AIDE und Sicherheit
Dieser Artikel ist Teil zwei einer Reihe von Artikeln zur Linux-Sicherheit. Im ersten Teil bespreche ich das Konzept der Pluggable Authentication Modules (PAM) mit einem Beispiel für das Festlegen starker Passwortbedingungen für einen normalen Benutzer, um die Sicherheit dieses Benutzers zu verbessern. In diesem Teil gehe ich auf die Advanced Intrusion Detection Environment (AIDE) ein.
Bei der Linux-Sicherheit ist es sehr wichtig, den Überblick über die Daten zu behalten. Als Systemadministrator sollten Sie wissen, wie Sie die Integrität von Dateien und Verzeichnissen überprüfen. Sie können dies mit dem AIDE-Tool tun.
[ Das könnte Ihnen auch gefallen: Ein geerbtes Linux-System sichern ]
Das AIDE-Tool hilft Ihnen auch bei der Dateiüberwachung in Bezug auf Berechtigungen, Eigentümerschaft und Security-Enhanced Linux (SELinux). Wenn jemand versucht, eine bestimmte Datei zu ändern, können Sie diese Datei mit AIDE überprüfen.
Einführung von AIDE
Advanced Intrusion Detection Environment (AIDE) ist ein leistungsstarkes Open-Source-Intrusion-Detection-Tool, das vordefinierte Regeln verwendet, um die Integrität von Dateien und Verzeichnissen im Linux-Betriebssystem zu überprüfen. AIDE hat eine eigene Datenbank, um die Integrität von Dateien und Verzeichnissen zu prüfen.
AIDE hilft bei der Überwachung der Dateien, die kürzlich geändert oder modifiziert wurden. Sie können Dateien oder Verzeichnisse nachverfolgen, wenn jemand versucht, sie zu ändern oder zu ändern. Aber es stellt sich die Frage:Ist AIDE sicher?
AIDE wird durch SELinux gesichert. SElinux sichert den AIDE-Prozess mit obligatorischer Zugriffskontrolle. Es definiert Prozesstypen (Domänen) für jeden Prozess, der auf dem System ausgeführt wird. Die SELinux AIDE-Richtlinie ist sehr flexibel und ermöglicht Benutzern, ihre AIDE-Prozesse so sicher wie möglich einzurichten.
AIDE-Installation
Es besteht die Möglichkeit, dass AIDE in einigen Linux-Distributionen nicht installiert ist. Verwenden Sie den folgenden Befehl, um AIDE auf Ihrem System zu installieren:
# yum install aide -y Sie können die Version von AIDE überprüfen mit:
# aide -v
In AIDE ist der Pfad der Konfigurationsdatei /etc/aide.conf . Diese Konfiguration kann die Datenbank initialisieren oder überprüfen. In dieser Konfiguration sind einige Regeln bereits vordefiniert, z. B. PERMS, NORMAL, LSPP, DATAONLY usw. Diese benutzerdefinierten Regeln enthalten viele Standardwerte in Bezug auf Berechtigungen, Inodes, Anzahl von Links, acl , selinux usw. Ein Beispiel für eine benutzerdefinierte Regel ist :
$ PERMS= p+i+n+u+g+acl+selinux Wo:
p:Erlaubnisi:InodeN:Anzahl der Linksg:Gruppeacl:Zugriffskontrolllisteselinux:SELinux-Sicherheitskontext
Diese Regeln helfen bei der Verfolgung und Erkennung von Dateien. Wenn Sie PERMS-Regeln für Verzeichnisse oder Dateien festlegen, werden alle diese Regeln zur Verfolgung und Überwachung implementiert. Mit all diesen deklarierten Regeln können Sie auch Ihre benutzerdefinierten Regeln erstellen, die eine Kombination aus mehreren Regeln sind.
Vor dem Initialisieren der AIDE-Datenbank ist es wichtig, Regeln für Verzeichnisse oder Dateien festzulegen. Sie können dies in /etc/aide.conf tun Datei selbst. Angenommen, Sie möchten den Überblick über /etc/passwd behalten Datei, sodass Sie Regeln wie PERMS auf diese Datei anwenden können, um die Integrität der Datei mithilfe einer AIDE-Datenbank zu überprüfen.
AIDE-Implementierung
Um AIDE auf Ihrem System zu implementieren, müssen Sie die Datenbank initialisieren. Mit dieser AIDE-Datenbank wird eine Integritätsprüfung aller Dateien und Verzeichnisse durchgeführt. Die AIDE-Datenbank generiert im Verzeichnis /var/lib/aide Verzeichnis. Sie können den Kontext dieses Verzeichnisses auch prüfen mit:
$ ls -ldZ /var/lib/aide
drwx------. 2 root root system_u:object_r:aide_db_t:s0 4096 Jul 31 2019 /var/lib/aide/
Dieses Verzeichnis hat aide_db_t Kontext, der von SELinux festgelegt wurde. Dieser Kontext wird verwendet, wenn Sie die Dateien als Inhalt der AIDE-Datenbank behandeln möchten. AIDE-Protokolle werden im Verzeichnis /var/log/aide gespeichert Verzeichnis und dieses Verzeichnis hat auch aide_log_t Kontext.
Verwenden Sie zum Initialisieren der AIDE-Datenbank den folgenden Befehl:
$ aide --init
Dieser Befehl generiert eine gzip-Datei der Datenbank. Sie können die gezippte Datei zur Integritätsprüfung verwenden.
Angenommen, Sie müssen /etc/hosts überwachen Datei. Wenn also jemand versucht, eine Datei einzugeben oder sie in Ihrer Abwesenheit zu ändern, können Sie diese Datei mit AIDE überprüfen.
Nachdem Sie AIDE auf Ihrem System installiert haben, machen Sie einen Eintrag in der /etc/aide.conf Datei mit benutzerdefinierten Regeln. Sie müssen Dateien auf Änderungen bei Berechtigungen, Gruppen, Eigentumsrechten und Dateizugriffszeiten überwachen. Sie können dann benutzerdefinierte Regeln auswählen, die alle diese Punkte enthalten.
Hier habe ich den FIPSR-Regelsatz eingefügt, da diese benutzerdefinierten Regeln das Maximum an normalen Regeln enthalten.
FIPSR= p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
HINWEIS :Bevor Sie etwas in die aide.conf schreiben Datei, machen Sie immer eine Sicherungskopie.
# cp /etc/aide.conf /etc/aide`date +%F`.conf
In der /etc/aide.conf Datei können Sie den Dateinamen mit dieser benutzerdefinierten Regel schreiben:
/etc/hosts FIPSR
Danach können Sie die Datenbank mit dem aide --init initialisieren Befehl. Dadurch wird ein gzip generiert Datei mit dem Namen aide.db.new.gz . Verschieben Sie diese Datei in das Standardverzeichnis der AIDE-Datenbank mit dem Namen aide.db.gz
$ mv aide.db.new.gz /var/lib/aide/aide.db.gz Auf diese Weise können Sie die Datenbank am richtigen Ort einrichten.
Nachdem AIDE auf den aktuellen Dateisystemstatus aufmerksam gemacht wurde, kann es Dateisystemänderungen erkennen, indem es es mit dem bekannten Status vergleicht. Um die Integrität zu überprüfen, verwenden Sie:
$ aide --check
Mit diesem Befehl erhalten Sie eine detaillierte Ausgabe. Wenn die Datei /etc/hosts Datei geändert wird, dann werden Sie eindeutig mit der zuletzt geänderten Datei aufgefordert.
Wenn Sie die AIDE-Datenbank aktualisieren möchten, nachdem Sie neue Einträge in aide.conf vorgenommen haben , verwenden Sie:
$ aide --update [ Denken Sie an Sicherheit? Lesen Sie diesen kostenlosen Leitfaden zur Verbesserung der Hybrid Cloud-Sicherheit und zum Schutz Ihres Unternehmens. ]
Schluß
In diesem Artikel haben Sie die Advanced Intrusion Detection Environment (AIDE) kennengelernt und erfahren, wie sie zur Verbesserung der Linux-Sicherheit verwendet werden kann. Sie können Dateien und Verzeichnisse überwachen und auch deren Integrität prüfen. Die AIDE-Datenbank hilft Ihnen, Änderungen zu erkennen, die an Dateien oder Verzeichnissen auftreten.