/ DATAONLY
AIDE: n avulla voit tarkistaa tiedostojen ja hakemistojen eheyden Linuxissa
Aloita rakentamalla tietokanta tarkastuksia vastaan, jotka suoritetaan käyttämällä --init
-lippua. Tämän odotetaan tapahtuvan ennen kuin järjestelmäsi on kytketty verkkoon.
Alla oleva komento luo tietokannan, joka sisältää kaikki määritystiedostossa valitsemasi tiedostot.
# aide --init
Nimeä sitten tietokanta uudeksi /var/lib/aide/aide.db.gz ennen jatkamista tämän komennon avulla.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
On suositeltavaa siirtää tietokanta turvalliseen paikkaan mahdollisesti vain luku -mediassa tai muulla koneella, mutta varmista, että päivität määritystiedoston lukemaan sen sieltä.
Kun tietokanta on luotu, voit nyt tarkistaa tiedostojen ja hakemistojen eheyden --check
-lipun avulla.
# aide --check
Se lukee tilannekuvan tietokannasta ja vertaa sitä järjestelmälevylle löydettyihin tiedostoihin/hakemistoihin. Jos se löytää muutoksia paikoissa, joita et ehkä odota, se luo raportin, jonka voit tarkistaa.
Koska tiedostojärjestelmään ei ole tehty muutoksia, saat vain samanlaisen tuloksen kuin yllä. Yritä nyt luoda joitain tiedostoja tiedostojärjestelmään määritystiedostossa määritetyille alueille.
# vi /etc/script.sh # touch all.txt
Suorita sitten tarkistus vielä kerran, jonka pitäisi ilmoittaa yllä lisätyt tiedostot. Tämän komennon lähtö riippuu tarkistettavaksi määritetyn tiedostojärjestelmän osista, se voi olla pitkä ylityö.
# aide --check
Sinun on suoritettava aputarkistukset säännöllisesti, ja jos jo tehtyihin tiedostoihin tulee muutoksia tai uusia määrityksiä lisätään määritystiedostoon, päivitä tietokanta aina --update
-vaihtoehdolla:
# aide --update
Kun olet suorittanut tietokantapäivityksen, nimeä se aina uudelleen /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Tässä kaikki tältä erää! Ota kuitenkin huomioon nämä tärkeät seikat:
- Yksi ominaisuus useimmille tunkeutumisenilmaisujärjestelmille AIDE mukaan lukien on, että ne eivät tarjoa ratkaisuja useimpiin järjestelmän suojaussilmukoiden reikiin. Ne auttavat kuitenkin helpottamaan tunkeutumisvasteprosessia auttamalla järjestelmänvalvojia tutkimaan mahdolliset muutokset järjestelmätiedostoihin/hakemistoihin. Joten sinun on aina oltava valppaana ja päivitettävä nykyisiä turvatoimenpiteitäsi.
- On erittäin suositeltavaa pitää äskettäin luotu tietokanta, määritystiedosto ja AIDE-binaari turvallisessa paikassa, kuten vain luku -mediassa (mahdollista, jos asennat lähteestä).
- Lisää turvallisuutta harkitsemalla kokoonpanon ja/tai tietokannan allekirjoittamista.
Lisätietoja ja kokoonpanoja on sen man-sivulla tai AIDE-kotisivulla: http://aide.sourceforge.net/