När du använder flera operativsystem är det idealiskt att alltid ha verktyg som gör att vi kan behålla centraliserad och direkt kontroll över det. En av de mest känsliga frågorna är utan tvekan filernas säkerhet och integritet, eftersom detta garanterar filernas tillgänglighet och tillförlitlighet.
Idag kommer Solvetic att prata om ett praktiskt verktyg som heter AIDE genom vilket det kommer att vara möjligt att kontrollera en fil eller katalogs integritet i de olika Linux -distributionerna och därmed vara säker på att den valda filen är fullständig tillförlitlig.
Vad är AIDEAIDE ((Advanced Intrusion Detection Environment) är en fil- och katalogintegritetsgranskare i Linux -miljöer så att vi som administratörer kan behålla specifik kontroll över dem.
Dess verksamhet består av att skapa en databas utformad utifrån de reguljära uttrycksreglerna som finns tillgängliga i konfigurationsfilerna. När denna databas har initierats kan den användas för att verifiera integriteten hos de nödvändiga filerna.
AIDE -filattributAIDE ansvarar för att bygga databasen från filerna som anges i aide.conf, som är AIDE -konfigurationsfilen. AIDE -databasen lagrar flera filattribut inom vilka vi har:
- typ av fil
- tillstånd
- användare och grupp
- filstorlek
- mtime, ctime och atime
- tillväxtstorlek
- antal länkar och länknamn.
Dessutom skapar AIDE en kryptografisk kontrollsumma eller hash för varje fil med en eller en kombination av följande meddelandesmältningsalgoritmer: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32, och även acl -attributen, xattr, selinux och e2fsattrs kan användas när det uttryckligen är aktiverat vid kompileringstidpunkten.
AIDE har flera meddelandesmältningsalgoritmer som används för att verifiera filens integritet. Alla vanliga filattribut kan också kontrolleras för inkonsekvenser i den. AIDE kan läsa databaser med äldre eller nyare versioner.
AIDE -funktionerGenom att använda detta verktyg har vi följande egenskaper:
- Algoritmer som stöds av meddelanden som: md5, sha1, rmd160, tigger, crc32, sha256, sha512, bubbelpool (dessutom med libmhash: gost, haval, crc32b)
- Filattribut som stöds: Filtyp, Behörigheter, Inode, Uid, Gid, Länknamn, Storlek, Blocknummer, Antal länkar, Mtime, Ctime och Atime
- Den har stöd för Posix ACL, SELinux, XAttrs och utökade filsystemattribut om stödet för enkelhetens skull sammanställs i ren text och databaskonfigurationsfiler
- Det har stöd för reguljärt uttryck för att selektivt inkludera eller utesluta filer och kataloger för att kunna övervakas
AIDE ingår i följande UNIX -distributioner
- Debian
- Gentoo
- MacPorts
- FreeBSD
- CentOS / RedHat
- IPCop
- OpenSUSE
Det är viktigt att förtydliga att AIDE inte kan ge absolut säkerhet för ändringen i en fil, eftersom databasen och / eller binärfilerna för AIDE också kan ändras med lämpliga verktyg, precis som alla andra systemfiler.
1. Installera AIDE på Linux
AIDE är tillgängligt i officiella arkiv för de mest populära Linux -distributionerna, för detta kan vi installera det med en pakethanterare enligt den valda distro så här:
apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)
I det här fallet använder vi Ubuntu. Där anger vi bokstaven S för att acceptera nedladdning och installation av AIDE. Efter installationen ser vi följande:
Som vi kan se är huvudkonfigurationsfilen /etc/aide/aide.conf. För att se den installerade versionen samt parametrarna för sammanställningstid kan vi utföra följande:
medhjälpare -v
2. Åtkomst till AIDE Linux -konfigurationsfilen
Vi kan komma åt AIDE -konfigurationsfilen genom att köra följande rad med önskad editor:
nano /etc/aide/aide.confVi kommer att se följande:
I den här filen hittar vi direktiv som definierar platsen för databasen, platsen för rapporten, standardreglerna, de kataloger eller filer som ska ingå i databasen och många fler.
3. Hur man hanterar och förstår AIDE -regler
AIDE hanterar regler som:
sidBehörigheter - Behörigheter
nAntal länkar
eller= Användare
gGrupper
sStorlek (storlek)
bBlockantal
mmtime
tillen tid
cctime
selinuxSelinux säkerhetskontext
xattrsVisar de utökade attributen för en fil
Från dessa regler är det möjligt att skapa anpassade regler i AIDE -konfigurationsfilen. Till exempel kan vi skapa följande regel:
PERMS = p + u + g + acl + selinux + xattrsI det här fallet implementeras PERMS -regeln för åtkomstkontroll, som kommer att upptäcka eventuella ändringar i filen eller katalogerna baserat på fil- eller katalogbehörigheter, användare, grupp, behörigheter för åtkomstkontroll, filattribut och mer.
En annan regel som vi kan implementera är en som bara kontrollerar filens innehåll och den valda filtypen, till exempel:
INNEHÅLL = sha256 + ftypeOm vi vill verifiera det utökade innehållet, filtypen och åtkomsten kan vi skapa en regel som:
CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrsEn regel som hjälper oss att upptäcka ändringar i katalogen endast på datanivå är:
DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256Dessa regler måste läggas till längst ner i AIDE -konfigurationsfilen:
Vi sparar ändringarna med Ctrl + O -tangenterna och avslutar med Ctrl + X.
4. Hur man definierar regler för visning av AIDE -filer och kataloger
Med AIDE blir det också möjligt att skapa regler för vissa filer eller kataloger som ska analyseras. För detta öppnar vi sökvägen /etc/aide/aide.conf igen och vi kan skapa följande regler:
/ root / \ … * PERMS (Denna regel kontrollerar behörigheterna i rotkatalogen) / root / CONTENT_EX (Denna regel kontrollerar alla filer i roten före eventuella ändringar) / etc / DATAONLY (Denna regel låter oss upptäcka eventuella ändringar i katalogen /etc)
Vi kan spara ändringarna i AIDE -konfigurationsfilen.
5. Hur man använder AIDE för att verifiera filer och katalogintegritet i Linux
När de regler som ska användas med AIDE har definierats är nästa steg att bygga databasen mot de kontroller som kommer att utföras med --init -parametern.
Med följande kommando skapas en databas som innehåller alla filer som vi definierar i AIDE -konfigurationsfilen:
Medhjälpare -init
När detta är gjort, fortsätt att ändra namnet på databasen till /var/lib/aide/aide.db.gz innan du fortsätter, för detta kan vi använda följande kommando:
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gzDet rekommenderas att flytta denna databas till en säker plats men vi måste se till att uppdatera konfigurationsfilen så att den kan läsas därifrån.
Därefter måste vi kompilera en ny Aide -konfigurationsfil. Vi utför följande kommando:
update-aide.confNu kommer vi att kopiera den här nya filen till katalogen / etc / aide:
cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.confNär databasen har skapats kan vi kontrollera filernas och katalogernas integritet med hjälp av -check -flaggan:
medhjälpare -kolla
6. Hur man utvärderar AIDE
För att testa driften av AIDE kör vi följande rader:
mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1Med dem skapar vi en ny katalog och filer på systemet. Senare kör vi följande rad för validering och verifiering:
Hjälp -kollaResultatet blir följande:
Där kan vi se att en skillnad finns i filen och anger vilken typ av åtgärd det var, tillägg, radering eller ändring.
På detta sätt är AIDE ett användbart verktyg för att i realtid bestämma de förändringar som har skett i systemet.