Com comprovar la integritat del fitxer i el directori utilitzant AIDE a Linux
A la nostra megaguia per endurir i assegurar CentOS 7, a la secció \protegir el sistema internament, una de les eines de seguretat útils que hem enumerat per a la protecció interna del sistema contra virus, rootkits, programari maliciós i detecció d'activitats no autoritzades és AIDE.
AIDE (Advanced Intrusion Detection Environment) és una petita però potent eina gratuïta de detecció d'intrusions de codi obert, que utilitza regles predefinides per comprovar la integritat de fitxers i directoris en sistemes operatius semblants a Unix com Linux. És un binari estàtic independent per a configuracions simplificades de monitorització client/servidor.
És ric en funcions: utilitza fitxers de configuració de text sense format i base de dades per facilitar-ne l'ús; admet diversos algorismes de resum de missatges, com ara md5, sha1, rmd160, tiger; admet atributs de fitxer comuns; també admet potents expressions regulars per incloure o excloure de manera selectiva fitxers i directoris que s'han d'escanejar.
També es pot compilar amb un suport excepcional per a la compressió Gzip, Posix ACL, SELinux, XAttrs i els atributs del sistema de fitxers estès.
Aide funciona creant una base de dades (que és simplement una instantània de les parts seleccionades del sistema de fitxers), a partir de les regles d'expressió regular definides als fitxers de configuració. Un cop inicialitzada aquesta base de dades, podeu verificar la integritat dels fitxers del sistema. Aquesta guia mostrarà com instal·lar i utilitzar l'ajuda a Linux.
Com instal·lar AIDE a Linux
Aide està empaquetat als dipòsits oficials de distribucions de Linux principals, per instal·lar-lo, executeu l'ordre de la vostra distribució mitjançant un gestor de paquets.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Després d'instal·lar-lo, el fitxer de configuració principal és /etc/aide.conf. Per veure la versió instal·lada i els paràmetres de temps de compilació, executeu l'ordre següent al vostre terminal:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Podeu obrir la configuració amb el vostre editor preferit.
# vi /etc/aide.conf
Té directives que defineixen la ubicació de la base de dades, la ubicació de l'informe, les regles per defecte, els directoris/fitxers que s'han d'incloure a la base de dades.
Utilitzant les regles predeterminades anteriors, podeu definir regles personalitzades noves al fitxer aide.conf, per exemple.
PERMS = p+u+g+acl+selinux+xattrs
La regla PERMS només s'utilitza per al control d'accés, detectarà qualsevol canvi al fitxer o directoris en funció dels permisos del fitxer/directori, l'usuari, el grup, els permisos de control d'accés, el context SELinux i els atributs del fitxer.
Això només comprovarà el contingut i el tipus de fitxer.
CONTENT = sha256+ftype
Aquesta és una versió ampliada de la regla anterior, comprova el contingut estès, el tipus de fitxer i l'accés.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
La regla DATAONLY a continuació ajudarà a detectar qualsevol canvi en les dades dins de tots els fitxers/directori.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Definició de regles per veure fitxers i directoris
Un cop hàgiu definit les regles, podeu especificar el fitxer i els directoris a mirar. Tenint en compte la regla PERMS anterior, aquesta definició comprovarà els permisos de tots els fitxers del directori arrel.
/root/\..* PERMS
Això comprovarà tots els fitxers del directori /root per si hi ha canvis.
/root/ CONTENT_EX
Per ajudar-vos a detectar qualsevol canvi en les dades dins de tots els fitxers/directori a /etc/, feu servir això.
/etc/ DATAONLY
Ús d'AIDE per comprovar la integritat de fitxers i directoris a Linux
Comenceu per construir una base de dades amb les comprovacions que es realitzaran amb el senyalador --init. S'espera que això es faci abans que el vostre sistema estigui connectat a una xarxa.
L'ordre següent crearà una base de dades que conté tots els fitxers que heu seleccionat al vostre fitxer de configuració.
# aide --init
A continuació, canvieu el nom de la base de dades a /var/lib/aide/aide.db.gz abans de continuar, utilitzant aquesta ordre.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Es recomana moure la base de dades a una ubicació segura possiblement en un suport de només lectura o en altres màquines, però assegureu-vos que actualitzeu el fitxer de configuració per llegir-lo des d'allà.
Després de crear la base de dades, ara podeu comprovar la integritat dels fitxers i directoris utilitzant el senyalador --check.
# aide --check
Llegirà la instantània a la base de dades i la compararà amb els fitxers/directoris trobats al disc del sistema. Si troba canvis en llocs que potser no espereu, genera un informe que podeu revisar.
Com que no s'han fet canvis al sistema de fitxers, només obtindreu una sortida similar a la anterior. Ara proveu de crear alguns fitxers al sistema de fitxers, a les àrees definides al fitxer de configuració.
# vi /etc/script.sh # touch all.txt
A continuació, feu una comprovació una vegada més, que hauria d'informar dels fitxers afegits anteriorment. La sortida d'aquesta ordre depèn de les parts del sistema de fitxers que hàgiu configurat per comprovar-ho, pot ser llarga hora extraordinària.
# aide --check
Heu d'executar comprovacions d'ajuda regularment i, en cas de canvis als fitxers ja seleccionats o d'afegir noves definicions de fitxers al fitxer de configuració, actualitzeu sempre la base de dades mitjançant l'opció --update:
# aide --update
Després d'executar una actualització de base de dades, per utilitzar la nova base de dades per a exploracions futures, canvieu-la sempre el nom a /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Això és tot per ara! Però tingueu en compte aquests punts importants:
- Una característica de la majoria dels sistemes de detecció d'intrusions AIDE, inclòs, és que no proporcionaran solucions a la majoria dels forats de bucle de seguretat d'un sistema. Tanmateix, ajuden a facilitar el procés de resposta a la intrusió ajudant els administradors del sistema a examinar qualsevol canvi als fitxers/directoris del sistema. Per tant, heu d'estar sempre atents i mantenir actualitzant les vostres mesures de seguretat actuals.
- És molt recomanable mantenir la base de dades acabada de crear, el fitxer de configuració i el binari AIDE en una ubicació segura, com ara suports de només lectura (possible si instal·leu des de la font).
- Per a més seguretat, penseu a signar la configuració i/o la base de dades.
Per obtenir informació i configuracions addicionals, consulteu la seva pàgina de manual o consulteu la pàgina d'inici d'AIDE: http://aide.sourceforge.net/