Alat pemantauan

Cara Memeriksa Integriti Fail dan Direktori Menggunakan Aide di Linux

Cara Memeriksa Integriti Fail dan Direktori Menggunakan Aide di Linux

Dalam Panduan Mega kami untuk mengeras dan mengamankan Centos 7, di bawah seksyen "melindungi sistem secara dalaman", Salah satu alat keselamatan yang berguna yang kami disenaraikan untuk perlindungan sistem dalaman terhadap virus, akar, perisian hasad, dan pengesanan aktiviti yang tidak dibenarkan adalah Pembantu.

Pembantu (Persekitaran pengesanan pencerobohan lanjutan) adalah alat pengesanan pencerobohan sumber terbuka yang kecil namun berkuasa, yang menggunakan peraturan yang telah ditetapkan untuk memeriksa integriti fail dan direktori dalam sistem operasi seperti Unix seperti Linux. Ini adalah binari statik bebas untuk konfigurasi pemantauan klien/pelayan yang dipermudahkan.

Ia kaya ciri: menggunakan fail konfigurasi teks biasa dan pangkalan data menjadikannya mudah digunakan; Menyokong beberapa algoritma pencernaan mesej seperti tetapi tidak terhad kepada MD5, SHA1, RMD160, Tiger; menyokong atribut fail biasa; juga menyokong ungkapan biasa yang kuat untuk secara selektif memasukkan atau mengecualikan fail dan direktori untuk diimbas.

Juga dapat disusun dengan sokongan luar biasa untuk pemampatan GZIP, POSIX ACL, SELinux, XATTRS dan atribut sistem fail lanjutan.

AID berfungsi dengan membuat pangkalan data (yang hanya merupakan gambar bahagian yang dipilih dari sistem fail), dari peraturan ekspresi biasa yang ditakrifkan dalam fail konfigurasi (s). Sebaik sahaja pangkalan data ini dimulakan, anda boleh mengesahkan integriti fail sistem terhadapnya. Panduan ini akan menunjukkan cara memasang dan menggunakan pembantu di linux.

Cara memasang pembantu di linux

Aide dibungkus dalam repositori rasmi pengagihan linux arus perdana, untuk memasangnya menjalankan arahan untuk pengedaran anda menggunakan pengurus pakej.

# apt Pasang pembantu [pada debian/ubuntu] # yum memasang pembantu [pada rhel/centos] # DNF memasang pembantu [pada fedora 22+] # zypper pemasangan aide [on opensuse] # emerge aide [on gentoo]

Setelah memasangnya, fail konfigurasi utama adalah /etc/aide.Conf. Untuk melihat versi yang dipasang serta menyusun parameter masa, jalankan arahan di bawah di terminal anda:

# aide -v
Output sampel
Pembantu 0.14 disusun dengan pilihan berikut: with_mmap with_posix_acl with_selinux with_prelink with_xattr with_lstat64 with_readdir64 with_zlib with_gcrypt with_audit config_file = "/etc/aide.conf "

Anda boleh membuka konfigurasi menggunakan editor kegemaran anda.

# vi /etc /aide.Conf

Ia mempunyai arahan yang menentukan lokasi pangkalan data, lokasi laporan, peraturan lalai, direktori/fail yang akan dimasukkan ke dalam pangkalan data.

Memahami peraturan pembantu lalai

Peraturan lalai pembantu

Menggunakan peraturan lalai di atas, anda boleh menentukan peraturan tersuai baru di pembantu.Conf Fail misalnya.

Perm = p+u+g+acl+selinux+xattrs

The Perms Peraturan digunakan untuk kawalan akses sahaja, ia akan mengesan sebarang perubahan pada fail atau direktori berdasarkan keizinan fail/direktori, pengguna, kumpulan, kebenaran kawalan akses, konteks selinux dan atribut fail.

Ini hanya akan menyemak kandungan fail dan jenis fail.

Kandungan = sha256+ftype

Ini adalah versi lanjutan peraturan sebelumnya, ia memeriksa kandungan, jenis fail dan akses yang dilanjutkan.

Content_ex = sha256+ftype+p+u+g+n+acl+selinux+xattrs

The Dataonly Peraturan di bawah akan membantu mengesan sebarang perubahan dalam data di dalam semua fail/direktori.

Dataonly = p+n+u+g+s+acl+selinux+xattrs+sha256
Konfigurasikan peraturan pembantu

Menentukan peraturan untuk menonton fail dan direktori

Sebaik sahaja anda telah menentukan peraturan, anda boleh menentukan fail dan direktori untuk ditonton. Memandangkan peraturan Perms di atas, definisi ini akan memeriksa kebenaran untuk semua fail dalam direktori root.

/root/\ ... * perm

Ini akan memeriksa semua fail di /root Direktori untuk sebarang perubahan.

/ root/ content_ex

Untuk membantu anda mengesan sebarang perubahan dalam data di dalam semua fail/direktori di bawah /dan lain-lain/, guna ini.

/ sebagainya/ data
Konfigurasikan peraturan pembantu untuk sistem fail

Menggunakan pembantu untuk menyemak fail dan integriti direktori di Linux

Mulakan dengan membina pangkalan data terhadap cek yang akan dilakukan dengan menggunakan --di dalamnya bendera. Ini dijangka dilakukan sebelum sistem anda disambungkan ke rangkaian.

Perintah di bawah akan membuat pangkalan data yang mengandungi semua fail yang anda pilih dalam fail konfigurasi anda.

# pembantu -init
Inisialisasi pangkalan data pembantu

Kemudian menamakan semula pangkalan data ke /var/lib/aide/aide.db.Gz Sebelum meneruskan, menggunakan arahan ini.

# mv/var/lib/aide/aide.db.baru.gz/var/lib/aide/aide.db.Gz

Adalah disyorkan untuk memindahkan pangkalan data ke lokasi yang selamat mungkin dalam media baca sahaja atau di mesin lain, tetapi pastikan anda mengemas kini fail konfigurasi untuk membacanya dari sana.

Selepas pangkalan data dibuat, kini anda boleh menyemak integriti fail dan direktori menggunakan --periksa bendera.

# AIDE -CHECK

Ia akan membaca gambar dalam pangkalan data dan membandingkannya dengan fail/direktori yang dijumpai anda cakera sistem. Sekiranya ia mendapati perubahan di tempat yang mungkin tidak anda harapkan, ia menghasilkan laporan yang boleh anda semak.

Jalankan Pemeriksaan Integriti Fail

Oleh kerana tiada perubahan telah dibuat ke sistem fail, anda hanya akan mendapat output yang serupa dengan yang di atas. Sekarang cuba buat beberapa fail dalam sistem fail, di kawasan yang ditakrifkan dalam fail konfigurasi.

# vi /etc /skrip.sh # sentuh semua.txt

Kemudian jalankan cek sekali lagi, yang sepatutnya melaporkan fail yang ditambahkan di atas. Output arahan ini bergantung pada bahagian sistem fail yang anda konfigurasikan untuk diperiksa, ia boleh menjadi lebih lama.

# AIDE -CHECK
Semak perubahan sistem fail

Anda perlu menjalankan pemeriksaan pembantu dengan kerap, dan sekiranya berlaku sebarang perubahan kepada fail yang telah dipilih atau penambahan definisi fail baru dalam fail konfigurasi, selalu kemas kini pangkalan data menggunakan --Kemas kini pilihan:

# AIDE --update

Setelah menjalankan kemas kini pangkalan data, untuk menggunakan pangkalan data baru untuk imbasan masa depan, selalu menamakannya /var/lib/aide/aide.db.Gz:

# mv/var/lib/aide/aide.db.baru.gz/var/lib/aide/aide.db.Gz

Itu sahaja buat masa ini! Tetapi perhatikan perkara -perkara penting ini:

  • Salah satu ciri sistem pengesanan pencerobohan yang paling termasuk, adalah bahawa mereka tidak akan memberikan penyelesaian kepada kebanyakan lubang gelung keselamatan pada sistem. Walau bagaimanapun, mereka membantu mengurangkan proses tindak balas pencerobohan dengan membantu pentadbir sistem meneliti sebarang perubahan kepada fail sistem/direktori. Oleh itu, anda harus sentiasa berhati -hati dan terus mengemas kini langkah keselamatan semasa anda.
  • Ia sangat disyorkan untuk memastikan pangkalan data yang baru dibuat, fail konfigurasi dan binari pembantu di lokasi yang selamat seperti media baca sahaja (mungkin jika anda memasang dari sumber).
  • Untuk keselamatan tambahan, pertimbangkan untuk menandatangani konfigurasi dan/atau pangkalan data.

Untuk maklumat dan konfigurasi tambahan, lihat halaman lelaki atau lihat halaman utama pembantu: http: // aide.SourceForge.bersih/