Обнаружение вторжений и проверка целостности файловой системы Linux с помощью AIDE

Если вы подозреваете, что ваша система была скомпрометирована, а файлы и / или их разрешения были изменены злоумышленником, вы можете использовать AIDE для проверки вашей файловой системы на некоторые изменения.

AIDE (Advanced Intrusion Detection Environment) — это программа проверки целостности файлов и обнаружения вторжений.

AIDE используется для сканирования системы, когда она находится в известном хорошем состоянии — она собирает информацию о файлах и их разрешениях в файловой системе и записывает собранную информацию в базу данных.

После инициализации базы данных ее можно использовать для проверки целостности файлов в случае подозрения в компрометации.

Все обычные атрибуты файлов можно проверить на несоответствия.

В этом уроке мы покажем вам, как установить и развернуть AIDE на CentOS / Fedora / RedHat.

Шаги установки

1. Установите AIDE

# yum install aide

2. Редактирование файла конфигурации (необязательно)

# vim /etc/aide.conf

Примечание: в этом уроке мы используем значения по умолчанию

3. Создайте исходную базу данных файловой системы

# aide -i

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

Примечание: это может занять некоторое время

4. Храните исходную базу данных в безопасном месте.

Скопируйте исходный файл базы данных в безопасное место: резервный диск, удаленные хосты и т. д

5. Скопируйте исходный файл базы данных

# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Примечание: во время проверки целостности AIDE будет искать файл /var/lib/aide/aide.db.gz для проверки.

6. Проверьте целостность файловой системы с помощью AIDE

# aide -C
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2015-11-11 17:02:06

Summary:
  Total number of files:	233470
  Added files:			0
  Removed files:		0
  Changed files:		1


---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /opt/teamviewer/logfiles/TeamViewer10_Logfile.log

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------


File: /opt/teamviewer/logfiles/TeamViewer10_Logfile.log
 Size     : 234313                           , 234951
 Mtime    : 2015-11-11 15:01:01              , 2015-11-11 17:01:02
 Ctime    : 2015-11-11 15:01:01              , 2015-11-11 17:01:02
 SHA256   : tzKFXGZuwCOPQmTC5xVp2kUN0phQ78t3 , bx5f9mkZIv4ZQrEkVB3uxHqXQf6IX9zc
 SHA512   : lu3Iavm/Jbx1hY2safy7ws1eIRzLi8Ug , eyV/xlwVlUD/Ttssn4XPQO5fNqL84ngP

Примечание: проверка может занять некоторое время. Почти после каждой проверки AIDE обнаруживает некоторые отличия от исходной базы данных, и это нормально, потому что некоторые файлы в системе (то есть: файлы журналов) постоянно изменяются, и вам следует скорее обратить внимание на важные / критические различия файлов (например, файлы в /etc, /root и т. д.).

# tail -f /var/log/aide/aide.log
IDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2015-11-11 17:02:06

Summary:
  Total number of files:	233470
  Added files:			0
  Removed files:		0
  Changed files:		1
...

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40