كيفية التحقق من سلامة الملف والدليل باستخدام "AIDE" في Linux

في دليلنا الضخم ل تصلب وتأمين CentOS 7، ضمن قسم "حماية النظام داخليا"، إحدى أدوات الأمان المفيدة التي أدرجناها لحماية النظام الداخلي ضد الفيروسات والجذور الخفية والبرامج الضارة واكتشاف الأنشطة غير المصرح بها هي مساعد.

مساعد (بيئة كشف التسلل المتقدمة) هي أداة صغيرة لكنها قوية ومجانية للكشف عن التطفل ، تستخدم قواعد محددة مسبقًا للتحقق من سلامة الملفات والدليل في أنظمة التشغيل الشبيهة بـ Unix مثل Linux. إنه ثنائي ثابت مستقل لتكوينات مراقبة العميل / الخادم المبسطة.

إنه غني بالميزات: يستخدم ملفات تكوين النص العادي وقاعدة البيانات مما يجعله سهل الاستخدام ؛ يدعم العديد من خوارزميات استيعاب الرسائل مثل md5 و sha1 و rmd160 و tiger ؛ يدعم سمات الملفات المشتركة ؛ يدعم أيضًا التعبيرات العادية القوية لتضمين أو استبعاد الملفات والدلائل المراد فحصها بشكل انتقائي.

كما يمكن تجميعها مع دعم استثنائي لضغط Gzip و Posix ACL و SELinux و XAttrs وخصائص نظام الملفات الموسعة.

يعمل Aide عن طريق إنشاء قاعدة بيانات (وهي مجرد لقطة لأجزاء مختارة من نظام الملفات) ، من قواعد التعبير العادي المحددة في ملف (ملفات) التكوين. بمجرد تهيئة قاعدة البيانات هذه ، يمكنك التحقق من سلامة ملفات النظام مقابلها. سيوضح هذا الدليل كيفية تثبيت واستخدام المساعد في Linux.

كيفية تثبيت AIDE في Linux

يتم حزم Aide في مستودعات رسمية لتوزيعات Linux السائدة ، لتثبيته ، قم بتشغيل الأمر للتوزيع الخاص بك باستخدام مدير الحزم.

# apt install aide [On Debian / Ubuntu] # yum install aide [On RHEL / CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # ظهور مساعد [On Gentoo]

بعد تثبيته ، ملف التكوين الرئيسي هو /etc/aide.conf. لعرض الإصدار المثبت بالإضافة إلى تجميع معلمات الوقت ، قم بتشغيل الأمر أدناه على الجهاز الطرفي:

# مساعد -v. 
إخراج العينة
تم تجميع Aide 0.14 مع الخيارات التالية: WITH_MMAP. WITH_POSIX_ACL. WITH_SELINUX. WITH_PRELINK. WITH_XATTR. WITH_LSTAT64. WITH_READDIR64. WITH_ZLIB. WITH_GCRYPT. WITH_AUDIT. CONFIG_FILE = "/etc/aide.conf"

يمكنك فتح التكوين باستخدام المحرر المفضل لديك.

# vi /etc/aide.conf. 

يحتوي على توجيهات تحدد موقع قاعدة البيانات وموقع التقرير والقواعد الافتراضية والأدلة / الملفات التي سيتم تضمينها في قاعدة البيانات.

فهم قواعد المساعدة الافتراضية

قواعد المساعدة الافتراضية
قواعد المساعدة الافتراضية

باستخدام القواعد الافتراضية المذكورة أعلاه ، يمكنك تحديد قواعد مخصصة جديدة في ملف مساعد ملف على سبيل المثال.

الأجور = p + u + g + acl + selinux + xattrs. 

ال الأجور تستخدم القاعدة للتحكم في الوصول فقط ، وسوف تكتشف أي تغييرات في الملف أو الدلائل بناءً على أذونات الملف / الدليل ، المستخدم ، المجموعة ، أذونات التحكم في الوصول ، سياق وملف SELinux صفات.

سيؤدي هذا إلى فحص محتوى الملف ونوع الملف فقط.

المحتوى = sha256 + ftype. 

هذه نسخة موسعة من القاعدة السابقة ، فهي تتحقق من المحتوى الممتد ونوع الملف والوصول.

CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrs. 

ال البيانات فقط ستساعد القاعدة أدناه في اكتشاف أي تغييرات في البيانات داخل جميع الملفات / الدليل.

البيانات = p + n + u + g + s + acl + selinux + xattrs + sha256. 
تكوين قواعد المساعدة
تكوين قواعد المساعدة

تحديد القواعد لمشاهدة الملفات والدلائل

بمجرد تحديد القواعد ، يمكنك تحديد الملف والأدلة المراد مشاهدتها. بالنظر إلى قاعدة PERMS أعلاه ، سيتحقق هذا التعريف من الأذونات لجميع الملفات في الدليل الجذر.

/root/\..* الأذونات. 

سيؤدي هذا إلى فحص جميع الملفات الموجودة في ملف /root دليل لأية تغييرات.

/ الجذر / CONTENT_EX. 

لمساعدتك في اكتشاف أي تغييرات في البيانات داخل جميع الملفات / الدليل الموجود أسفل /etc/، استخدم هذا.

/ etc / DATAONLY 
تكوين قواعد المساعدة لنظام الملفات
تكوين قواعد المساعدة لنظام الملفات

استخدام AIDE للتحقق من سلامة الملفات والدليل في Linux

ابدأ بإنشاء قاعدة بيانات مقابل عمليات التحقق التي سيتم إجراؤها باستخدام --فيه علم. من المتوقع أن يتم ذلك قبل توصيل نظامك بشبكة.

سينشئ الأمر أدناه قاعدة بيانات تحتوي على جميع الملفات التي حددتها في ملف التكوين الخاص بك.

# مساعد --init. 
تهيئة قاعدة بيانات المساعدة
تهيئة قاعدة بيانات المساعدة

ثم أعد تسمية قاعدة البيانات إلى /var/lib/aide/aide.db.gz قبل المتابعة ، باستخدام هذا الأمر.

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz. 

يوصى بنقل قاعدة البيانات إلى موقع آمن ربما في وسائط للقراءة فقط أو على أجهزة أخرى ، ولكن تأكد من تحديث ملف التكوين لقراءته من هناك.

بعد إنشاء قاعدة البيانات ، يمكنك الآن التحقق من سلامة الملفات والدلائل باستخدام امتداد --التحقق من علم.

# مساعد - تحقق. 

سيقرأ اللقطة في قاعدة البيانات ويقارنها بالملفات / الدلائل التي عثرت عليها على قرص النظام. إذا عثر على تغييرات في الأماكن التي قد لا تتوقعها ، فإنه يُنشئ تقريرًا يمكنك مراجعته بعد ذلك.

قم بتشغيل فحص سلامة الملف
قم بتشغيل فحص سلامة الملف

نظرًا لعدم إجراء أي تغييرات على نظام الملفات ، ستحصل فقط على مخرجات مماثلة لتلك المذكورة أعلاه. حاول الآن إنشاء بعض الملفات في نظام الملفات ، في المناطق المحددة في ملف التكوين.

# vi /etc/script.sh. # المس all.txt. 

ثم قم بإجراء فحص مرة أخرى ، والذي يجب أن يبلغ عن الملفات المضافة أعلاه. يعتمد إخراج هذا الأمر على أجزاء نظام الملفات التي قمت بتكوينها لفحصها ، وقد يستغرق الأمر وقتًا إضافيًا طويلاً.

# مساعد - تحقق. 
تحقق من تغييرات نظام الملفات
تحقق من تغييرات نظام الملفات

تحتاج إلى تشغيل عمليات فحص المساعد بانتظام ، وفي حالة حدوث أي تغييرات على الملفات المحددة بالفعل أو إضافة تعريفات ملف جديدة في ملف التكوين ، قم دائمًا بتحديث قاعدة البيانات باستخدام --تحديث اختيار:

# مساعد - تحديث. 

بعد تشغيل تحديث قاعدة البيانات ، لاستخدام قاعدة البيانات الجديدة لعمليات الفحص المستقبلية ، قم دائمًا بإعادة تسميتها إلى /var/lib/aide/aide.db.gz:

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz. 

هذا كل شئ حتى الان! لكن لاحظ هذه النقاط المهمة:

  • إحدى سمات معظم أنظمة كشف التسلل بما في ذلك AIDE ، هي أنها لن توفر حلولًا لمعظم ثغرات حلقة الأمان في النظام. ومع ذلك ، فهي تساعد في تسهيل عملية الاستجابة للتطفل من خلال مساعدة مسؤولي النظام على فحص أي تغييرات في ملفات / أدلة النظام. لذلك يجب أن تكون متيقظًا دائمًا وتواصل تحديث إجراءات الأمان الحالية.
  • يوصى بشدة بالاحتفاظ بقاعدة البيانات المنشأة حديثًا وملف التكوين وثنائي AIDE في مكان آمن مثل وسائط القراءة فقط (ممكن إذا قمت بالتثبيت من المصدر).
  • لمزيد من الأمان ، ضع في اعتبارك توقيع التكوين و / أو قاعدة البيانات.

للحصول على معلومات وتكوينات إضافية ، راجع صفحة الدليل الخاصة بها أو تحقق من صفحة AIDE الرئيسية: http://aide.sourceforge.net/

Teachs.ru