Kako provjeriti cjelovitost datoteke i direktorija pomoću "AIDE" u Linuxu
U našem mega vodiču za učvršćivanje i osiguravanje CentOS 7, u odjeljku "Interna zaštita sustava", jedan od korisnih sigurnosnih alata koje smo naveli za unutarnju zaštitu sustava od virusa, rootkita, zlonamjernog softvera i otkrivanja neovlaštenih aktivnosti je AIDE.
AIDE (Advanced Intrusion Detection Environment) je mali, ali moćan besplatni alat za otkrivanje upada otvorenog koda koji koristi unaprijed definirana pravila za provjeru cjelovitosti datoteka i direktorija u operacijskim sustavima sličnim Unixu, poput Linuxa. To je neovisna statička binarna datoteka za pojednostavljene konfiguracije nadzora klijenta/poslužitelja.
Bogat je značajkama: koristi konfiguracijske datoteke s običnim tekstom i bazu podataka što ga čini jednostavnim za upotrebu; podržava nekoliko algoritama za sažimanje poruka kao što su, ali bez ograničenja, md5, sha1, rmd160, tiger; podržava uobičajene atribute datoteka; također podržava moćne regularne izraze za selektivno uključivanje ili isključivanje datoteka i direktorija za skeniranje.
Također se može kompajlirati s izuzetnom podrškom za Gzip kompresiju, Posix ACL, SELinux, XAttrs i atribute Extended file system.
Aide djeluje stvaranjem baze podataka (koja je jednostavno snimka odabranih dijelova datotečnog sustava) iz pravila regularnog izraza definiranih u konfiguracijskoj datoteci (datotekama). Jednom kada je ova baza podataka inicijalizirana, možete provjeriti integritet sistemskih datoteka prema njoj. Ovaj vodič će pokazati kako instalirati i koristiti pomoćnik u Linuxu.
Kako instalirati AIDE u Linux
Aide je zapakiran u službena spremišta glavne distribucije Linuxa, da biste ga instalirali, pokrenite naredbu za vašu distribuciju pomoću upravitelja paketa.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Nakon instalacije, glavna konfiguracijska datoteka je /etc/aide.conf. Da biste pogledali instaliranu verziju, kao i vremenske parametre kompajliranja, pokrenite naredbu ispod na vašem terminalu:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Konfiguraciju možete otvoriti pomoću omiljenog uređivača.
# vi /etc/aide.conf
Ima direktive koje definiraju mjesto baze podataka, mjesto izvješća, zadana pravila, direktorije/datoteke koje će biti uključene u bazu podataka.
Koristeći gornja zadana pravila, možete definirati nova prilagođena pravila u datoteci aide.conf, na primjer.
PERMS = p+u+g+acl+selinux+xattrs
Pravilo PERMS koristi se samo za kontrolu pristupa, ono će otkriti sve promjene datoteke ili direktorija na temelju dozvola datoteka/direktorija, korisnika, grupe, dopuštenja kontrole pristupa, SELinux konteksta i atributa datoteke.
Ovo će provjeriti samo sadržaj i vrstu datoteke.
CONTENT = sha256+ftype
Ovo je proširena verzija prethodnog pravila, kojom se provjerava prošireni sadržaj, vrsta datoteke i pristup.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Dolje DATAONLY pravilo pomoći će u otkrivanju bilo kakvih promjena podataka unutar svih datoteka/direktorija.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Utvrđivanje pravila za gledanje datoteka i direktorija
Nakon što definirate pravila, možete odrediti datoteku i direktorije za gledanje. Uzimajući u obzir prethodno navedeno pravilo PERMS, ova će definicija provjeriti dozvole za sve datoteke u korijenskom direktoriju.
/root/\..* PERMS
Ovo će provjeriti ima li promjena u svim datotekama u/root direktoriju.
/root/ CONTENT_EX
Koristite ovo da biste otkrili bilo kakve promjene podataka u svim datotekama/direktoriju pod/etc /.
/etc/ DATAONLY
Korištenje AIDE za provjeru cjelovitosti datoteka i direktorija u Linuxu
Započnite s izradom baze podataka protiv provjera koje će se izvoditi pomoću oznake --init
. Očekuje se da će to biti učinjeno prije nego što se vaš sustav poveže s mrežom.
Naredba u nastavku stvorit će bazu podataka koja sadrži sve datoteke koje ste odabrali u svojoj konfiguracijskoj datoteci.
# aide --init
Zatim preimenujte bazu podataka u /var/lib/aide/aide.db.gz prije nego što nastavite, koristeći ovu naredbu.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Preporučuje se premještanje baze podataka na sigurno mjesto, moguće u mediju samo za čitanje ili na drugim računalima, ali osigurajte da ažurirate konfiguracijsku datoteku da biste je pročitali od tamo.
Nakon stvaranja baze podataka, sada možete provjeriti cjelovitost datoteka i direktorija pomoću zastavice --check
.
# aide --check
Pročitat će snimku u bazi podataka i usporediti je s datotekama/direktorijima koji su pronađeni na sistemskom disku. Ako pronađe promjene na mjestima koja možda ne očekujete, generira izvješće koje zatim možete pregledati.
Budući da u datotečnom sustavu nisu izvršene promjene, dobit ćete samo izlaz sličan onome gore. Sada pokušajte stvoriti neke datoteke u datotečnom sustavu, u područjima definiranim u konfiguracijskoj datoteci.
# vi /etc/script.sh # touch all.txt
Zatim pokrenite još jednom provjeru koja bi trebala prijaviti gore dodane datoteke. Izlaz ove naredbe ovisi o dijelovima datotečnog sustava koje ste konfigurirali za provjeru, može biti dugotrajno prekovremeno.
# aide --check
Morate redovito pokretati pomoćne provjere, a u slučaju bilo kakvih promjena u već odabranim datotekama ili dodavanja novih definicija datoteka u konfiguracijskoj datoteci, uvijek ažurirajte bazu podataka pomoću opcije --update
:
# aide --update
Nakon pokretanja ažuriranja baze podataka, da biste koristili novu bazu podataka za buduća skeniranja, uvijek je preimenujte u /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
To je sve za sada! Ali uzmite u obzir ove važne točke:
- Jedna od karakteristika većine AIDE sustava za otkrivanje prodora jest da oni neće pružiti rješenja za većinu rupa u sigurnosnim petljama na sustavu. Oni, međutim, pomažu u olakšavanju procesa odgovora na upad pomažući administratorima sustava da ispitaju sve promjene u sistemskim datotekama/direktorijima. Stoga biste uvijek trebali biti na oprezu i stalno ažurirati svoje trenutne sigurnosne mjere.
- Iznimno je preporučljivo držati novostvorenu bazu podataka, konfiguracijsku datoteku i AIDE binarnu datoteku na sigurnom mjestu kao što je medij samo za čitanje (moguće ako instalirate iz izvora).
- Za dodatnu sigurnost razmislite o potpisivanju konfiguracije i/ili baze podataka.
Za dodatne informacije i konfiguracije, pogledajte njegovu man stranicu ili posjetite AIDE početnu stranicu: http://aide.sourceforge.net/