Giunsa Pagsusi ang Integridad sa File ug Direktoryo Gamit ang AIDE sa Linux

Sa among mega nga giya sa pagpagahi ug pag-secure sa CentOS 7, ubos sa seksyon nga \protect system internally, usa sa mga mapuslanon nga himan sa seguridad nga among gilista alang sa internal nga proteksyon sa sistema batok sa mga virus, rootkits, malware, ug pag-ila sa dili awtorisado nga mga kalihokan mao ang AIDE.

Ang AIDE (Advanced Intrusion Detection Environment) usa ka gamay apan gamhanan, libre nga open source intrusion detection tool, nga naggamit ug predefined rules aron masusi ang file ug directory integrity sa Unix-like operating system sama sa Linux. Kini usa ka independente nga static binary alang sa gipasimple nga mga pag-monitor sa kliyente/server.

Daghan kinig feature: naggamit ug plain text configuration files ug database nga sayon gamiton; nagsuporta sa daghang mga algorithm sa pagtunaw sa mensahe sama sa apan dili limitado sa md5, sha1, rmd160, tigre; nagsuporta sa komon nga mga hiyas sa file; nagsuporta usab sa kusgan nga regular nga mga ekspresyon aron mapili nga iapil o dili iapil ang mga file ug direktoryo nga ma-scan.

Mahimo usab kini nga gihugpong nga adunay talagsaon nga suporta alang sa Gzip compression, Posix ACL, SELinux, XAttrs ug Extended file system attributes.

Ang Aide nagtrabaho pinaagi sa paghimo og database (nga usa lamang ka snapshot sa pinili nga mga bahin sa file system), gikan sa mga lagda sa regular nga ekspresyon nga gihubit sa (mga) configuration file. Kung masugdan na kini nga database, mahimo nimong pamatud-an ang integridad sa mga file sa sistema batok niini. Kini nga giya magpakita kung giunsa ang pag-install ug paggamit sa aide sa Linux.

Unsaon Pag-instalar sa AIDE sa Linux

Ang Aide giputos sa opisyal nga mga repositoryo sa mainstream nga mga distribusyon sa Linux, aron i-install kini ipadagan ang command para sa imong pag-apod-apod gamit ang package manager.

# apt install aide 	   [On Debian/Ubuntu]
# yum install aide	   [On RHEL/CentOS] 	
# dnf install aide	   [On Fedora 22+]
# zypper install aide	   [On openSUSE]
# emerge aide 	           [On Gentoo]

Human kini ma-install, ang nag-unang configuration file mao ang /etc/aide.conf. Aron matan-aw ang na-install nga bersyon ingon man ang pag-compile sa mga parameter sa oras, padagana ang mando sa ubos sa imong terminal:

# aide -v

Aide 0.14

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Mahimo nimong ablihan ang configuration gamit ang imong paborito nga editor.

# vi /etc/aide.conf

Kini adunay mga direktiba nga naghubit sa lokasyon sa database, lokasyon sa pagreport, default nga mga lagda, ang mga direktoryo/file nga ilakip sa database.

Gamit ang mga default nga mga lagda sa ibabaw, mahimo nimong ipasabut ang bag-ong naandan nga mga lagda sa aide.conf file pananglitan.

PERMS = p+u+g+acl+selinux+xattrs

Ang PERMS nga lagda gigamit alang sa access control lamang, kini makamatikod sa bisan unsa nga kausaban sa file o mga direktoryo base sa file/direktoryo permiso, user, grupo, access control permiso, SELinux konteksto ug file attributes.

Susihon lang niini ang sulud sa file ug tipo sa file.

CONTENT = sha256+ftype

Kini usa ka gipalapdan nga bersyon sa miaging lagda, gisusi niini ang gipalawig nga sulud, tipo sa file ug pag-access.

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

Ang DATAONLY nga lagda sa ubos makatabang sa pag-ila sa bisan unsang mga pagbag-o sa datos sa sulod sa tanan nga mga file/direktoryo.

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

Pagtino sa mga Lagda sa Pagtan-aw sa mga File ug Direktoryo

Kung nahubit na nimo ang mga lagda, mahimo nimong ipiho ang file ug mga direktoryo nga tan-awon. Sa pagkonsiderar sa PERMS nga lagda sa ibabaw, kini nga kahulugan magsusi sa mga permiso para sa tanang file sa root directory.

/root/\..*  PERMS

Susihon niini ang tanan nga mga file sa/root nga direktoryo alang sa bisan unsang mga pagbag-o.

/root/   CONTENT_EX

Aron matabangan ka nga makit-an ang bisan unsang mga pagbag-o sa datos sa sulod sa tanan nga mga file/direktoryo sa ilawom sa /etc/, gamita kini.

/etc/   DATAONLY 

Paggamit sa AIDE sa Pagsusi sa File ug Direktoryo nga Integridad sa Linux

Sugdi pinaagi sa paghimo ug database batok sa mga pagsusi nga himoon gamit ang --init flag. Kini gilauman nga buhaton sa dili pa ang imong sistema konektado sa usa ka network.

Ang sugo sa ubos maghimo ug database nga naglangkob sa tanang mga file nga imong gipili sa imong configuration file.

# aide --init

Dayon ilisan ang ngalan sa database ngadto sa /var/lib/aide/aide.db.gz sa dili pa mopadayon, gamit kini nga sugo.

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Girekomenda nga ibalhin ang database sa usa ka luwas nga lokasyon nga posible sa usa ka read-only nga media o sa laing mga makina, apan siguroha nga imong i-update ang configuration file aron mabasa kini gikan didto.

Human mabuhat ang database, mahimo nimong susihon ang integridad sa mga file ug direktoryo gamit ang --check nga bandila.

# aide --check

Basahon niini ang snapshot sa database ug itandi kini sa mga file/direktoryo nga nakit-an nimo nga system disk. Kung makit-an niini ang mga pagbag-o sa mga lugar nga dili nimo damha, nagmugna kini usa ka taho nga mahimo nimong susihon.

Tungod kay wala'y mga pagbag-o nga nahimo sa file system, makakuha ka lamang og output nga susama sa usa sa ibabaw. Karon sulayi ang paghimo og pipila ka mga file sa file system, sa mga lugar nga gihubit sa configuration file.

# vi /etc/script.sh
# touch all.txt

Unya pagdagan sa usa ka tseke sa makausa pa, nga kinahanglan nga magreport sa mga file nga gidugang sa ibabaw. Ang output niini nga sugo nagdepende sa mga bahin sa file system nga imong gi-configure para sa pagsusi, kini mahimong taas nga overtime.

# aide --check

Kinahanglan ka nga regular nga magpadagan sa mga pagsusi sa katabang, ug kung adunay mga pagbag-o sa napili na nga mga file o pagdugang sa bag-ong mga kahulugan sa file sa configuration file, kanunay nga i-update ang database gamit ang --update nga kapilian:

# aide --update

Human sa pagpadagan sa usa ka update sa database, aron magamit ang bag-ong database alang sa umaabot nga mga pag-scan, ilisan kini kanunay sa /var/lib/aide/aide.db.gz:

# mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

Kana lang sa pagkakaron! Apan timan-i kining hinungdanong mga punto:

• Usa ka kinaiya sa kadaghanan sa mga intrusion detection system AIDE inclusive, mao nga dili sila maghatag ug mga solusyon sa kadaghanang security loop hole sa usa ka sistema. Hinuon, nagtabang sila sa pagpagaan sa proseso sa pagtubag sa pagsulod pinaagi sa pagtabang sa mga tagdumala sa sistema nga susihon ang bisan unsang mga pagbag-o sa mga file sa system/direktoryo. Mao nga kinahanglan ka kanunay nga mabinantayon ug magpadayon sa pag-update sa imong karon nga mga lakang sa seguridad.
• Girekomendar kaayo nga tipigan ang bag-ong nahimo nga database, ang configuration file ug ang AIDE binary sa usa ka luwas nga lokasyon sama sa read-only nga media (posible kon imong i-install gikan sa tinubdan).
• Alang sa dugang seguridad, ikonsiderar ang pagpirma sa configuration ug/o database.

Para sa dugang nga impormasyon ug mga configuration, tan-awa ang man page niini o tan-awa ang AIDE Homepage: http://aide.sourceforge.net/