Инструменты пользователя

Инструменты сайта


Боковая панель

Связь

aide

AIDE

Оригинал статьи: Плюс 100 к защите: Круговая оборона Linux десктопа

Одна из самых популярных HIDS, доступных в UNIX-системах, носит имя Tripwire, однако в последнее время она потеряла свои позиции в пользу более открытого аналога под названием AIDE (Advanced Intrusion Detection Environment – продвинутая система обнаружения вторжений). Как и Tripwire, AIDE основана на простом предположении: если какие-то файлы в системе изменились без предупреждения – значит, произошло вторжение. На деле это выглядит еще проще: при первом запуске AIDE создает базу с контрольными суммами всех сколько-нибудь значимых для взломщика системных файлов и периодически сверяет ее состояние с актуальным состоянием системы. Если что-то изменилось, на предварительно указанный e-mail отправляется письмо с предупреждением и деталями изменения.

AIDE доступна в виде прекомпилированных пакетов для любого дистрибутива и может быть установлена с помощью стандартного пакетного менеджера:

$ sudo apt-get install aide

Конфигурация AIDE располагается в двух конфигурационных файлах:

/etc/default/aide – главный конфигурационный файл /etc/aide/aide.conf – правила Первый хранит основную конфигурацию AIDE и обычно даже не требует правки. Единственная опция, которую имеет смысл изменять, носит имя MAILTO и содержит адрес электронной почты, на который будут отправлены все отчеты об изменениях в файлах (по умолчанию – root). Второй хранит список правил, на основании которых ведется анализ состояния системы (права доступа, контрольные суммы и т.д.) В нем же задано место хранения базы данных, хранящей предыдущее согласованное состояние системы (/var/lib/aide/aide.db). Популярные дистрибутивы уже содержат список необходимых правил (которые могут быть вынесены в отдельные файлы каталога /etc/aide/aide.conf.d), поэтому мы не будем что-либо в них менять. Чтобы инициализировать новую базу AIDE, воспользуемся командой aideinit:

$ sudo aideinit

После окончания ее работы в каталоге /var/lib/aide будет создана новая база с именем aide.db.new. Чтобы сделать ее базой согласованного состояния системы, произведем переименование:

$ sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

После этого можно произвести первую проверку системы:

$ sudo aide -c /etc/aide/aide.conf –check

При установке AIDE помещает себя в список заданий cron, поэтому проверки будут происходить каждый день. Однако не следует полностью полагаться на систему. Если взломщик сможет модифицировать системные файлы для установки бэкдора, он также сможет модифицировать и сам AIDE, включая базы данные и бинарные файлы, поэтому лучший способ использования AIDE заключается в помещении ее на USB-флешку и ручной запуск в случае необходимости (не забыв исправить путь поиска баз данных в файле aide.conf):

# cp /var/lib/aide/aide.db* /usr/bin/aide \

/etc/aide/aide.conf /etc/aide/aide.conf.d/* /media/флешка

Конечно же, после каждого намеренного изменения состояния системы (установка пакетов, изменение конфигов и т.д.) базу придется пересоздавать. Такова уж расплата за гарантию безопасности.

Кроме HIDS общего назначения для UNIX-систем разработано несколько утилит, специализирующихся исключительно на руткитах. Программы chkrootkit и rkhunter используют базу сигнатур для поиска и обнаружения вредоносного ПО (rkhunter также проверяет целостность исполняемых файлов, загрузочных скриптов и анализирует сетевые интерфейсы на предмет прослушиваемых портов). Обычно их используют совместно с AIDE для создания дополнительного слоя безопасности. Доступны в любом дистрибутиве. Использовать предельно просто:

$ sudo chkrootkit
  $ sudo rkhunter --check

На экране появится информация о проверяемых бинарниках, файлах доступа, проверки на известные типы руткитов и т.д. Обе программы написаны на языке shell, поэтому используют стандартные утилиты командной строки (awk, cat, grep, …) для выполнения проверок. Если ты не уверен в целостности этих утилит, помести их заведомо «чистые» версии на флешку и вызывай программы следующим образом:

$ sudo chkrootkit -p /media/флешка

$ sudo rkhunter --check --bindir /media/флешка



aide.txt · Последние изменения: 2017/07/29 13:18 — darkfire