Vyhledávání na webu

Jak zkontrolovat integritu souboru a adresáře pomocí "AIDE" v Linuxu

V našem velkém průvodci posílením a zabezpečením CentOS 7 v sekci „interně chránit systém“ jeden z užitečných bezpečnostních nástrojů, které jsme uvedli pro vnitřní ochranu systému před viry, rootkity, malwarem a detekci neoprávněných činnosti je AIDE.

AIDE (Advanced Intrusion Detection Environment) je malý, ale výkonný, bezplatný open source nástroj pro detekci narušení, který používá předdefinovaná pravidla ke kontrole integrity souborů a adresářů v operačních systémech typu Unix. jako je Linux. Je to nezávislý statický binární soubor pro zjednodušené konfigurace monitorování klient/server.

Je bohatý na funkce: používá konfigurační soubory ve formátu prostého textu a databázi, což usnadňuje použití; podporuje několik algoritmů pro zpracování zpráv, jako jsou, ale bez omezení, md5, sha1, rmd160, tiger; podporuje běžné atributy souborů; také podporuje výkonné regulární výrazy pro selektivní zahrnutí nebo vyloučení souborů a adresářů, které mají být skenovány.

Také může být zkompilován s výjimečnou podporou pro kompresi Gzip, Posix ACL, SELinux, XAttrs a atributy systému souborů Extended.

Aide funguje tak, že vytvoří databázi (což je jednoduše snímek vybraných částí systému souborů) z pravidel regulárních výrazů definovaných v konfiguračním souboru (souborech). Jakmile je tato databáze inicializována, můžete proti ní ověřit integritu systémových souborů. Tato příručka ukáže, jak nainstalovat a používat pomůcku v Linuxu.

Jak nainstalovat AIDE v Linuxu

Aide je zabalen v oficiálních repozitářích běžných linuxových distribucí, pro jeho instalaci spusťte příkaz pro vaši distribuci pomocí správce balíčků.

apt install aide 	   [On Debian/Ubuntu]
yum install aide	   [On RHEL/CentOS] 	
dnf install aide	   [On Fedora 22+]
zypper install aide	   [On openSUSE]
emerge aide 	           [On Gentoo]

Po instalaci je hlavním konfiguračním souborem /etc/aide.conf. Chcete-li zobrazit nainstalovanou verzi a také parametry doby kompilace, spusťte na svém terminálu níže uvedený příkaz:

aide -v
Ukázkový výstup
Aide 0.14

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Konfiguraci můžete otevřít pomocí svého oblíbeného editoru.

vi /etc/aide.conf

Má direktivy, které definují umístění databáze, umístění sestavy, výchozí pravidla, adresáře/soubory, které mají být zahrnuty do databáze.

Pochopení výchozích pravidel asistenta

Pomocí výše uvedených výchozích pravidel můžete definovat nová vlastní pravidla například v souboru aide.conf.

PERMS = p+u+g+acl+selinux+xattrs

Pravidlo PERMS se používá pouze pro řízení přístupu, zjistí jakékoli změny v souboru nebo adresáři na základě oprávnění k souboru/adresáři, uživatele, skupiny, oprávnění řízení přístupu, kontextu SELinux a atributů souboru.

Tím se zkontroluje pouze obsah souboru a typ souboru.

CONTENT = sha256+ftype

Toto je rozšířená verze předchozího pravidla, kontroluje rozšířený obsah, typ souboru a přístup.

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

Níže uvedené pravidlo POUZE DATA pomůže zjistit jakékoli změny v datech ve všech souborech/adresářích.

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

Definování pravidel pro sledování souborů a adresářů

Jakmile definujete pravidla, můžete určit soubor a adresáře, které chcete sledovat. S ohledem na výše uvedené pravidlo PERMS bude tato definice kontrolovat oprávnění pro všechny soubory v kořenovém adresáři.

/root/\..*  PERMS

To zkontroluje všechny soubory v adresáři /root, zda nedošlo k nějakým změnám.

/root/   CONTENT_EX

Toto vám pomůže zjistit jakékoli změny v datech ve všech souborech/adresářích pod /etc/.

/etc/   DATAONLY

Použití AIDE ke kontrole integrity souborů a adresářů v Linuxu

Začněte vytvořením databáze podle kontrol, které budou provedeny pomocí příznaku --init. Očekává se, že to bude provedeno před připojením vašeho systému k síti.

Níže uvedený příkaz vytvoří databázi, která obsahuje všechny soubory, které jste vybrali v konfiguračním souboru.

aide --init

Poté pomocí tohoto příkazu přejmenujte databázi na /var/lib/aide/aide.db.gz.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Doporučuje se přesunout databázi na bezpečné místo, případně na médium pouze pro čtení nebo na jiné počítače, ale ujistěte se, že aktualizujete konfigurační soubor, abyste jej mohli číst odtud.

Po vytvoření databáze můžete nyní zkontrolovat integritu souborů a adresářů pomocí příznaku --check.

aide --check

Přečte snímek v databázi a porovná jej se soubory/adresáři nalezenými na vašem systémovém disku. Pokud najde změny na místech, které byste možná nečekali, vygeneruje zprávu, kterou si můžete prohlédnout.

Protože v systému souborů nebyly provedeny žádné změny, získáte pouze výstup podobný tomu výše. Nyní zkuste vytvořit nějaké soubory v systému souborů v oblastech definovaných v konfiguračním souboru.

vi /etc/script.sh
touch all.txt

Poté spusťte ještě jednou kontrolu, která by měla hlásit soubory přidané výše. Výstup tohoto příkazu závisí na částech systému souborů, které jste nakonfigurovali pro kontrolu, může to být zdlouhavé přesčas.

aide --check

Musíte pravidelně spouštět pomocné kontroly a v případě jakýchkoli změn již vybraných souborů nebo přidání nových definic souborů do konfiguračního souboru vždy aktualizujte databázi pomocí možnosti --update:

aide --update

Chcete-li po spuštění aktualizace databáze použít novou databázi pro budoucí kontroly, vždy ji přejmenujte na /var/lib/aide/aide.db.gz:

mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

To je prozatím vše! Pamatujte však na tyto důležité body:

  • Jednou z charakteristik většiny systémů detekce narušení AIDE včetně, je, že neposkytnou řešení pro většinu děr v bezpečnostních smyčkách v systému. Pomáhají však usnadnit proces odezvy na narušení tím, že pomáhají správcům systému zkoumat jakékoli změny v systémových souborech/adresářích. Takže byste měli být vždy ostražití a průběžně aktualizovat svá aktuální bezpečnostní opatření.
  • Důrazně se doporučuje uchovávat nově vytvořenou databázi, konfigurační soubor a binární soubor AIDE na bezpečném místě, jako je médium pouze pro čtení (možné, pokud instalujete ze zdroje).
  • Pro další zabezpečení zvažte podepsání konfigurace a/nebo databáze.

Další informace a konfigurace naleznete na jeho manuálové stránce nebo na domovské stránce AIDE: http://aide.sourceforge.net/