Kā pārbaudīt failu un direktoriju integritāti, izmantojot Linux "AIDE"


Mūsu mega ceļvedī par CentOS 7 cietināšanu un nodrošināšanu sadaļā “Iekšēji aizsargāt sistēmu” viens no noderīgajiem drošības rīkiem, ko mēs uzskaitījām iekšējās sistēmas aizsardzībai pret vīrusiem, rootkitiem, ļaunprātīgām programmatūrām un neatļautu darbību noteikšanai, ir AIDE.

AIDE (Advanced Intrusion Detection Environment) ir neliels, tomēr jaudīgs, bezmaksas atvērtā koda ielaušanās noteikšanas rīks, kas izmanto iepriekš noteiktus noteikumus, lai pārbaudītu failu un direktoriju integritāti Unix līdzīgās operētājsistēmās, piemēram, Linux. Tas ir neatkarīgs statisks binārs vienkāršotām klienta/servera uzraudzības konfigurācijām.

Tas ir bagāts ar funkcijām: izmanto vienkārša teksta konfigurācijas failus un datu bāzi, padarot to ērti lietojamu; atbalsta vairākus ziņojumu apkopošanas algoritmus, piemēram, bet neaprobežojoties ar md5, sha1, rmd160, tīģeri; atbalsta kopīgus failu atribūtus; atbalsta arī spēcīgas regulārās izteiksmes, lai selektīvi iekļautu vai izslēgtu skenējamos failus un direktorijus.

Arī to var apkopot ar ārkārtas atbalstu Gzip saspiešanai, Posix ACL, SELinux, XAttrs un paplašinātajai failu sistēmas atribūtiem.

Aide darbojas, izveidojot datu bāzi (kas ir vienkārši izvēlēto failu sistēmas daļu momentuzņēmums) no regulārās izteiksmes noteikumiem, kas definēti konfigurācijas failā (-os). Kad šī datu bāze ir inicializēta, varat pārbaudīt sistēmas failu integritāti pret to. Šajā rokasgrāmatā tiks parādīts, kā Linux instalēt un izmantot palīgu.

Kā instalēt AIDE Linux

Aide ir iesaiņots oficiālo Linux izplatīšanas krātuvēs, lai to instalētu, izpildiet izplatīšanas komandu, izmantojot pakotņu pārvaldnieku.

# apt install aide 	   [On Debian/Ubuntu]
# yum install aide	   [On RHEL/CentOS] 	
# dnf install aide	   [On Fedora 22+]
# zypper install aide	   [On openSUSE]
# emerge aide 	           [On Gentoo]

Pēc tā instalēšanas galvenais konfigurācijas fails ir /etc/aide.conf. Lai skatītu instalēto versiju, kā arī apkopotu laika parametrus, izpildiet zemāk esošo komandu savā terminālā:

# aide -v
Aide 0.14

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Konfigurāciju varat atvērt, izmantojot iecienīto redaktoru.

# vi /etc/aide.conf

Tam ir direktīvas, kas nosaka datu bāzes atrašanās vietu, pārskata atrašanās vietu, noklusējuma noteikumus, direktorijus/failus, kas jāiekļauj datu bāzē.

Izmantojot iepriekš minētos noklusējuma noteikumus, jūs varat definēt jaunus pielāgotos noteikumus, piemēram, failā aide.conf.

PERMS = p+u+g+acl+selinux+xattrs

PERMS likums tiek izmantots tikai piekļuves kontrolei. Tas noteiks visas izmaiņas failos vai direktorijos, pamatojoties uz failu/direktoriju atļaujām, lietotāju, grupu, piekļuves kontroles atļaujām, SELinux kontekstu un faila atribūtiem.

Tas pārbaudīs tikai faila saturu un faila tipu.

CONTENT = sha256+ftype

Šī ir iepriekšējā noteikuma paplašinātā versija, tā pārbauda paplašināto saturu, faila tipu un piekļuvi.

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

Zemāk redzamais DATAONLY noteikums palīdzēs atklāt jebkādas datu izmaiņas visos failos/direktorijā.

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

Noteikumi par failu un direktoriju skatīšanos

Kad esat definējis kārtulas, varat norādīt failu un direktorijus, kurus skatīties. Ņemot vērā iepriekš minēto PERMS kārtulu, šī definīcija pārbaudīs visu sakņu direktorijā esošo failu atļaujas.

/root/\..*  PERMS

Tas pārbaudīs visus failus/saknes direktorijā, vai nav izmaiņu.

/root/   CONTENT_EX

Izmantojiet šo, lai palīdzētu atklāt jebkādas datu izmaiņas visos failos/direktorijā zem/etc /.

/etc/   DATAONLY 

Izmantojot AIDE, lai pārbaudītu failu un direktoriju integritāti Linux

Vispirms izveidojiet datu bāzi, salīdzinot ar pārbaudēm, kas tiks veiktas, izmantojot karogu --init . Paredzams, ka tas tiks izdarīts pirms sistēmas savienojuma ar tīklu.

Zemāk esošā komanda izveidos datu bāzi, kurā būs visi faili, kurus atlasījāt konfigurācijas failā.

# aide --init

Pēc tam, pirms turpināt, izmantojot šo komandu, pārdēvējiet datubāzi uz /var/lib/aide/aide.db.gz.

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ieteicams pārvietot datu bāzi uz drošu vietu, iespējams, tikai lasāmā datu nesējā vai citā datorā, taču pārliecinieties, ka esat atjauninājis konfigurācijas failu, lai to lasītu no turienes.

Pēc datubāzes izveides tagad varat pārbaudīt failu un direktoriju integritāti, izmantojot karodziņu --check .

# aide --check

Tas nolasīs momentuzņēmumu datu bāzē un salīdzinās to ar failiem/direktorijiem, kas atrasti sistēmas diskā. Ja tā konstatē izmaiņas vietās, kuras, iespējams, negaidāt, tā ģenerē pārskatu, kuru pēc tam varat pārskatīt.

Tā kā failu sistēmā nav veiktas izmaiņas, jūs iegūsiet tikai tādu izvadi, kas ir līdzīgs iepriekšējam. Tagad mēģiniet izveidot dažus failus failu sistēmā apgabalos, kas noteikti konfigurācijas failā.

# vi /etc/script.sh
# touch all.txt

Pēc tam vēlreiz veiciet pārbaudi, kurai jāziņo par iepriekš pievienotajiem failiem. Šīs komandas izvade ir atkarīga no faila sistēmas daļām, kuras esat konfigurējis pārbaudei, tā var būt ilga virsstundas.

# aide --check

Jums regulāri jāveic palīgpārbaudes, un, ja izmaiņas jau atlasītajos failos vai konfigurācijas failā tiek pievienotas jaunas failu definīcijas, vienmēr atjauniniet datu bāzi, izmantojot opciju --update :

# aide --update

Pēc datubāzes atjaunināšanas palaišanas, lai izmantotu jauno datubāzi turpmākajām pārbaudēm, vienmēr pārdēvējiet to uz /var/lib/aide/aide.db.gz:

# mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

Tas pagaidām ir viss! Bet ņemiet vērā šos svarīgos punktus:

  • Viena no lielākajām ielaušanās detektēšanas sistēmām AIDE ieskaitot ir tā, ka tās nenodrošinās risinājumus lielākajai daļai sistēmas drošības cilpu. Tomēr tie palīdz atvieglot ielaušanās reakcijas procesu, palīdzot sistēmas administratoriem pārbaudīt visas izmaiņas sistēmas failos/direktorijos. Tāpēc jums vienmēr jābūt modriem un pastāvīgi jāatjaunina pašreizējie drošības pasākumi.
  • Jaunizveidoto datu bāzi, konfigurācijas failu un AIDE bināro failu ļoti ieteicams turēt drošā vietā, piemēram, tikai lasāmā nesējā (iespējams, ja instalējat no avota).
  • Papildu drošībai apsveriet iespēju parakstīt konfigurāciju un/vai datu bāzi.

Papildinformāciju un konfigurācijas skatiet tās man lapā vai AIDE mājas lapā: http://aide.sourceforge.net/