Hur man kontrollerar fil- eller katalogintegritet med AIDE på Linux

Hur man kontrollerar fil- eller katalogintegritet med AIDE på Linux

När du använder flera operativsystem är det idealiskt att alltid ha verktyg som gör att vi kan behålla centraliserad och direkt kontroll över det. En av de mest känsliga frågorna är utan tvekan filernas säkerhet och integritet, eftersom detta garanterar filernas tillgänglighet och tillförlitlighet.

Idag kommer Solvetic att prata om ett praktiskt verktyg som heter AIDE genom vilket det kommer att vara möjligt att kontrollera en fil eller katalogs integritet i de olika Linux -distributionerna och därmed vara säker på att den valda filen är fullständig tillförlitlig.

Vad är AIDEAIDE ((Advanced Intrusion Detection Environment) är en fil- och katalogintegritetsgranskare i Linux -miljöer så att vi som administratörer kan behålla specifik kontroll över dem.
Dess verksamhet består av att skapa en databas utformad utifrån de reguljära uttrycksreglerna som finns tillgängliga i konfigurationsfilerna. När denna databas har initierats kan den användas för att verifiera integriteten hos de nödvändiga filerna.

AIDE -filattributAIDE ansvarar för att bygga databasen från filerna som anges i aide.conf, som är AIDE -konfigurationsfilen. AIDE -databasen lagrar flera filattribut inom vilka vi har:

  • typ av fil
  • tillstånd
  • användare och grupp
  • filstorlek
  • mtime, ctime och atime
  • tillväxtstorlek
  • antal länkar och länknamn.

Dessutom skapar AIDE en kryptografisk kontrollsumma eller hash för varje fil med en eller en kombination av följande meddelandesmältningsalgoritmer: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32, och även acl -attributen, xattr, selinux och e2fsattrs kan användas när det uttryckligen är aktiverat vid kompileringstidpunkten.

AIDE har flera meddelandesmältningsalgoritmer som används för att verifiera filens integritet. Alla vanliga filattribut kan också kontrolleras för inkonsekvenser i den. AIDE kan läsa databaser med äldre eller nyare versioner.

AIDE -funktionerGenom att använda detta verktyg har vi följande egenskaper:

  • Algoritmer som stöds av meddelanden som: md5, sha1, rmd160, tigger, crc32, sha256, sha512, bubbelpool (dessutom med libmhash: gost, haval, crc32b)
  • Filattribut som stöds: Filtyp, Behörigheter, Inode, Uid, Gid, Länknamn, Storlek, Blocknummer, Antal länkar, Mtime, Ctime och Atime
  • Den har stöd för Posix ACL, SELinux, XAttrs och utökade filsystemattribut om stödet för enkelhetens skull sammanställs i ren text och databaskonfigurationsfiler
  • Det har stöd för reguljärt uttryck för att selektivt inkludera eller utesluta filer och kataloger för att kunna övervakas
Du kan komprimera gzip -databasen om zlib -stödet sammanställs till en separat statisk binär för klient / serverövervakningskonfigurationer.

AIDE ingår i följande UNIX -distributioner

  • Debian
  • Gentoo
  • MacPorts
  • FreeBSD
  • CentOS / RedHat
  • IPCop
  • OpenSUSE

Det är viktigt att förtydliga att AIDE inte kan ge absolut säkerhet för ändringen i en fil, eftersom databasen och / eller binärfilerna för AIDE också kan ändras med lämpliga verktyg, precis som alla andra systemfiler.

1. Installera AIDE på Linux


AIDE är tillgängligt i officiella arkiv för de mest populära Linux -distributionerna, för detta kan vi installera det med en pakethanterare enligt den valda distro så här: 
 apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)

I det här fallet använder vi Ubuntu. Där anger vi bokstaven S för att acceptera nedladdning och installation av AIDE. Efter installationen ser vi följande:

Som vi kan se är huvudkonfigurationsfilen /etc/aide/aide.conf. För att se den installerade versionen samt parametrarna för sammanställningstid kan vi utföra följande: 

 medhjälpare -v

2. Åtkomst till AIDE Linux -konfigurationsfilen


Vi kan komma åt AIDE -konfigurationsfilen genom att köra följande rad med önskad editor: 
 nano /etc/aide/aide.conf
Vi kommer att se följande:

I den här filen hittar vi direktiv som definierar platsen för databasen, platsen för rapporten, standardreglerna, de kataloger eller filer som ska ingå i databasen och många fler.

3. Hur man hanterar och förstår AIDE -regler

AIDE hanterar regler som:

sidBehörigheter - Behörigheter
nAntal länkar
eller= Användare
gGrupper
sStorlek (storlek)
bBlockantal
mmtime
tillen tid
cctime
selinuxSelinux säkerhetskontext
xattrsVisar de utökade attributen för en fil

Från dessa regler är det möjligt att skapa anpassade regler i AIDE -konfigurationsfilen. Till exempel kan vi skapa följande regel: 

 PERMS = p + u + g + acl + selinux + xattrs
I det här fallet implementeras PERMS -regeln för åtkomstkontroll, som kommer att upptäcka eventuella ändringar i filen eller katalogerna baserat på fil- eller katalogbehörigheter, användare, grupp, behörigheter för åtkomstkontroll, filattribut och mer.

En annan regel som vi kan implementera är en som bara kontrollerar filens innehåll och den valda filtypen, till exempel: 

 INNEHÅLL = sha256 + ftype
Om vi ​​vill verifiera det utökade innehållet, filtypen och åtkomsten kan vi skapa en regel som: 
 CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrs
En regel som hjälper oss att upptäcka ändringar i katalogen endast på datanivå är: 
 DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256
Dessa regler måste läggas till längst ner i AIDE -konfigurationsfilen:

Vi sparar ändringarna med Ctrl + O -tangenterna och avslutar med Ctrl + X.

4. Hur man definierar regler för visning av AIDE -filer och kataloger


Med AIDE blir det också möjligt att skapa regler för vissa filer eller kataloger som ska analyseras. För detta öppnar vi sökvägen /etc/aide/aide.conf igen och vi kan skapa följande regler: 
 / root / \ … * PERMS (Denna regel kontrollerar behörigheterna i rotkatalogen) / root / CONTENT_EX (Denna regel kontrollerar alla filer i roten före eventuella ändringar) / etc / DATAONLY (Denna regel låter oss upptäcka eventuella ändringar i katalogen /etc)

Vi kan spara ändringarna i AIDE -konfigurationsfilen.

5. Hur man använder AIDE för att verifiera filer och katalogintegritet i Linux


När de regler som ska användas med AIDE har definierats är nästa steg att bygga databasen mot de kontroller som kommer att utföras med --init -parametern.

Med följande kommando skapas en databas som innehåller alla filer som vi definierar i AIDE -konfigurationsfilen: 

 Medhjälpare -init

När detta är gjort, fortsätt att ändra namnet på databasen till /var/lib/aide/aide.db.gz innan du fortsätter, för detta kan vi använda följande kommando: 

 mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gz
Det rekommenderas att flytta denna databas till en säker plats men vi måste se till att uppdatera konfigurationsfilen så att den kan läsas därifrån.

Därefter måste vi kompilera en ny Aide -konfigurationsfil. Vi utför följande kommando: 

 update-aide.conf
Nu kommer vi att kopiera den här nya filen till katalogen / etc / aide: 
 cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf
När databasen har skapats kan vi kontrollera filernas och katalogernas integritet med hjälp av -check -flaggan: 
 medhjälpare -kolla

6. Hur man utvärderar AIDE


För att testa driften av AIDE kör vi följande rader: 
 mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1
Med dem skapar vi en ny katalog och filer på systemet. Senare kör vi följande rad för validering och verifiering: 
 Hjälp -kolla
Resultatet blir följande:

Där kan vi se att en skillnad finns i filen och anger vilken typ av åtgärd det var, tillägg, radering eller ändring.
På detta sätt är AIDE ett användbart verktyg för att i realtid bestämma de förändringar som har skett i systemet.

Du kommer att bidra till utvecklingen av webbplatsen, dela sidan med dina vänner

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Hur man skapar ett USB -verktyg för att återställa Chrome OS -system
2
post-title
Hur man tvingar avstängning och tvingar omstart på Samsung Galaxy S10
3
post-title
▷ Migrera Outlook till en annan dator ✔️ Flytta mappar
4
post-title
Nginx - Första stegen
5
post-title
Hur man aktiverar autoslutförande i terminal - Linux

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -