- 1. Instalarea AIDE pe Linux
- 2. Acces la fișierul de configurare AIDE Linux
- 3. Cum să gestionați și să înțelegeți regulile AIDE
- 4. Cum se definesc regulile pentru vizualizarea fișierelor și directoarelor AIDE
- 5. Cum se folosește AIDE pentru a verifica integritatea fișierelor și a directorului în Linux
- 6. Cum se evaluează AIDE
Atunci când se utilizează mai multe sisteme de operare, este ideal să avem întotdeauna instrumente care ne permit să menținem controlul centralizat și direct asupra acestuia. Una dintre cele mai delicate probleme este incontestabil securitatea și integritatea fișierelor, deoarece aceasta garantează disponibilitatea și fiabilitatea fișierelor.
Astăzi, Solvetic va vorbi despre un instrument practic numit AIDE, prin intermediul căruia va fi posibilă verificarea integrității unui fișier sau director în diferitele distribuții Linux și astfel să vă asigurați de fiabilitatea completă a fișierului selectat.
Ce este AIDEAIDE ((Advanced Intrusion Detection Environment) este un instrument de verificare a integrității fișierelor și directorului în mediile Linux care ne permite, în calitate de administratori, să menținem un control specific asupra acestora.
Funcționarea sa constă în crearea unei baze de date concepute din regulile de expresie regulată care sunt disponibile în fișierele de configurare. Odată ce această bază de date este inițializată, aceasta poate fi utilizată pentru a verifica integritatea fișierelor necesare.
Atributele fișierului AIDEAIDE este responsabil de construirea bazei de date din fișierele specificate în aide.conf, care este fișierul de configurare AIDE. Baza de date AIDE stochează mai multe atribute de fișiere, în cadrul cărora avem:
- tipul de fișier
- permise
- utilizator și grup
- mărime fișier
- mtime, ctime și atime
- mărimea creșterii
- numărul de link-uri și numele link-ului.
În plus, AIDE creează o sumă de verificare criptografică sau hash pentru fiecare fișier utilizând unul sau o combinație a următorilor algoritmi de rezolvare a mesajelor: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32, precum și atributele acl, xattr, selinux , și e2fsattrs pot fi folosite atunci când sunt activate în mod explicit la compilare.
AIDE are mai mulți algoritmi de rezolvare a mesajelor care sunt folosiți pentru a verifica integritatea fișierului. Toate atributele obișnuite ale fișierului pot fi verificate, de asemenea, pentru inconsistențe în cadrul acestuia. AIDE poate citi baze de date de versiuni mai vechi sau mai noi.
Caracteristici AIDEPrin utilizarea acestui instrument avem următoarele caracteristici:
- Algoritmi suportați pentru rezolvarea mesajelor, cum ar fi: md5, sha1, rmd160, tigger, crc32, sha256, sha512, jacuzzi (în plus cu libmhash: gost, haval, crc32b)
- Atribute de fișiere acceptate: Tip de fișier, Permisiuni, Inode, Uid, Gid, Nume link, Dimensiune, Număr bloc, Număr de legături, Mtime, Ctime și Atime
- Are suport pentru Posix ACL, SELinux, XAttrs și atribute extinse ale sistemului de fișiere dacă suportul este compilat în text simplu și fișiere de configurare a bazei de date pentru simplitate
- Are suport pentru exprimarea regulată pentru a include sau exclude selectiv fișiere și directoare pentru a putea fi monitorizate
AIDE este inclus în următoarele distribuții UNIX
- Debian
- Gentoo
- MacPorts
- FreeBSD
- CentOS / RedHat
- IPCop
- OpenSUSE
Este important să se clarifice faptul că AIDE nu poate oferi securitate absolută asupra modificării unui fișier, deoarece, ca orice alt fișier de sistem, baza de date și / sau binare ale AIDE pot fi, de asemenea, modificate folosind instrumentele adecvate.
1. Instalarea AIDE pe Linux
AIDE este disponibil în depozitele oficiale pentru cele mai populare distribuții Linux, pentru aceasta îl putem instala folosind un manager de pachete în funcție de distribuția selectată astfel:
apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)
În acest caz, folosim Ubuntu. Acolo introducem litera S pentru a accepta descărcarea și instalarea AIDE. Odată instalat vom vedea următoarele:
După cum putem vedea, fișierul principal de configurare este /etc/aide/aide.conf. Pentru a vizualiza versiunea instalată, precum și parametrii timpului de compilare, putem executa următoarele:
aide -v
2. Acces la fișierul de configurare AIDE Linux
Putem accesa fișierul de configurare AIDE executând următoarea linie cu editorul dorit:
nano /etc/aide/aide.confVom vedea următoarele:
În acest fișier găsim directive care definesc locația bazei de date, locația raportului, regulile implicite, directoarele sau fișierele care trebuie incluse în baza de date și multe altele.
3. Cum să gestionați și să înțelegeți regulile AIDE
AIDE gestionează reguli precum:
pPermisiuni - Permisiuni
nNumărul de legături
sau= Utilizator
gGrupuri
sDimensiune (Dimensiune)
bNumăr de blocuri
mmtime
lao vreme
cctime
selinuxContext de securitate Selinux
xattrsAfișează atributele extinse ale unui fișier
Din aceste reguli va fi posibil să creați reguli personalizate în fișierul de configurare AIDE. De exemplu, putem crea următoarea regulă:
PERMS = p + u + g + acl + selinux + xattrsÎn acest caz, regula PERMS este implementată pentru controlul accesului, care va detecta orice modificări ale fișierului sau directoarelor pe baza permisiunilor fișierului sau directorului, utilizatorului, grupului, permisiunilor controlului accesului, atributelor fișierului și multe altele.
O altă regulă pe care o putem implementa este una care verifică numai conținutul fișierului și tipul de fișier selectat, de exemplu:
CONTENT = sha256 + ftypeDacă dorim să verificăm conținutul extins, tipul de fișier și accesul, putem crea o regulă precum:
CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrsO regulă care ne ajută să detectăm modificările din director numai la nivel de date este:
DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256Aceste reguli trebuie adăugate în partea de jos a fișierului de configurare AIDE:
Salvăm modificările folosind tastele Ctrl + O și ieșim folosind Ctrl + X.
4. Cum se definesc regulile pentru vizualizarea fișierelor și directoarelor AIDE
Cu AIDE va fi, de asemenea, posibil să creați reguli pentru anumite fișiere sau directoare care urmează să fie analizate. Pentru aceasta accesăm din nou calea /etc/aide/aide.conf și putem crea următoarele reguli:
/ root / \ … * PERMS (Această regulă verifică permisiunile din directorul root) / root / CONTENT_EX (Această regulă verifică toate fișierele din root înainte de orice modificare) / etc / DATAONLY (Această regulă ne permite să detectăm orice modificare din director / etc)
Putem salva modificările în fișierul de configurare AIDE.
5. Cum se folosește AIDE pentru a verifica integritatea fișierelor și a directorului în Linux
Odată ce regulile care vor fi utilizate cu AIDE au fost definite, următorul pas va fi construirea bazei de date împotriva verificărilor care vor fi efectuate folosind parametrul --init.
Cu următoarea comandă va fi creată o bază de date care conține toate fișierele pe care le definim în fișierul de configurare AIDE:
Aide --init
Odată ce ați făcut acest lucru, continuați să schimbați numele bazei de date în /var/lib/aide/aide.db.gz înainte de a continua, pentru aceasta putem utiliza următoarea comandă:
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gzSe recomandă mutarea acestei baze de date într-o locație sigură, dar trebuie să fim siguri că actualizăm fișierul de configurare, astfel încât să poată fi citit de acolo.
Apoi, trebuie să compilăm un nou fișier de configurare Aide. Executăm următoarea comandă:
update-aide.confAcum vom copia acest nou fișier în directorul / etc / aide:
cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.confDupă crearea bazei de date, putem verifica integritatea fișierelor și a directoarelor folosind semnalizatorul -check:
asistent - verifică
6. Cum se evaluează AIDE
Pentru a testa funcționarea AIDE vom executa următoarele linii:
mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1Cu ei creăm un nou director și fișiere pe sistem. Mai târziu executăm următoarea linie pentru validarea și verificarea acesteia:
Asistent - verificăRezultatul va fi următorul:
Acolo putem vedea că o diferență se găsește în fișier și indică ce tip de acțiune a fost, adăugare, ștergere sau modificare.
În acest fel, AIDE este un instrument util pentru a determina în timp real schimbările care au avut loc în sistem.