Hvernig á að athuga heiðarleika skráar og skráar með því að nota „AIDE“ í Linux


Í megahandbókinni okkar um að herða og tryggja CentOS 7, undir hlutanum „vernda kerfið innbyrðis“, er eitt af gagnlegu öryggisverkfærunum sem við skráðum fyrir innri kerfisvörn gegn vírusum, rótarsettum, spilliforritum og uppgötvun óviðkomandi athafna AIDE.

AIDE (Advanced Intrusion Detection Environment) er lítið en öflugt, ókeypis opinn uppspretta innbrotsskynjunarverkfæri, sem notar fyrirfram skilgreindar reglur til að athuga heilleika skráa og skráa í Unix-líkum stýrikerfum eins og Linux. Það er óháður kyrrstæður tvíundir fyrir einfaldaðar stillingar viðskiptavina/miðlara eftirlits.

Það er ríkt af eiginleikum: notar textastillingarskrár og gagnagrunn sem gerir það auðvelt í notkun; styður nokkur skilaboðasamþykkt reiknirit eins og en takmarkast ekki við md5, sha1, rmd160, tiger; styður algenga skráareiginleika; styður einnig öflugar reglubundnar tjáningar til að taka með eða útiloka skrár og möppur sem á að skanna.

Einnig er hægt að setja það saman með óvenjulegum stuðningi fyrir Gzip þjöppun, Posix ACL, SELinux, XAttrs og Extended skráarkerfiseiginleika.

Aðstoðarmaður vinnur með því að búa til gagnagrunn (sem er einfaldlega skyndimynd af völdum hlutum skráarkerfisins), út frá reglum um reglubundnar tjáningar sem skilgreindar eru í stillingarskránni(unum). Þegar þessi gagnagrunnur hefur verið frumstilltur geturðu sannreynt heilleika kerfisskránna gegn honum. Þessi handbók mun sýna hvernig á að setja upp og nota aide í Linux.

Hvernig á að setja upp AIDE í Linux

Aide er pakkað í opinberar geymslur almennra Linux dreifinga, til að setja það upp skaltu keyra skipunina fyrir dreifingu þína með því að nota pakkastjóra.

# apt install aide 	   [On Debian/Ubuntu]
# yum install aide	   [On RHEL/CentOS] 	
# dnf install aide	   [On Fedora 22+]
# zypper install aide	   [On openSUSE]
# emerge aide 	           [On Gentoo]

Eftir uppsetningu er aðalstillingarskráin /etc/aide.conf. Til að skoða uppsettu útgáfuna og safna saman tímabreytum skaltu keyra skipunina hér að neðan á flugstöðinni þinni:

# aide -v
Aide 0.14

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Þú getur opnað stillingarnar með uppáhalds ritlinum þínum.

# vi /etc/aide.conf

Það hefur tilskipanir sem skilgreina staðsetningu gagnagrunnsins, staðsetningu skýrslunnar, sjálfgefnar reglur, möppur/skrár sem á að vera með í gagnagrunninum.

Með því að nota ofangreindar sjálfgefnar reglur geturðu til dæmis skilgreint nýjar sérsniðnar reglur í aide.conf skránni.

PERMS = p+u+g+acl+selinux+xattrs

PERMS reglan er eingöngu notuð fyrir aðgangsstýringu, hún mun greina allar breytingar á skrá eða möppum byggðar á heimildum skráa/möppu, notanda, hóps, aðgangsstýringarheimilda, SELinux samhengi og skráareiginleika.

Þetta mun aðeins athuga innihald skráar og skráargerð.

CONTENT = sha256+ftype

Þetta er útbreidd útgáfa af fyrri reglu, hún athugar aukið efni, skráargerð og aðgang.

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

DATAONLY reglan hér að neðan mun hjálpa til við að greina allar breytingar á gögnum í öllum skrám/möppum.

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

Að skilgreina reglur til að horfa á skrár og möppur

Þegar þú hefur skilgreint reglur geturðu tilgreint skrána og möppurnar sem á að horfa á. Miðað við PERMS regluna hér að ofan mun þessi skilgreining athuga heimildir fyrir allar skrár í rótarskránni.

/root/\..*  PERMS

Þetta mun athuga allar skrár í /rótarskránni fyrir allar breytingar.

/root/   CONTENT_EX

Til að hjálpa þér að greina allar breytingar á gögnum í öllum skrám/möppu undir /etc/, notaðu þetta.

/etc/   DATAONLY 

Notkun AIDE til að athuga heiðarleika skráa og skráa í Linux

Byrjaðu á því að smíða gagnagrunn á móti þeim athugunum sem verða framkvæmdar með því að nota --init fána. Gert er ráð fyrir að þetta verði gert áður en kerfið þitt er tengt við netkerfi.

Skipunin hér að neðan mun búa til gagnagrunn sem inniheldur allar skrárnar sem þú valdir í stillingarskránni þinni.

# aide --init

Endurnefna síðan gagnagrunninn í /var/lib/aide/aide.db.gz áður en þú heldur áfram með þessari skipun.

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Mælt er með því að færa gagnagrunninn á öruggan stað, hugsanlega á skrifvarinn miðli eða á öðrum vélum, en vertu viss um að þú uppfærir stillingarskrána til að lesa hana þaðan.

Eftir að gagnagrunnurinn er búinn til geturðu athugað heilleika skránna og möppanna með því að nota --check fánann.

# aide --check

Það mun lesa skyndimyndina í gagnagrunninum og bera það saman við skrárnar/möppurnar sem fundust á kerfisdiskinum. Ef það finnur breytingar á stöðum sem þú gætir ekki búist við, býr það til skýrslu sem þú getur síðan skoðað.

Þar sem engar breytingar hafa verið gerðar á skráarkerfinu færðu aðeins úttak svipað og hér að ofan. Reyndu nú að búa til nokkrar skrár í skráarkerfinu, á svæðum sem eru skilgreind í stillingarskránni.

# vi /etc/script.sh
# touch all.txt

Keyrðu síðan athugun aftur, sem ætti að tilkynna um skrárnar sem bætt var við hér að ofan. Framleiðsla þessarar skipunar fer eftir hlutum skráarkerfisins sem þú stilltir til að athuga, það getur verið löng yfirvinna.

# aide --check

Þú þarft að keyra aðstoðareftirlit reglulega og ef einhverjar breytingar verða á þegar völdum skrám eða bæta við nýjum skráarskilgreiningum í stillingarskránni skaltu alltaf uppfæra gagnagrunninn með --update valkostinum:

# aide --update

Eftir að hafa keyrt gagnagrunnsuppfærslu, til að nota nýja gagnagrunninn fyrir framtíðarskannanir, skaltu alltaf endurnefna hann í /var/lib/aide/aide.db.gz:

# mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

Það er allt í bili! En takið eftir þessum mikilvægu atriðum:

  • Eitt sem einkennir flest innbrotsskynjunarkerfi AIDE að meðtöldum, er að þau munu ekki veita lausnir á flestum öryggisgatum á kerfi. Þeir aðstoða hins vegar við að auðvelda innrásarviðbragðsferlið með því að hjálpa kerfisstjórum að skoða allar breytingar á kerfisskrám/möppum. Svo þú ættir alltaf að vera á varðbergi og halda áfram að uppfæra núverandi öryggisráðstafanir.
  • Það er mjög mælt með því að geyma nýstofnaða gagnagrunninn, stillingarskrána og AIDE tvöfaldann á öruggum stað eins og skrifvarinn miðli (mögulegt ef þú setur upp frá uppruna).
  • Til að auka öryggi skaltu íhuga að undirrita stillingarnar og/eða gagnagrunninn.

Fyrir frekari upplýsingar og stillingar, sjáðu mannasíðu þess eða skoðaðu AIDE heimasíðuna: http://aide.sourceforge.net/