Weboldal keresés

A fájlok és könyvtárak integritásának ellenőrzése az "AIDE" használatával Linuxban

A CentOS 7 keményítéséről és biztonságáról szóló nagy útmutatónkban a „Rendszer belső védelme” részben az egyik hasznos biztonsági eszköz, amelyet felsoroltunk a belső rendszer vírusok, rootkitek, rosszindulatú programok elleni védelméhez és az illetéktelenek észleléséhez. tevékenységek AIDE.

Az AIDE (Advanced Intrusion Detection Environment) egy kicsi, de hatékony, ingyenes nyílt forráskódú behatolásészlelő eszköz, amely előre meghatározott szabályokat használ a fájlok és könyvtárak integritásának ellenőrzésére Unix-szerű operációs rendszerekben. mint például a Linux. Ez egy független statikus bináris az egyszerűsített kliens/szerver felügyeleti konfigurációkhoz.

Funkciókban gazdag: egyszerű szöveges konfigurációs fájlokat és adatbázisokat használ, így könnyen használható; számos üzenetkivonat-algoritmust támogat, például, de nem kizárólagosan az md5, sha1, rmd160, tiger; támogatja a közös fájlattribútumokat; támogatja a hatékony reguláris kifejezéseket is a vizsgálandó fájlok és könyvtárak szelektív felvételéhez vagy kizárásához.

Ezenkívül a Gzip tömörítés, a Posix ACL, a SELinux, az XAttrs és a kiterjesztett fájlrendszer attribútumok kivételes támogatásával is lefordítható.

Az Aide úgy működik, hogy létrehoz egy adatbázist (amely egyszerűen a fájlrendszer kiválasztott részeinek pillanatképe) a konfigurációs fájl(ok)ban meghatározott reguláris kifejezés szabályaiból. Az adatbázis inicializálása után ellenőrizheti a rendszerfájlok integritását. Ez az útmutató bemutatja, hogyan kell telepíteni és használni a segédprogramot Linux alatt.

Az AIDE telepítése Linux alatt

Az Aide a főbb Linux disztribúciók hivatalos tárolóiba van csomagolva, telepítéséhez futtassa a disztribúció parancsát egy csomagkezelő segítségével.

apt install aide 	   [On Debian/Ubuntu]
yum install aide	   [On RHEL/CentOS] 	
dnf install aide	   [On Fedora 22+]
zypper install aide	   [On openSUSE]
emerge aide 	           [On Gentoo]

A telepítés után a fő konfigurációs fájl az /etc/aide.conf. A telepített verzió megtekintéséhez és az időparaméterek összeállításához futtassa az alábbi parancsot a terminálon:

aide -v
Minta kimenet
Aide 0.14

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

A konfigurációt kedvenc szerkesztőjével nyithatja meg.

vi /etc/aide.conf

Olyan direktívákkal rendelkezik, amelyek meghatározzák az adatbázis helyét, a jelentés helyét, az alapértelmezett szabályokat, az adatbázisba kerülő könyvtárakat/fájlokat.

Az alapértelmezett segédszabályok megértése

A fenti alapértelmezett szabályok használatával új egyéni szabályokat határozhat meg például az aide.conf fájlban.

PERMS = p+u+g+acl+selinux+xattrs

A PERMS szabályt csak a hozzáférés-szabályozásra használják, és észleli a fájlban vagy könyvtárakban bekövetkezett változásokat a fájl/könyvtár engedélyek, a felhasználó, a csoport, a hozzáférés-felügyeleti engedélyek, a SELinux környezet és a fájlattribútumok alapján.

Ez csak a fájl tartalmát és típusát ellenőrzi.

CONTENT = sha256+ftype

Ez az előző szabály kiterjesztett változata, ellenőrzi a kiterjesztett tartalmat, a fájltípust és a hozzáférést.

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

Az alábbi ADATOK szabály segít észlelni az adatok változásait az összes fájlban/könyvtárban.

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

Szabályok meghatározása a fájlok és könyvtárak nézéséhez

Miután meghatározta a szabályokat, megadhatja a figyelni kívánt fájlt és könyvtárakat. Figyelembe véve a fenti PERMS szabályt, ez a definíció ellenőrzi a gyökérkönyvtárban lévő összes fájl jogosultságát.

/root/\..*  PERMS

Ezzel ellenőrzi a /root könyvtárban lévő összes fájlt, hogy nem történt-e változás.

/root/   CONTENT_EX

A /etc/ alatt található összes fájlban/könyvtárban lévő adatok változásainak észleléséhez használja ezt.

/etc/   DATAONLY

Az AIDE használata a fájlok és könyvtárak integritásának ellenőrzésére Linux alatt

Kezdje az adatbázis felépítésével a --init kapcsolóval végrehajtott ellenőrzések alapján. Ezt várhatóan azelőtt kell megtenni, hogy a rendszer csatlakozik a hálózathoz.

Az alábbi parancs létrehoz egy adatbázist, amely tartalmazza a konfigurációs fájlban kiválasztott összes fájlt.

aide --init

Ezután nevezze át az adatbázist a következőre: /var/lib/aide/aide.db.gz, mielőtt folytatná ezzel a paranccsal.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Javasoljuk, hogy az adatbázist biztonságos helyre helyezze át, esetleg csak olvasható adathordozón vagy más gépen, de ügyeljen arra, hogy frissítse a konfigurációs fájlt, hogy onnan olvassa el.

Az adatbázis létrehozása után a --check kapcsolóval ellenőrizheti a fájlok és könyvtárak integritását.

aide --check

Beolvassa a pillanatképet az adatbázisban, és összehasonlítja a rendszerlemezen talált fájlokkal/könyvtárakkal. Ha olyan helyeken olyan változásokat talál, amelyekre nem számíthat, jelentést készít, amelyet áttekinthet.

Mivel nem történt változtatás a fájlrendszerben, csak a fentihez hasonló kimenetet kap. Most próbáljon meg néhány fájlt létrehozni a fájlrendszerben, a konfigurációs fájlban meghatározott területeken.

vi /etc/script.sh
touch all.txt

Ezután futtasson még egyszer egy ellenőrzést, amely jelenteni fogja a fent hozzáadott fájlokat. Ennek a parancsnak a kimenete az ellenőrzésre beállított fájlrendszer részeitől függ, hosszan tartó túlórázás lehet.

aide --check

Rendszeresen le kell futtatnia a segédellenőrzéseket, és ha a már kiválasztott fájlok megváltoznak, vagy új fájldefiníciók kerülnek be a konfigurációs fájlba, mindig frissítse az adatbázist a --update opcióval:

aide --update

Az adatbázis-frissítés futtatása után, ha az új adatbázist a jövőbeni vizsgálatokhoz szeretné használni, mindig nevezze át a következőre: /var/lib/aide/aide.db.gz:

mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

Ez minden most! De vegye figyelembe ezeket a fontos szempontokat:

  • A legtöbb AIDE behatolásészlelő rendszer egyik jellemzője, hogy nem nyújtanak megoldást a legtöbb biztonsági hurokra a rendszeren. Mindazonáltal segítik a behatolási válaszfolyamatot azáltal, hogy segítik a rendszergazdákat megvizsgálni a rendszerfájlok/könyvtárak változásait. Ezért mindig legyen éber, és folyamatosan frissítse aktuális biztonsági intézkedéseit.
  • Erősen ajánlott az újonnan létrehozott adatbázist, a konfigurációs fájlt és az AIDE bináris fájlt biztonságos helyen, például csak olvasható adathordozón tartani (forrásból történő telepítés esetén).
  • A további biztonság érdekében fontolja meg a konfiguráció és/vagy az adatbázis aláírását.

További információkért és konfigurációkért tekintse meg a kézikönyv oldalát, vagy tekintse meg az AIDE honlapját: http://aide.sourceforge.net/