Izmantojot vairākas operētājsistēmas, ir ideāli, ja vienmēr ir rīki, kas ļauj mums saglabāt centralizētu un tiešu kontroli pār to. Viens no delikātākajiem jautājumiem neapšaubāmi ir failu drošība un integritāte, jo tas garantē failu pieejamību un uzticamību.
Šodien Solvetic runās par praktisku rīku AIDE, ar kura palīdzību būs iespējams pārbaudīt faila vai direktorija integritāti dažādos Linux izplatījumos un tādējādi būt pārliecinātiem par izvēlētā faila pilnīgu uzticamību.
Kas ir AIDEAIDE (Advanced Intrusion Detection Environment) ir failu un direktoriju integritātes pārbaudītājs Linux vidēs, kas ļauj mums kā administratoriem saglabāt īpašu kontroli pār tiem.
Tās darbība sastāv no datu bāzes izveides, kas veidota no regulārās izteiksmes noteikumiem, kas ir pieejami konfigurācijas failos. Kad šī datu bāze ir inicializēta, to var izmantot, lai pārbaudītu nepieciešamo failu integritāti.
AIDE faila atribūtiAIDE ir atbildīgs par datu bāzes izveidi no failiem, kas norādīti aide.conf, kas ir AIDE konfigurācijas fails. AIDE datu bāzē tiek glabāti vairāki failu atribūti, kuros mums ir:
- faila veids
- atļaujas
- lietotājs un grupa
- faila lielums
- mtime, ctime un atime
- augšanas lielums
- saišu skaits un saites nosaukums.
Turklāt AIDE izveido katra faila kriptogrāfijas kontrolsummu vai jaucējkrānu, izmantojot vienu vai šādu ziņojumu apkopošanas algoritmu kombināciju: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32, kā arī acl atribūtus, xattr, selinux , un e2fsattrs var izmantot, ja tas ir skaidri iespējots kompilēšanas laikā.
AIDE ir vairāki ziņojumu apkopošanas algoritmi, kas tiek izmantoti, lai pārbaudītu faila integritāti. Visus parastos faila atribūtus var arī pārbaudīt, vai tajā nav neatbilstību. AIDE spēj nolasīt vecāku vai jaunāku versiju datu bāzes.
AIDE funkcijasIzmantojot šo rīku, mums ir šādas īpašības:
- Ziņojumu apkopošanas atbalstītie algoritmi, piemēram: md5, sha1, rmd160, tigger, crc32, sha256, sha512, whirlpool (papildus ar libmhash: gost, haval, crc32b)
- Atbalstītie failu atribūti: faila tips, atļaujas, Inode, Uid, Gid, saites nosaukums, lielums, bloka numurs, saišu skaits, Mtime, Ctime un Atime
- Tā atbalsta Posix ACL, SELinux, XAttrs un paplašinātās failu sistēmas atribūtus, ja atbalsts vienkāršības labad tiek apkopots vienkāršā tekstā un datu bāzes konfigurācijas failos
- Tam ir regulāras izteiksmes atbalsts, lai selektīvi iekļautu vai izslēgtu failus un direktorijus, lai tie tiktu uzraudzīti
AIDE ir iekļauts šādos UNIX izplatījumos
- Debian
- Gentoo
- MacPorts
- FreeBSD
- CentOS / RedHat
- IPCop
- OpenSUSE
Ir svarīgi precizēt, ka AIDE nevar nodrošināt absolūtu drošību faila izmaiņās, jo tāpat kā jebkuru citu sistēmas failu, arī AIDE datubāzi un / vai bināros failus var mainīt, izmantojot atbilstošos rīkus.
1. AIDE instalēšana Linux
AIDE ir pieejams oficiālajos repozitorijos populārākajiem Linux izplatījumiem, tāpēc mēs to varam instalēt, izmantojot pakotņu pārvaldnieku atbilstoši izvēlētajam izplatījumam:
apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)
Šajā gadījumā mēs izmantojam Ubuntu. Tur mēs ievadām burtu S, lai akceptētu AIDE lejupielādi un instalēšanu. Pēc instalēšanas mēs redzēsim sekojošo:
Kā redzam, galvenais konfigurācijas fails ir /etc/aide/aide.conf. Lai apskatītu instalēto versiju, kā arī apkopošanas laika parametrus, mēs varam izpildīt sekojošo:
palīgs -v
2. Piekļuve AIDE Linux konfigurācijas failam
Mēs varam piekļūt AIDE konfigurācijas failam, izpildot šādu rindu ar vēlamo redaktoru:
nano /etc/aide/aide.confMēs redzēsim sekojošo:
Šajā failā mēs atrodam direktīvas, kas nosaka datubāzes atrašanās vietu, pārskata atrašanās vietu, noklusējuma noteikumus, direktorijus vai failus, kas jāiekļauj datu bāzē, un daudz ko citu.
3. Kā pārvaldīt un izprast AIDE noteikumus
AIDE pārvalda tādus noteikumus kā:
lppAtļaujas - atļaujas
nSaites skaits
vai= Lietotājs
gGrupas
sIzmērs (izmērs)
bBloku skaits
mmtime
uzlaiks
cctime
selinuxSelinux drošības konteksts
xattrsParāda faila paplašinātos atribūtus
Izmantojot šos noteikumus, AIDE konfigurācijas failā būs iespējams izveidot pielāgotus noteikumus. Piemēram, mēs varam izveidot šādu noteikumu:
PERMS = p + u + g + acl + selinux + xattrsŠādā gadījumā PERMS noteikums tiek ieviests piekļuves kontrolei, kas noteiks visas izmaiņas failā vai direktorijos, pamatojoties uz failu vai direktoriju atļaujām, lietotāju, grupu, piekļuves kontroles atļaujām, faila atribūtiem un citiem.
Vēl viens noteikums, ko mēs varam ieviest, ir tāds, kas pārbauda tikai faila saturu un izvēlēto faila tipu, piemēram:
SATURS = sha256 + ftypeJa mēs vēlamies pārbaudīt paplašināto saturu, faila veidu un piekļuvi, mēs varam izveidot šādu kārtulu:
CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrsKārtula, kas palīdz mums atklāt izmaiņas direktorijā tikai datu līmenī, ir šāda:
DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256Šie noteikumi jāpievieno AIDE konfigurācijas faila apakšā:
Mēs saglabājam izmaiņas, izmantojot taustiņus Ctrl + O, un izejam, izmantojot Ctrl + X.
4. Kā definēt noteikumus AIDE failu un direktoriju skatīšanai
Izmantojot AIDE, būs iespējams izveidot arī noteikumus atsevišķiem failiem vai direktorijiem, kas tiks analizēti. Šim nolūkam mēs atkal piekļūstam ceļam /etc/aide/aide.conf un varam izveidot šādus noteikumus:
/ root / \… * PERMS (šis noteikums pārbauda atļaujas saknes direktorijā) / root / CONTENT_EX (šis noteikums pārbauda visus saknes failus pirms jebkādām izmaiņām) / etc / DATAONLY (Šis noteikums ļauj mums atklāt visas izmaiņas direktorijā /utt.)
Mēs varam saglabāt izmaiņas AIDE konfigurācijas failā.
5. Kā izmantot AIDE, lai pārbaudītu failus un direktoriju integritāti Linux
Kad ir definēti noteikumi, kas jāizmanto kopā ar AIDE, nākamais solis būs izveidot datubāzi, pamatojoties uz pārbaudēm, kas tiks veiktas, izmantojot parametru --init.
Ar šādu komandu tiks izveidota datu bāze, kurā būs visi faili, kurus mēs definējam AIDE konfigurācijas failā:
Palīgs -no sākuma
Kad tas ir izdarīts, pirms turpināt, mainiet datu bāzes nosaukumu uz /var/lib/aide/aide.db.gz, šim nolūkam mēs varam izmantot šādu komandu:
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gzŠo datu bāzi ieteicams pārvietot uz drošu vietu, taču mums noteikti jāatjaunina konfigurācijas fails, lai to varētu nolasīt.
Tālāk mums jāapkopo jauns Aide konfigurācijas fails. Mēs izpildām šādu komandu:
update-aide.confTagad mēs kopēsim šo jauno failu direktorijā / etc / aide:
cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.confPēc datu bāzes izveides mēs varam pārbaudīt failu un direktoriju integritāti, izmantojot atzīmi -check:
palīgs -pārbaudiet
6. Kā novērtēt AIDE
Lai pārbaudītu AIDE darbību, mēs izpildīsim šādas rindas:
mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1Ar tiem mēs izveidojam jaunu direktoriju un failus sistēmā. Vēlāk mēs izpildām šādu apstiprināšanas un verifikācijas rindu:
Palīgs -pārbaudietRezultāts būs šāds:
Tur mēs varam redzēt, ka failā tiek atrasta atšķirība un norāda, kāda veida darbība tā bija, pievienošana, dzēšana vai izmaiņas.
Tādā veidā AIDE ir noderīgs rīks, lai reālā laikā noteiktu sistēmā notikušās izmaiņas.