Если вы подозреваете, что ваша система была скомпрометирована, а файлы и / или их разрешения были изменены злоумышленником, вы можете использовать AIDE для проверки вашей файловой системы на некоторые изменения.
AIDE (Advanced Intrusion Detection Environment) – это программа проверки целостности файлов и обнаружения вторжений.
AIDE используется для сканирования системы, когда она находится в известном хорошем состоянии – она собирает информацию о файлах и их разрешениях в файловой системе и записывает собранную информацию в базу данных.
После инициализации базы данных ее можно использовать для проверки целостности файлов в случае подозрения в компрометации.
Все обычные атрибуты файлов можно проверить на несоответствия.
В этом уроке мы покажем вам, как установить и развернуть AIDE на CentOS / Fedora / RedHat.
Шаги установки
1. Установите AIDE
# yum install aide
2. Редактирование файла конфигурации (необязательно)
# vim /etc/aide.conf
Примечание: в этом уроке мы используем значения по умолчанию
3. Создайте исходную базу данных файловой системы
# aide -i
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
Примечание: это может занять некоторое время
4. Храните исходную базу данных в безопасном месте.
Скопируйте исходный файл базы данных в безопасное место: резервный диск, удаленные хосты и т. д
5. Скопируйте исходный файл базы данных
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Примечание: во время проверки целостности AIDE будет искать файл /var/lib/aide/aide.db.gz для проверки.
6. Проверьте целостность файловой системы с помощью AIDE
# aide -C
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2015-11-11 17:02:06
Summary:
Total number of files: 233470
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /opt/teamviewer/logfiles/TeamViewer10_Logfile.log
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /opt/teamviewer/logfiles/TeamViewer10_Logfile.log
Size : 234313 , 234951
Mtime : 2015-11-11 15:01:01 , 2015-11-11 17:01:02
Ctime : 2015-11-11 15:01:01 , 2015-11-11 17:01:02
SHA256 : tzKFXGZuwCOPQmTC5xVp2kUN0phQ78t3 , bx5f9mkZIv4ZQrEkVB3uxHqXQf6IX9zc
SHA512 : lu3Iavm/Jbx1hY2safy7ws1eIRzLi8Ug , eyV/xlwVlUD/Ttssn4XPQO5fNqL84ngP
Примечание: проверка может занять некоторое время. Почти после каждой проверки AIDE обнаруживает некоторые отличия от исходной базы данных, и это нормально, потому что некоторые файлы в системе (то есть: файлы журналов) постоянно изменяются, и вам следует скорее обратить внимание на важные / критические различия файлов (например, файлы в /etc, /root и т. д.).
# tail -f /var/log/aide/aide.log
IDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2015-11-11 17:02:06
Summary:
Total number of files: 233470
Added files: 0
Removed files: 0
Changed files: 1
...