- 1. AIDE unter Linux installieren
- 2. Zugriff auf die AIDE Linux-Konfigurationsdatei
- 3. AIDE-Regeln verwalten und verstehen
- 4. So definieren Sie Regeln zum Anzeigen von AIDE-Dateien und -Verzeichnissen
- 5. So verwenden Sie AIDE, um die Integrität von Dateien und Verzeichnissen unter Linux zu überprüfen
- 6. So bewerten Sie AIDE
Wenn Sie mehrere Betriebssysteme verwenden, ist es ideal, immer über Tools zu verfügen, die es uns ermöglichen, eine zentrale und direkte Kontrolle darüber zu behalten. Eines der heikelsten Probleme ist zweifellos die Sicherheit und Integrität der Dateien, da dies die Verfügbarkeit und Zuverlässigkeit der Dateien garantiert.
Heute wird Solvetic über ein praktisches Tool namens AIDE sprechen, mit dem es möglich sein wird, die Integrität einer Datei oder eines Verzeichnisses in den verschiedenen Linux-Distributionen zu überprüfen und sich somit der vollständigen Zuverlässigkeit der ausgewählten Datei zu vergewissern.
Was ist AIDEAIDE ((Advanced Intrusion Detection Environment) ist ein Datei- und Verzeichnisintegritätsprüfer in Linux-Umgebungen, der es uns als Administratoren ermöglicht, die spezifische Kontrolle über sie zu behalten.
Seine Operation besteht darin, eine Datenbank zu erstellen, die anhand der Regeln für reguläre Ausdrücke entworfen wurde, die in den Konfigurationsdateien verfügbar sind. Sobald diese Datenbank initialisiert ist, kann sie verwendet werden, um die Integrität der erforderlichen Dateien zu überprüfen.
AIDE-DateiattributeAIDE ist dafür verantwortlich, die Datenbank aus den Dateien zu erstellen, die in aide.conf, der AIDE-Konfigurationsdatei, angegeben sind. Die AIDE-Datenbank speichert mehrere Dateiattribute, in denen wir Folgendes haben:
- Dateityp
- Genehmigungen
- Benutzer und Gruppe
- Dateigröße
- mtime, ctime und atime
- Wuchsgröße
- Anzahl der Links und Linkname.
Darüber hinaus erstellt AIDE eine kryptografische Prüfsumme oder einen Hash von jeder Datei unter Verwendung eines oder einer Kombination der folgenden Message-Digest-Algorithmen: sha1, sha256, sha512, md5, rmd160, tiger, haval, crc32 und auch die acl-Attribute, xattr, selinux , und e2fsattrs können verwendet werden, wenn sie zur Kompilierzeit explizit aktiviert werden.
AIDE verfügt über mehrere Message-Digest-Algorithmen, die verwendet werden, um die Integrität der Datei zu überprüfen. Alle üblichen Dateiattribute können darin auch auf Inkonsistenzen überprüft werden. AIDE kann Datenbanken älterer oder neuerer Versionen lesen.
AIDE-FunktionenDurch die Verwendung dieses Tools haben wir die folgenden Eigenschaften:
- Message Digest unterstützte Algorithmen wie: md5, sha1, rmd160, tigger, crc32, sha256, sha512, Whirlpool (zusätzlich mit libmhash: gost, haval, crc32b)
- Unterstützte Dateiattribute: Dateityp, Berechtigungen, Inode, Uid, Gid, Linkname, Größe, Blocknummer, Anzahl der Links, Mtime, Ctime und Atime
- Es bietet Unterstützung für Posix ACL, SELinux, XAttrs und erweiterte Dateisystemattribute, wenn die Unterstützung der Einfachheit halber in Klartext- und Datenbankkonfigurationsdateien kompiliert wird
- Es unterstützt reguläre Ausdrücke, um Dateien und Verzeichnisse selektiv einzuschließen oder auszuschließen, um sie zu überwachen
AIDE ist in den folgenden UNIX-Distributionen enthalten
- Debian
- Gentoo
- MacPorts
- FreeBSD
- CentOS / RedHat
- IPCoop
- OpenSUSE
Es ist wichtig klarzustellen, dass AIDE keine absolute Sicherheit bei der Änderung einer Datei bieten kann, da wie jede andere Systemdatei auch die Datenbank und / oder Binärdateien von AIDE mit den entsprechenden Tools geändert werden können.
1. AIDE unter Linux installieren
AIDE ist in offiziellen Repositories für die gängigsten Linux-Distributionen verfügbar, dafür können wir es mit einem Paketmanager entsprechend der ausgewählten Distribution wie folgt installieren:
apt install aide (Debian / Ubuntu) yum install aide CRHEL / CentOS) dnf install aide (Fedora) zypper install aide (OpenSUSE) emerge aide (Gentoo)
In diesem Fall verwenden wir Ubuntu. Dort geben wir den Buchstaben S ein, um den Download und die Installation von AIDE zu akzeptieren. Nach der Installation sehen wir Folgendes:
Wie wir sehen, ist die Hauptkonfigurationsdatei /etc/aide/aide.conf. Um die installierte Version sowie die Parameter für die Kompilierungszeit anzuzeigen, können wir Folgendes ausführen:
Helfer -v
2. Zugriff auf die AIDE Linux-Konfigurationsdatei
Wir können auf die AIDE-Konfigurationsdatei zugreifen, indem wir die folgende Zeile mit dem gewünschten Editor ausführen:
nano /etc/aide/aide.confWir werden folgendes sehen:
In dieser Datei finden wir Anweisungen, die den Speicherort der Datenbank, den Speicherort des Berichts, die Standardregeln, die in die Datenbank aufzunehmenden Verzeichnisse oder Dateien und vieles mehr definieren.
3. AIDE-Regeln verwalten und verstehen
AIDE verwaltet Regeln wie:
PBerechtigungen - Berechtigungen
nAnzahl der Links
oder= Benutzer
gGruppen
SGröße (Größe)
BBlockanzahl
mmtime
zueine Zeit
Cctime
SelinuxSelinux-Sicherheitskontext
xattrZeigt die erweiterten Attribute einer Datei an
Aus diesen Regeln können benutzerdefinierte Regeln in der AIDE-Konfigurationsdatei erstellt werden. Wir können zum Beispiel die folgende Regel erstellen:
PERMS = p + u + g + acl + selinux + xattrsIn diesem Fall wird die PERMS-Regel für die Zugriffssteuerung implementiert, die alle Änderungen an der Datei oder den Verzeichnissen basierend auf Datei- oder Verzeichnisberechtigungen, Benutzer, Gruppe, Zugriffssteuerungsberechtigungen, Dateiattributen und mehr erkennt.
Eine andere Regel, die wir implementieren können, ist eine, die nur den Inhalt der Datei und den ausgewählten Dateityp überprüft, zum Beispiel:
INHALT = sha256 + ftypeWenn wir den erweiterten Inhalt, den Dateityp und den Zugriff überprüfen möchten, können wir eine Regel erstellen wie:
CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrsEine Regel, die uns hilft, Änderungen im Verzeichnis nur auf Datenebene zu erkennen, lautet:
DATAONLY = p + n + u + g + s + acl + selinux + xattrs + sha256Diese Regeln müssen am Ende der AIDE-Konfigurationsdatei hinzugefügt werden:
Wir speichern die Änderungen mit den Tasten Strg + O und beenden mit Strg + X.
4. So definieren Sie Regeln zum Anzeigen von AIDE-Dateien und -Verzeichnissen
Mit AIDE wird es auch möglich sein, Regeln für bestimmte zu analysierende Dateien oder Verzeichnisse zu erstellen. Dazu greifen wir wieder auf den Pfad /etc/aide/aide.conf zu und können folgende Regeln erstellen:
/ root / \… * PERMS (Diese Regel prüft die Berechtigungen im Root-Verzeichnis) / root / CONTENT_EX (Diese Regel prüft alle Dateien im Root vor jeder Änderung) / etc / DATAONLY (Diese Regel ermöglicht es uns, jede Änderung im Verzeichnis zu erkennen /etc)
Wir können die Änderungen in der AIDE-Konfigurationsdatei speichern.
5. So verwenden Sie AIDE, um die Integrität von Dateien und Verzeichnissen unter Linux zu überprüfen
Nachdem die mit AIDE zu verwendenden Regeln definiert wurden, besteht der nächste Schritt darin, die Datenbank anhand der Prüfungen aufzubauen, die mit dem Parameter --init durchgeführt werden.
Mit dem folgenden Befehl wird eine Datenbank erstellt, die alle Dateien enthält, die wir in der AIDE-Konfigurationsdatei definieren:
Helfer --init
Sobald dies erledigt ist, ändern Sie den Namen der Datenbank in /var/lib/aide/aide.db.gz, bevor Sie fortfahren. Dazu können wir den folgenden Befehl verwenden:
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db.gzEs wird empfohlen, diese Datenbank an einen sicheren Ort zu verschieben, aber wir müssen die Konfigurationsdatei unbedingt aktualisieren, damit sie von dort gelesen werden kann.
Als nächstes müssen wir eine neue Aide-Konfigurationsdatei kompilieren. Wir führen folgenden Befehl aus:
update-aide.confJetzt kopieren wir diese neue Datei in das Verzeichnis /etc/aide:
cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.confNachdem die Datenbank erstellt wurde, können wir die Integrität der Dateien und Verzeichnisse mit dem Flag -check überprüfen:
Helfer --check
6. So bewerten Sie AIDE
Um die Funktion von AIDE zu testen, führen wir die folgenden Zeilen aus:
mkdir / root / aide-test touch / root / aide-test / testsolvetic touch / root / aide-test / testsolvetic1Mit ihnen erstellen wir ein neues Verzeichnis und Dateien auf dem System. Später führen wir die folgende Zeile zur Validierung und Verifizierung aus:
Helfer-CheckDas Ergebnis wird folgendes sein:
Dort können wir sehen, dass in der Datei ein Unterschied gefunden wird und um welche Art von Aktion es sich handelt, Hinzufügen, Löschen oder Ändern.
Auf diese Weise ist AIDE ein nützliches Werkzeug, um in Echtzeit die im System aufgetretenen Änderungen zu ermitteln.