AIDE a bezpečnost
Tento článek je druhou částí série článků o zabezpečení Linuxu. V první části se zabývám konceptem Pluggable Authentication Modules (PAM) s příkladem nastavení podmínek silného hesla pro běžného uživatele za účelem zvýšení bezpečnosti tohoto uživatele. V této části se zabývám prostředím AIDE (Advanced Intrusion Detection Environment).
V zabezpečení Linuxu je velmi důležité sledovat data. Jako správce systému byste měli vědět, jak zkontrolovat integritu souborů a adresářů. Můžete to udělat pomocí nástroje AIDE.
[ Také by se vám mohlo líbit: Zabezpečení zděděného systému Linux ]
Nástroj AIDE vám také pomáhá při monitorování souborů z hlediska oprávnění, vlastnictví a Security-Enhanced Linux (SELinux). Pokud se někdo pokusí upravit jakýkoli konkrétní soubor, můžete tento soubor zkontrolovat pomocí AIDE.
Představení AIDE
Advanced Intrusion Detection Environment (AIDE) je výkonný open source nástroj pro detekci narušení, který používá předdefinovaná pravidla ke kontrole integrity souborů a adresářů v operačním systému Linux. AIDE má vlastní databázi pro kontrolu integrity souborů a adresářů.
AIDE pomáhá monitorovat soubory, které byly nedávno změněny nebo upraveny. Můžete sledovat soubory nebo adresáře, když se je někdo pokusí upravit nebo změnit. Vyvstává však otázka:Je AIDE bezpečný?
AIDE je zabezpečeno SELinuxem. SElinux zabezpečuje proces AIDE povinným řízením přístupu. Definuje typy procesů (domény) pro každý proces běžící v systému. Politika SELinux AIDE je velmi flexibilní a umožňuje uživatelům nastavit své procesy AIDE co nejbezpečnějším způsobem.
Instalace AIDE
Je možné, že v některých distribucích Linuxu není AIDE nainstalováno. Chcete-li nainstalovat AIDE na váš systém, použijte následující příkaz:
# yum install aide -y Verzi AIDE můžete zkontrolovat pomocí:
# aide -v
V AIDE je cesta ke konfiguračnímu souboru /etc/aide.conf . Tato konfigurace může inicializovat nebo zkontrolovat databázi. V této konfiguraci jsou některá pravidla již předdefinována, například PERMS, NORMAL, LSPP, DATAONLY atd. Tato vlastní pravidla obsahují mnoho výchozích hodnot souvisejících s oprávněními, inody, počty odkazů, acl , selinux , atd. Jedním z příkladů vlastního pravidla je :
$ PERMS= p+i+n+u+g+acl+selinux Kde:
p:povoleníi:inodeN:počet odkazůg:skupinaacl:seznam řízení přístupuselinux:Bezpečnostní kontext SELinux
Tato pravidla pomáhají při sledování a zjišťování souborů. Pokud vložíte pravidla PERMS do libovolného adresáře nebo souborů, všechna tato pravidla jsou implementována pro sledování a monitorování. Pomocí všech těchto deklarovaných pravidel můžete také vytvořit vlastní pravidla, která jsou kombinací více pravidel.
Před inicializací databáze AIDE je důležité nastavit pravidla pro adresáře nebo soubory. Můžete to provést v /etc/aide.conf samotný soubor. Předpokládejme, že chcete sledovat /etc/passwd souboru, abyste na tento soubor mohli umístit pravidla jako PERMS pro kontrolu integrity souboru pomocí databáze AIDE.
Implementace AIDE
Chcete-li implementovat AIDE do svého systému, musíte inicializovat databázi. Pomocí této databáze AIDE je spuštěna kontrola integrity všech souborů a adresářů. Databáze AIDE se generuje v /var/lib/aide adresář. Kontext tohoto adresáře můžete zkontrolovat také pomocí:
$ ls -ldZ /var/lib/aide
drwx------. 2 root root system_u:object_r:aide_db_t:s0 4096 Jul 31 2019 /var/lib/aide/
Tento adresář má aide_db_t kontext nastavený SELinuxem. Tento kontext se používá, když chcete se soubory zacházet jako s obsahem databáze AIDE. Protokoly AIDE jsou uloženy v /var/log/aide a tento adresář má také aide_log_t kontextu.
K inicializaci databáze AIDE použijte příkaz:
$ aide --init
Tento příkaz vygeneruje gzipovaný soubor databáze. Zazipovaný soubor můžete použít pro účely kontroly integrity.
Předpokládejme, že potřebujete monitorovat /etc/hosts soubor. Takže pokud se někdo pokusí zadat soubor nebo se jej pokusí upravit ve vaší nepřítomnosti, můžete tento soubor zkontrolovat pomocí AIDE.
Po instalaci AIDE do systému proveďte záznam v /etc/aide.conf soubor s přizpůsobenými pravidly. U souborů musíte sledovat změny v oprávněních, skupinách, vlastnictví a době přístupu k souboru. Poté můžete vybrat jakákoli přizpůsobená pravidla, která obsahují všechny tyto body.
Zde jsem umístil sadu pravidel FIPSR, protože tato vlastní pravidla obsahují maximální normální pravidla.
FIPSR= p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
POZNÁMKA :Než něco zapíšete do aide.conf vždy zálohujte.
# cp /etc/aide.conf /etc/aide`date +%F`.conf
V /etc/aide.conf soubor, můžete zapsat název souboru pomocí tohoto vlastního pravidla:
/etc/hosts FIPSR
Poté můžete databázi inicializovat pomocí aide --init příkaz. Tím se vygeneruje gzip soubor s názvem aide.db.new.gz . Přesuňte tento soubor do výchozího adresáře databáze AIDE s názvem aide.db.gz
$ mv aide.db.new.gz /var/lib/aide/aide.db.gz Tímto způsobem můžete nastavit databázi na správné místo.
Poté, co je AIDE informován o aktuálním stavu systému souborů, může detekovat změny systému souborů porovnáním se známým stavem. K ověření integrity použijte:
$ aide --check
Tento příkaz poskytuje podrobný výstup. Pokud /etc/hosts je upraven, pak vás jasně vyzve k poslednímu upravenému souboru.
Pokud chcete aktualizovat databázi AIDE po provedení nových záznamů v aide.conf , použijte:
$ aide --update [ Přemýšlíte o bezpečnosti? Podívejte se na tohoto bezplatného průvodce posílením zabezpečení hybridního cloudu a ochranou vaší firmy. ]
Zabalit
V tomto článku jste se dozvěděli o prostředí AIDE (Advanced Intrusion Detection Environment) a o tom, jak jej lze použít ke zvýšení zabezpečení Linuxu. Můžete sledovat soubory a adresáře a také kontrolovat jejich integritu. Databáze AIDE vám pomůže zjistit změny, ke kterým dojde u jakýchkoli souborů nebo adresářů.