Naudojant kelias operacines sistemas, idealiai tinka visada turėti įrankius, leidžiančius išlaikyti centralizuotą ir tiesioginę jos kontrolę. Viena iš opiausių problemų yra neabejotinai failų saugumas ir vientisumas, nes tai garantuoja failų prieinamumą ir patikimumą.
Šiandien „Solvetic“ kalbės apie praktinį įrankį, vadinamą AIDE, per kurį bus galima patikrinti failo ar katalogo vientisumą įvairiuose „Linux“ platinimuose ir taip būti tikram dėl visiško pasirinkto failo patikimumo.
Kas yra AIDEAIDE (Advanced Intrusion Detection Environment) yra failų ir katalogų vientisumo tikrinimo priemonė Linux aplinkoje, leidžianti mums kaip administratoriams išlaikyti konkrečią jų kontrolę.
Jo veikimą sudaro duomenų bazės, sukurtos pagal reguliariosios išraiškos taisykles, esančias konfigūracijos failuose, sukūrimas. Kai ši duomenų bazė bus inicijuota, ją galima naudoti norint patikrinti reikiamų failų vientisumą.
AIDE failo atributaiAIDE yra atsakinga už duomenų bazės kūrimą iš failų, nurodytų aide.conf, kuris yra AIDE konfigūracijos failas. AIDE duomenų bazėje saugomi keli failo atributai:
- failo tipas
- leidimus
- vartotojas ir grupė
- failo dydis
- mtime, ctime ir atime
- augimo dydis
- nuorodų skaičius ir nuorodos pavadinimas.
Be to, AIDE sukuria kiekvieno failo kriptografinę kontrolinę sumą arba maišą, naudodama vieną iš šių pranešimų santraukos algoritmų arba jų derinį: sha1, sha256, sha512, md5, rmd160, tigras, haval, crc32, taip pat acl atributus, xattr, selinux , o „e2fsattrs“ galima naudoti, kai kompiliavimo metu tai aiškiai įjungta.
AIDE turi kelis pranešimų santraukos algoritmus, kurie naudojami failo vientisumui patikrinti. Visus įprastus failo atributus taip pat galima patikrinti, ar jame nėra neatitikimų. AIDE gali skaityti senesnių ar naujesnių versijų duomenų bazes.
AIDE funkcijosNaudodami šį įrankį turime šias savybes:
- Pranešimų santraukos palaikomi algoritmai, tokie kaip: md5, sha1, rmd160, tigger, crc32, sha256, sha512, whirlpool (papildomai su libmhash: gost, haval, crc32b)
- Palaikomi failo atributai: failo tipas, leidimai, „Inode“, „Uid“, „Gid“, nuorodos pavadinimas, dydis, bloko numeris, nuorodų skaičius, „Mtime“, „Ctime“ ir „Atime“
- Jis palaiko „Posix ACL“, „SELinux“, „XAttrs“ ir išplėstines failų sistemos atributus, jei palaikymas yra sudarytas į paprasto teksto ir duomenų bazės konfigūracijos failus.
- Ji palaiko įprastą išraišką, kad pasirinktinai įtrauktų arba neįtrauktų failų ir katalogų, kad būtų stebima
AIDE yra įtrauktas į šiuos UNIX paskirstymus
- Debian
- Gentoo
- „MacPorts“
- FreeBSD
- „CentOS“ / „RedHat“
- IPCop
- „OpenSUSE“
Svarbu paaiškinti, kad AIDE negali užtikrinti visiško failo pakeitimo saugumo, nes, kaip ir bet kuris kitas sistemos failas, AIDE duomenų bazę ir (arba) dvejetainius failus taip pat galima pakeisti naudojant atitinkamas priemones.
1. AIDE diegimas „Linux“
AIDE yra oficialiose populiariausių „Linux“ distribucijų saugyklose, todėl mes galime ją įdiegti naudodami paketų tvarkyklę pagal pasirinktą platinimą:
apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)
Šiuo atveju mes naudojame „Ubuntu“. Ten mes įvedame raidę S, kad sutiktume su AIDE atsisiuntimu ir įdiegimu. Įdiegę pamatysime šiuos dalykus:
Kaip matome, pagrindinis konfigūracijos failas yra /etc/aide/aide.conf. Norėdami peržiūrėti įdiegtą versiją ir kompiliavimo laiko parametrus, galime atlikti šiuos veiksmus:
padėjėjas -v
2. Prieiga prie AIDE Linux konfigūracijos failo
Mes galime pasiekti AIDE konfigūracijos failą vykdydami šią eilutę su norimu redaktoriumi:
nano /etc/aide/aide.confPamatysime šiuos dalykus:
Šiame faile randame direktyvas, apibrėžiančias duomenų bazės vietą, ataskaitos vietą, numatytąsias taisykles, katalogus ar failus, kurie turi būti įtraukti į duomenų bazę, ir daug daugiau.
3. Kaip valdyti ir suprasti AIDE taisykles
AIDE tvarko tokias taisykles kaip:
pLeidimai - leidimai
nNuorodų skaičius
arba= Vartotojas
gGrupės
sDydis (dydis)
bBlokų skaičius
mmtime
įlaikas
cctime
selinux„Selinux“ saugumo kontekstas
xattraiRodo išplėstinius failo atributus
Pagal šias taisykles AIDE konfigūracijos faile bus galima sukurti pasirinktines taisykles. Pavyzdžiui, galime sukurti šią taisyklę:
PERMS = p + u + g + acl + selinux + xattrsŠiuo atveju prieigos valdymui įgyvendinama PERMS taisyklė, kuri aptiks visus failo ar katalogų pakeitimus, pagrįstus failų ar katalogų leidimais, naudotoju, grupe, prieigos valdymo leidimais, failo atributais ir kt.
Kita taisyklė, kurią galime įgyvendinti, yra ta, kuri tikrina tik failo turinį ir pasirinktą failo tipą, pavyzdžiui:
TURINYS = sha256 + ftypeJei norime patvirtinti išplėstinį turinį, failo tipą ir prieigą, galime sukurti tokią taisyklę:
CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrsTaisyklė, padedanti aptikti katalogo pakeitimus tik duomenų lygiu, yra tokia:
DUOMENIS = p + n + u + g + s + acl + selinux + xattrs + sha256Šios taisyklės turi būti pridėtos AIDE konfigūracijos failo apačioje:
Pakeitimus išsaugome naudodami klavišus Ctrl + O ir išeiname naudodami Ctrl + X.
4. Kaip apibrėžti AIDE failų ir katalogų peržiūros taisykles
Naudojant AIDE taip pat bus galima sukurti tam tikrų failų ar katalogų analizės taisykles. Norėdami tai padaryti, mes vėl pasiekiame /etc/aide/aide.conf kelią ir galime sukurti šias taisykles:
/ root / \… * PERMS (ši taisyklė tikrina leidimus šakniniame kataloge) / root / CONTENT_EX (ši taisyklė tikrina visus root failus prieš bet kokius pakeitimus) / etc / DATAONLY (Ši taisyklė leidžia aptikti bet kokius katalogo pakeitimus /ir tt)
Pakeitimus galime išsaugoti AIDE konfigūracijos faile.
5. Kaip naudoti AIDE, norint patikrinti failus ir katalogų vientisumą „Linux“
Kai bus apibrėžtos taisyklės, kurios bus naudojamos su AIDE, kitas žingsnis bus sukurti duomenų bazę pagal patikrinimus, kurie bus atliekami naudojant parametrą --init.
Naudojant šią komandą bus sukurta duomenų bazė, kurioje yra visi AIDE konfigūracijos faile apibrėžti failai:
Padėjėjas -iš pradžių
Kai tai bus padaryta, prieš tęsdami pakeiskite duomenų bazės pavadinimą į /var/lib/aide/aide.db.gz, tam galime naudoti šią komandą:
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gzRekomenduojama šią duomenų bazę perkelti į saugią vietą, tačiau būtinai turime atnaujinti konfigūracijos failą, kad jį būtų galima perskaityti iš ten.
Toliau turime surinkti naują „Aide“ konfigūracijos failą. Mes vykdome šią komandą:
update-aide.confDabar nukopijuosime šį naują failą į / etc / aide katalogą:
cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.confSukūrę duomenų bazę, galime patikrinti failų ir katalogų vientisumą naudodami žymę -check:
padėjėjas -patikrinkite
6. Kaip įvertinti AIDE
Norėdami išbandyti AIDE veikimą, vykdysime šias eilutes:
mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1Su jais mes kuriame naują katalogą ir failus sistemoje. Vėliau vykdome šią eilutę, kad patvirtintume ir patvirtintume:
Padėjėjas -patikrinkiteRezultatas bus toks:
Ten matome, kad faile yra skirtumas ir nurodo, kokio tipo veiksmas buvo, papildymas, ištrynimas ar pakeitimas.
Tokiu būdu AIDE yra naudinga priemonė realiu laiku nustatyti sistemoje įvykusius pokyčius.