В нашем мега-справочнике по укрепление и защита CentOS 7в разделе «защитить систему изнутри”, Одним из перечисленных нами полезных инструментов безопасности для внутренней защиты системы от вирусов, руткитов, вредоносных программ и обнаружения несанкционированных действий является Помощник.
Помощник (Расширенная среда обнаружения вторжений) - это небольшой, но мощный бесплатный инструмент обнаружения вторжений с открытым исходным кодом, который использует предопределенные правила для проверки целостности файлов и каталогов в Unix-подобных операционных системах, таких как Linux. Это независимый статический двоичный файл для упрощенных конфигураций мониторинга клиент / сервер.
Он многофункциональный: использует простые текстовые файлы конфигурации и базу данных, что упрощает использование; поддерживает несколько алгоритмов дайджеста сообщений, таких как, помимо прочего, md5, sha1, rmd160, tiger; поддерживает общие атрибуты файлов; также поддерживает мощные регулярные выражения для выборочного включения или исключения файлов и каталогов для сканирования.
Также он может быть скомпилирован с исключительной поддержкой сжатия Gzip, Posix ACL, SELinux, XAttrs и расширенных атрибутов файловой системы.
Aide работает путем создания базы данных (которая представляет собой просто снимок выбранных частей файловой системы) на основе правил регулярных выражений, определенных в файле (файлах) конфигурации. После инициализации этой базы данных вы можете проверить целостность системных файлов. Это руководство покажет, как установить и использовать помощник в Linux.
Aide упакован в официальные репозитории основных дистрибутивов Linux, чтобы установить его, выполните команду для вашего дистрибутива с помощью диспетчера пакетов.
# apt install aide [В Debian / Ubuntu] # yum install aide [в RHEL / CentOS] # dnf install aide [в Fedora 22+] # помощник по установке zypper [В openSUSE] # помощник по появлению [на Gentoo]
После его установки основной файл конфигурации /etc/aide.conf. Чтобы просмотреть установленную версию, а также параметры времени компиляции, выполните следующую команду на своем терминале:
# помощник -v.
Aide 0.14 Скомпилирован со следующими параметрами: WITH_MMAP. WITH_POSIX_ACL. WITH_SELINUX. WITH_PRELINK. WITH_XATTR. WITH_LSTAT64. С_READDIR64. WITH_ZLIB. WITH_GCRYPT. WITH_AUDIT. CONFIG_FILE = "/etc/aide.conf"
Вы можете открыть конфигурацию с помощью вашего любимого редактора.
# vi /etc/aide.conf.
В нем есть директивы, которые определяют местоположение базы данных, местоположение отчета, правила по умолчанию, каталоги / файлы, которые должны быть включены в базу данных.
Используя приведенные выше правила по умолчанию, вы можете определить новые пользовательские правила в aide.conf файл например.
PERMS = p + u + g + acl + selinux + xattrs.
В ПЕРМС правило используется только для контроля доступа, оно будет обнаруживать любые изменения в файле или каталогах на основе разрешения файла / каталога, пользователь, группа, разрешения управления доступом, контекст SELinux и файл атрибуты.
Это будет проверять только содержимое файла и тип файла.
СОДЕРЖАНИЕ = sha256 + ftype.
Это расширенная версия предыдущего правила, оно проверяет расширенный контент, тип файла и доступ.
CONTENT_EX = sha256 + ftype + p + u + g + n + acl + selinux + xattrs.
В ТОЛЬКО ДАННЫЕ приведенное ниже правило поможет обнаружить любые изменения данных во всех файлах / каталогах.
ТОЛЬКО ДАННЫЕ = p + n + u + g + s + acl + selinux + xattrs + sha256.
После того, как вы определили правила, вы можете указать файл и каталоги для просмотра. Учитывая приведенное выше правило PERMS, это определение будет проверять разрешения для всех файлов в корневом каталоге.
/root/\..* PERMS.
Это проверит все файлы в /root каталог для любых изменений.
/ корень / CONTENT_EX.
Чтобы помочь вам обнаружить любые изменения данных во всех файлах / каталогах в /etc/, использовать этот.
/ etc / ТОЛЬКО ДАННЫЕ
Начните с создания базы данных по проверкам, которые будут выполняться с использованием --в этом
флаг. Ожидается, что это будет сделано до того, как ваша система будет подключена к сети.
Приведенная ниже команда создаст базу данных, содержащую все файлы, выбранные вами в файле конфигурации.
# помощник --init.
Затем переименуйте базу данных в /var/lib/aide/aide.db.gz прежде чем продолжить, используйте эту команду.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz.
Рекомендуется переместить базу данных в безопасное место, возможно, на носителе только для чтения или на других машинах, но убедитесь, что вы обновили файл конфигурации, чтобы прочитать его оттуда.
После создания базы данных вы можете теперь проверить целостность файлов и каталогов, используя --чек об оплате
флаг.
# помощник --check.
Он прочитает снимок в базе данных и сравнит его с файлами / каталогами, найденными на вашем системном диске. Если он обнаруживает изменения в местах, которых вы не ожидали, он генерирует отчет, который вы затем можете просмотреть.
Поскольку в файловую систему не было внесено никаких изменений, вы получите только результат, аналогичный приведенному выше. Теперь попробуйте создать несколько файлов в файловой системе в областях, определенных в файле конфигурации.
# vi /etc/script.sh. # коснитесь all.txt.
Затем запустите проверку еще раз, которая должна сообщить о добавленных выше файлах. Результат этой команды зависит от того, какие части файловой системы вы настроили для проверки, это может занять много времени.
# помощник --check.
Вам необходимо регулярно запускать вспомогательные проверки, и в случае каких-либо изменений в уже выбранных файлах или добавления новых определений файлов в файл конфигурации всегда обновляйте базу данных, используя --Обновить
вариант:
# помощник --update.
После запуска обновления базы данных, чтобы использовать новую базу данных для будущих сканирований, всегда переименовывайте ее в /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz.
На этом пока все! Но обратите внимание на эти важные моменты:
Для получения дополнительной информации и настроек см. Его справочную страницу или загляните на домашнюю страницу AIDE: http://aide.sourceforge.net/