Kā pārbaudīt failu vai direktoriju integritāti, izmantojot AIDE operētājsistēmā Linux

Kā pārbaudīt failu vai direktoriju integritāti, izmantojot AIDE operētājsistēmā Linux

Izmantojot vairākas operētājsistēmas, ir ideāli, ja vienmēr ir rīki, kas ļauj mums saglabāt centralizētu un tiešu kontroli pār to. Viens no delikātākajiem jautājumiem neapšaubāmi ir failu drošība un integritāte, jo tas garantē failu pieejamību un uzticamību.

Šodien Solvetic runās par praktisku rīku AIDE, ar kura palīdzību būs iespējams pārbaudīt faila vai direktorija integritāti dažādos Linux izplatījumos un tādējādi būt pārliecinātiem par izvēlētā faila pilnīgu uzticamību.

Kas ir AIDEAIDE (Advanced Intrusion Detection Environment) ir failu un direktoriju integritātes pārbaudītājs Linux vidēs, kas ļauj mums kā administratoriem saglabāt īpašu kontroli pār tiem.
Tās darbība sastāv no datu bāzes izveides, kas veidota no regulārās izteiksmes noteikumiem, kas ir pieejami konfigurācijas failos. Kad šī datu bāze ir inicializēta, to var izmantot, lai pārbaudītu nepieciešamo failu integritāti.

AIDE faila atribūtiAIDE ir atbildīgs par datu bāzes izveidi no failiem, kas norādīti aide.conf, kas ir AIDE konfigurācijas fails. AIDE datu bāzē tiek glabāti vairāki failu atribūti, kuros mums ir:

  • faila veids
  • atļaujas
  • lietotājs un grupa
  • faila lielums
  • mtime, ctime un atime
  • augšanas lielums
  • saišu skaits un saites nosaukums.

Turklāt AIDE izveido katra faila kriptogrāfijas kontrolsummu vai jaucējkrānu, izmantojot vienu vai šādu ziņojumu apkopošanas algoritmu kombināciju: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32, kā arī acl atribūtus, xattr, selinux , un e2fsattrs var izmantot, ja tas ir skaidri iespējots kompilēšanas laikā.

AIDE ir vairāki ziņojumu apkopošanas algoritmi, kas tiek izmantoti, lai pārbaudītu faila integritāti. Visus parastos faila atribūtus var arī pārbaudīt, vai tajā nav neatbilstību. AIDE spēj nolasīt vecāku vai jaunāku versiju datu bāzes.

AIDE funkcijasIzmantojot šo rīku, mums ir šādas īpašības:

  • Ziņojumu apkopošanas atbalstītie algoritmi, piemēram: md5, sha1, rmd160, tigger, crc32, sha256, sha512, whirlpool (papildus ar libmhash: gost, haval, crc32b)
  • Atbalstītie failu atribūti: faila tips, atļaujas, Inode, Uid, Gid, saites nosaukums, lielums, bloka numurs, saišu skaits, Mtime, Ctime un Atime
  • Tā atbalsta Posix ACL, SELinux, XAttrs un paplašinātās failu sistēmas atribūtus, ja atbalsts vienkāršības labad tiek apkopots vienkāršā tekstā un datu bāzes konfigurācijas failos
  • Tam ir regulāras izteiksmes atbalsts, lai selektīvi iekļautu vai izslēgtu failus un direktorijus, lai tie tiktu uzraudzīti
Jūs varat saspiest gzip datu bāzi, ja zlib atbalsts ir apkopots atsevišķā statiskā binārā klienta / servera uzraudzības konfigurācijām.

AIDE ir iekļauts šādos UNIX izplatījumos

  • Debian
  • Gentoo
  • MacPorts
  • FreeBSD
  • CentOS / RedHat
  • IPCop
  • OpenSUSE

Ir svarīgi precizēt, ka AIDE nevar nodrošināt absolūtu drošību faila izmaiņās, jo tāpat kā jebkuru citu sistēmas failu, arī AIDE datubāzi un / vai bināros failus var mainīt, izmantojot atbilstošos rīkus.

1. AIDE instalēšana Linux


AIDE ir pieejams oficiālajos repozitorijos populārākajiem Linux izplatījumiem, tāpēc mēs to varam instalēt, izmantojot pakotņu pārvaldnieku atbilstoši izvēlētajam izplatījumam: 
 apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)

Šajā gadījumā mēs izmantojam Ubuntu. Tur mēs ievadām burtu S, lai akceptētu AIDE lejupielādi un instalēšanu. Pēc instalēšanas mēs redzēsim sekojošo:

Kā redzam, galvenais konfigurācijas fails ir /etc/aide/aide.conf. Lai apskatītu instalēto versiju, kā arī apkopošanas laika parametrus, mēs varam izpildīt sekojošo: 

 palīgs -v

2. Piekļuve AIDE Linux konfigurācijas failam


Mēs varam piekļūt AIDE konfigurācijas failam, izpildot šādu rindu ar vēlamo redaktoru: 
 nano /etc/aide/aide.conf
Mēs redzēsim sekojošo:

Šajā failā mēs atrodam direktīvas, kas nosaka datubāzes atrašanās vietu, pārskata atrašanās vietu, noklusējuma noteikumus, direktorijus vai failus, kas jāiekļauj datu bāzē, un daudz ko citu.

3. Kā pārvaldīt un izprast AIDE noteikumus

AIDE pārvalda tādus noteikumus kā:

lppAtļaujas - atļaujas
nSaites skaits
vai= Lietotājs
gGrupas
sIzmērs (izmērs)
bBloku skaits
mmtime
uzlaiks
cctime
selinuxSelinux drošības konteksts
xattrsParāda faila paplašinātos atribūtus

Izmantojot šos noteikumus, AIDE konfigurācijas failā būs iespējams izveidot pielāgotus noteikumus. Piemēram, mēs varam izveidot šādu noteikumu: 

 PERMS = p + u + g + acl + selinux + xattrs
Šādā gadījumā PERMS noteikums tiek ieviests piekļuves kontrolei, kas noteiks visas izmaiņas failā vai direktorijos, pamatojoties uz failu vai direktoriju atļaujām, lietotāju, grupu, piekļuves kontroles atļaujām, faila atribūtiem un citiem.

Vēl viens noteikums, ko mēs varam ieviest, ir tāds, kas pārbauda tikai faila saturu un izvēlēto faila tipu, piemēram: 

 SATURS = sha256 + ftype
Ja mēs vēlamies pārbaudīt paplašināto saturu, faila veidu un piekļuvi, mēs varam izveidot šādu kārtulu: 
 CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrs
Kārtula, kas palīdz mums atklāt izmaiņas direktorijā tikai datu līmenī, ir šāda: 
 DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256
Šie noteikumi jāpievieno AIDE konfigurācijas faila apakšā:

Mēs saglabājam izmaiņas, izmantojot taustiņus Ctrl + O, un izejam, izmantojot Ctrl + X.

4. Kā definēt noteikumus AIDE failu un direktoriju skatīšanai


Izmantojot AIDE, būs iespējams izveidot arī noteikumus atsevišķiem failiem vai direktorijiem, kas tiks analizēti. Šim nolūkam mēs atkal piekļūstam ceļam /etc/aide/aide.conf un varam izveidot šādus noteikumus: 
 / root / \… * PERMS (šis noteikums pārbauda atļaujas saknes direktorijā) / root / CONTENT_EX (šis noteikums pārbauda visus saknes failus pirms jebkādām izmaiņām) / etc / DATAONLY (Šis noteikums ļauj mums atklāt visas izmaiņas direktorijā /utt.)

Mēs varam saglabāt izmaiņas AIDE konfigurācijas failā.

5. Kā izmantot AIDE, lai pārbaudītu failus un direktoriju integritāti Linux


Kad ir definēti noteikumi, kas jāizmanto kopā ar AIDE, nākamais solis būs izveidot datubāzi, pamatojoties uz pārbaudēm, kas tiks veiktas, izmantojot parametru --init.

Ar šādu komandu tiks izveidota datu bāze, kurā būs visi faili, kurus mēs definējam AIDE konfigurācijas failā: 

 Palīgs -no sākuma

Kad tas ir izdarīts, pirms turpināt, mainiet datu bāzes nosaukumu uz /var/lib/aide/aide.db.gz, šim nolūkam mēs varam izmantot šādu komandu: 

 mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gz
Šo datu bāzi ieteicams pārvietot uz drošu vietu, taču mums noteikti jāatjaunina konfigurācijas fails, lai to varētu nolasīt.

Tālāk mums jāapkopo jauns Aide konfigurācijas fails. Mēs izpildām šādu komandu: 

 update-aide.conf
Tagad mēs kopēsim šo jauno failu direktorijā / etc / aide: 
 cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf
Pēc datu bāzes izveides mēs varam pārbaudīt failu un direktoriju integritāti, izmantojot atzīmi -check: 
 palīgs -pārbaudiet

6. Kā novērtēt AIDE


Lai pārbaudītu AIDE darbību, mēs izpildīsim šādas rindas: 
 mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1
Ar tiem mēs izveidojam jaunu direktoriju un failus sistēmā. Vēlāk mēs izpildām šādu apstiprināšanas un verifikācijas rindu: 
 Palīgs -pārbaudiet
Rezultāts būs šāds:

Tur mēs varam redzēt, ka failā tiek atrasta atšķirība un norāda, kāda veida darbība tā bija, pievienošana, dzēšana vai izmaiņas.
Tādā veidā AIDE ir noderīgs rīks, lai reālā laikā noteiktu sistēmā notikušās izmaiņas.

Jums palīdzēs attīstību vietā, daloties lapu ar draugiem

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Kā pārvērst Google dokumentu dokumentus ePub formātā
2
post-title
Instalējiet un konfigurējiet kolbu
3
post-title
Izņēmumu veidi Java
4
post-title
Paplašiniet sistēmu un parastos nodalījumus operētājsistēmā Windows 10, 8, 7
5
post-title
Izveidojiet atmiņas spēli ar HTML un JQuery Effects metodēm

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -