Πώς να ελέγξετε την ακεραιότητα με το AIDE στο Fedora

Το AIDE (Advanced Intrusion Detection Environment) είναι ένα πρόγραμμα για τον έλεγχο της ακεραιότητας ενός αρχείου και καταλόγου σε οποιοδήποτε σύγχρονο σύστημα τύπου Unix. Δημιουργεί μια βάση δεδομένων αρχείων στο σύστημα και στη συνέχεια χρησιμοποιεί αυτή τη βάση δεδομένων ως μέτρο για να διασφαλίσει την ακεραιότητα του αρχείου και να ανιχνεύσει εισβολές στο σύστημα.

Σε αυτό το άρθρο, θα δείξουμε πώς να εγκαταστήσετε και να χρησιμοποιήσετε το AIDE για να ελέγξετε την ακεραιότητα αρχείων και καταλόγου στη διανομή Fedora.

Πώς να εγκαταστήσετε το AIDE στο Fedora

1. Το βοηθητικό πρόγραμμα AIDE περιλαμβάνεται στο Fedora Linux από προεπιλογή, επομένως, μπορείτε να χρησιμοποιήσετε τον προεπιλεγμένο διαχειριστή πακέτων dnf για να το εγκαταστήσετε όπως φαίνεται.

$ sudo dnf install aide  

2. Αφού ολοκληρωθεί η εγκατάσταση, πρέπει να δημιουργήσετε την αρχική βάση δεδομένων AIDE, η οποία είναι ένα στιγμιότυπο του συστήματος στην κανονική του κατάσταση. Αυτή η βάση δεδομένων θα λειτουργεί ως το κριτήριο με βάση το οποίο θα μετρώνται όλες οι επόμενες ενημερώσεις και αλλαγές.

Σημειώστε ότι είναι σημαντικό να δημιουργήσετε τη βάση δεδομένων σε ένα νέο σύστημα προτού εισέλθει στο δίκτυο. Και δεύτερον, η προεπιλεγμένη διαμόρφωση βοηθού επιτρέπει τον έλεγχο ενός συνόλου καταλόγων και αρχείων που ορίζονται στο αρχείο /etc/aide.conf. Πρέπει να επεξεργαστείτε αυτό το αρχείο ανάλογα για να διαμορφώσετε περισσότερα αρχεία και καταλόγους που θα παρακολουθούνται από τον βοηθό.

Εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε την αρχική βάση δεδομένων:

$ sudo aide --init

3. Για να ξεκινήσετε να χρησιμοποιείτε τη βάση δεδομένων, αφαιρέστε τη δευτερεύουσα συμβολοσειρά .new από το αρχικό όνομα του αρχείου της βάσης δεδομένων.

$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4. Για να προστατεύσετε περαιτέρω τη βάση δεδομένων AIDE, μπορείτε να αλλάξετε την προεπιλεγμένη θέση της επεξεργάζοντας το αρχείο διαμόρφωσης και να τροποποιήσετε την τιμή DBDIR και να την υποδείξετε σε τη νέα θέση της βάσης δεδομένων.

@@define DBDIR  /path/to/secret/db/location

Για πρόσθετη ασφάλεια, αποθηκεύστε το αρχείο διαμόρφωσης της βάσης δεδομένων και το δυαδικό αρχείο /usr/sbin/aide σε μια ασφαλή τοποθεσία, όπως ένα μέσο μόνο για ανάγνωση. Είναι σημαντικό ότι μπορείτε στην πραγματικότητα να αυξήσετε την ασφάλεια υπογράφοντας τη διαμόρφωση και/ή τη βάση δεδομένων.

Εκτέλεση ελέγχων ακεραιότητας στο Fedora

5. Για μη αυτόματη σάρωση του συστήματος Fedora, εκτελέστε την ακόλουθη εντολή.

$ sudo aide --check

Η έξοδος της παραπάνω εντολής δείχνει διαφορές μεταξύ της βάσης δεδομένων και της τρέχουσας κατάστασης του συστήματος αρχείων. Εμφανίζει μια περίληψη των εγγραφών και λεπτομερείς πληροφορίες σχετικά με τις αλλαγμένες εγγραφές.

6. Για αποτελεσματική χρήση, θα πρέπει να διαμορφώσετε το AIDE ώστε να εκτελείται ως εργασία cron, να εκτελεί προγραμματισμένες σαρώσεις, είτε εβδομαδιαία (τουλάχιστον) είτε καθημερινά (το μέγιστο) .

Για παράδειγμα, για να προγραμματίσετε μια σάρωση τα μεσάνυχτα καθημερινά, προσθέστε την ακόλουθη καταχώρηση cron στο αρχείο /etc/crontab.

00  00  *  *  *  root  /usr/sbin/aide --check

Ενημέρωση βάσης δεδομένων AIDE

7. Αφού επιβεβαιώσετε τις αλλαγές του συστήματός σας, όπως ενημερώσεις πακέτων ή τροποποιήσεις αρχείων διαμόρφωσης, ενημερώστε τη βάση δεδομένων AIDE βάσης με την ακόλουθη εντολή.

$ sudo aide --update

Η εντολή aide --update δημιουργεί ένα νέο αρχείο βάσης δεδομένων /var/lib/aide/aide.db.new.gz. Για να ξεκινήσετε να το χρησιμοποιείτε για μελλοντικές σαρώσεις, πρέπει να το μετονομάσετε όπως φαίνεται πριν (καταργήστε τη δευτερεύουσα συμβολοσειρά .new από το όνομα του αρχείου).

Για περισσότερες πληροφορίες σχετικά με το AIDE, μπορείτε να ελέγξετε τη σελίδα man του.

$ man aide

Για άλλες διανομές Linux, μπορείτε να δείτε: Πώς να ελέγξετε την ακεραιότητα του αρχείου και του καταλόγου χρησιμοποιώντας το \AIDE” στο Linux.

Το AIDE είναι ένα ισχυρό βοηθητικό πρόγραμμα για τον έλεγχο της ακεραιότητας των αρχείων και των καταλόγων σε λειτουργικά συστήματα παρόμοια με το Unix, όπως το Linux. Σε αυτό το άρθρο, δείξαμε πώς να εγκαταστήσετε και να χρησιμοποιήσετε το AIDE στο Fedora Linux. Έχετε ερωτήσεις ή σχόλια σχετικά με το AIDE, εάν ναι, χρησιμοποιήστε τη φόρμα σχολίων για να επικοινωνήσετε μαζί μας.