Sådan kontrolleres fil- eller biblioteksintegritet med AIDE på Linux

Når du bruger flere operativsystemer, er det ideelt altid at have værktøjer, der giver os mulighed for at opretholde centraliseret og direkte kontrol over det. Et af de mest sarte spørgsmål er uden tvivl filernes sikkerhed og integritet, da dette garanterer filernes tilgængelighed og pålidelighed.

I dag vil Solvetic tale om et praktisk værktøj kaldet AIDE, hvorigennem det vil være muligt at kontrollere integriteten af ​​en fil eller et bibliotek i de forskellige Linux -distributioner og dermed være sikker på, at den valgte fil er fuldstændig pålidelig.

Hvad er AIDEAIDE ((Advanced Intrusion Detection Environment) er en fil- og biblioteksintegritetskontrol i Linux -miljøer, der giver os som administratorer mulighed for at opretholde specifik kontrol over dem.
Dets drift består i at oprette en database designet ud fra de regulære udtryksregler, der er tilgængelige i konfigurationsfilerne. Når denne database er initialiseret, kan den bruges til at kontrollere integriteten af ​​de nødvendige filer.

AIDE -filattributterAIDE er ansvarlig for at bygge databasen ud fra de filer, der er angivet i aide.conf, som er AIDE -konfigurationsfilen. AIDE -databasen gemmer flere filattributter, inden for hvilke vi har:

• filtype

• tilladelser

• bruger og gruppe

• filstørrelse

• mtime, ctime og atime

• vækststørrelse

• antal links og linknavn.

Derudover opretter AIDE en kryptografisk checksum eller hash for hver fil ved hjælp af en eller en kombination af følgende meddelelsesfordelingsalgoritmer: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32, og også acl -attributter, xattr, selinux og e2fsattrs kan bruges, når de eksplicit er aktiveret på kompileringstidspunktet.

AIDE har flere meddelelsesfordelingsalgoritmer, der bruges til at verificere filens integritet. Alle de sædvanlige filattributter kan også kontrolleres for inkonsekvenser i den. AIDE er i stand til at læse databaser med ældre eller nyere versioner.

AIDE -funktionerVed at bruge dette værktøj har vi følgende egenskaber:

• Besked fordøjede understøttede algoritmer som: md5, sha1, rmd160, tigger, crc32, sha256, sha512, whirlpool (desuden med libmhash: gost, haval, crc32b)

• Understøttede filattributter: Filtype, Tilladelser, Inode, Uid, Gid, Linknavn, Størrelse, Bloknummer, Antal links, Mtime, Ctime og Atime

• Det har understøttelse af Posix ACL, SELinux, XAttrs og udvidede filsystemattributter, hvis understøttelsen er forenklet til almindelig tekst og databasekonfigurationsfiler

• Det har regelmæssig udtryksstøtte til selektivt at inkludere eller ekskludere filer og mapper for at blive overvåget

Du er i stand til at komprimere gzip -databasen, hvis zlib -understøttelsen er samlet til en separat statisk binær til klient / server -overvågningskonfigurationer.

AIDE er inkluderet i følgende UNIX -distributioner

• Debian

• Gentoo

• MacPorts

• FreeBSD

• CentOS / RedHat

• IPCop

• OpenSUSE

Det er vigtigt at præcisere, at AIDE ikke kan give absolut sikkerhed ved ændringen i en fil, da databasen og / eller binærerne til AIDE også kan ændres ved hjælp af de relevante værktøjer som enhver anden systemfil.

1. Installation af AIDE på Linux

AIDE er tilgængelig i officielle lagre for de mest populære Linux -distributioner, til dette kan vi installere det ved hjælp af en pakkehåndtering i henhold til den valgte distro som denne:

 apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)

I dette tilfælde bruger vi Ubuntu. Der indtaster vi bogstavet S for at acceptere download og installation af AIDE. Når det er installeret, ser vi følgende:

Som vi kan se, er hovedkonfigurationsfilen /etc/aide/aide.conf. For at se den installerede version samt parametrene for kompileringstid kan vi udføre følgende:

 medhjælper -v

2. Adgang til AIDE Linux -konfigurationsfilen

Vi kan få adgang til AIDE -konfigurationsfilen ved at udføre følgende linje med den ønskede editor:

 nano /etc/aide/aide.conf

Vi vil se følgende:

I denne fil finder vi direktiver, der definerer placeringen af ​​databasen, rapportens placering, standardreglerne, de mapper eller filer, der skal inkluderes i databasen, og mange flere.

3. Sådan håndteres og forstås AIDE -regler

AIDE administrerer regler som:

s. sTilladelser - Tilladelser
nAntal links
eller= Bruger
gGrupper
sStørrelse (størrelse)
bBloktal
mmtime
tilen tid
cctime
selinuxSelinux sikkerhedskontekst
xattrsViser de filers udvidede attributter

Fra disse regler vil det være muligt at oprette brugerdefinerede regler i AIDE -konfigurationsfilen. For eksempel kan vi oprette følgende regel:

 PERMS = p + u + g + acl + selinux + xattrs

I dette tilfælde implementeres PERMS -reglen for adgangskontrol, som registrerer eventuelle ændringer i filen eller mapper baseret på fil- eller bibliotektilladelser, bruger, gruppe, adgangskontroltilladelser, filattributter og mere.

En anden regel, som vi kan implementere, er en, der kun kontrollerer filens indhold og den valgte filtype, for eksempel:

 INDHOLD = sha256 + ftype

Hvis vi vil kontrollere det udvidede indhold, filtypen og adgangen, kan vi oprette en regel som:

 CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrs

En regel, der hjælper os med at registrere ændringer i biblioteket kun på dataniveau er:

 DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256

Disse regler skal tilføjes i bunden af ​​AIDE -konfigurationsfilen:

Vi gemmer ændringerne ved hjælp af Ctrl + O -tasterne og afslutter med Ctrl + X.

4. Sådan defineres regler for visning af AIDE -filer og mapper

Med AIDE vil det også være muligt at oprette regler for bestemte filer eller mapper, der skal analyseres. Til dette får vi adgang til stien /etc/aide/aide.conf igen, og vi kan oprette følgende regler:

 / root / \… * PERMS (Denne regel kontrollerer tilladelserne i rodmappen) / root / CONTENT_EX (Denne regel kontrollerer alle filer i root før enhver ændring) / etc / DATAONLY (Denne regel giver os mulighed for at registrere enhver ændring i biblioteket /etc)

Vi kan gemme ændringerne i AIDE -konfigurationsfilen.

5. Sådan bruges AIDE til at verificere filer og biblioteksintegritet i Linux

Når de regler, der skal bruges med AIDE, er blevet defineret, er det næste trin at opbygge databasen mod de kontroller, der skal udføres ved hjælp af parameteren --init.

Med følgende kommando vil der blive oprettet en database, der indeholder alle de filer, vi definerer i AIDE -konfigurationsfilen:

 Hjælper -ind

Når dette er gjort, skal du fortsætte med at ændre navnet på databasen til /var/lib/aide/aide.db.gz, før du fortsætter, til dette kan vi bruge følgende kommando:

 mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gz

Det anbefales at flytte denne database til et sikkert sted, men vi skal sørge for at opdatere konfigurationsfilen, så den kan læses derfra.

Dernæst skal vi kompilere en ny Aide -konfigurationsfil. Vi udfører følgende kommando:

 update-aide.conf

Nu kopierer vi denne nye fil til biblioteket / etc / aide:

 cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf

Når databasen er oprettet, kan vi kontrollere integriteten af ​​filer og mapper ved hjælp af -check -flag:

 medhjælper -tjek

6. Sådan vurderes AIDE

For at teste driften af ​​AIDE udfører vi følgende linjer:

 mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1

Med dem opretter vi en ny bibliotek og filer på systemet. Senere udfører vi følgende linje til validering og verifikation:

 Hjælper -tjek

Resultatet bliver følgende:

Der kan vi se, at der findes en forskel i filen og angiver, hvilken type handling det var, tilføjelse, sletning eller ændring.
På denne måde er AIDE et nyttigt værktøj til i realtid at bestemme de ændringer, der er sket i systemet.