Инструменты пользователя

Инструменты сайта


aide

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

aide [2017/07/29 13:18] (текущий)
Строка 1: Строка 1:
 +====== AIDE ======
 +Оригинал статьи:​ [[http://​www.xakep.ru/​post/​54793/​default.asp|Плюс 100 к защите:​ Круговая оборона Linux десктопа]]
  
 +Одна из самых популярных HIDS, доступных в UNIX-системах,​ носит имя [[Tripwire]],​ однако в последнее время она потеряла свои позиции в пользу более открытого аналога под названием AIDE (Advanced Intrusion Detection Environment – продвинутая система обнаружения вторжений). Как и Tripwire, AIDE основана на простом предположении:​ если какие-то файлы в системе изменились без предупреждения – значит,​ произошло вторжение. На деле это выглядит еще проще: при первом запуске AIDE создает базу с контрольными суммами всех сколько-нибудь значимых для взломщика системных файлов и периодически сверяет ее состояние с актуальным состоянием системы. Если что-то изменилось,​ на предварительно указанный e-mail отправляется письмо с предупреждением и деталями изменения.
 +
 +AIDE доступна в виде прекомпилированных пакетов для любого дистрибутива и может быть установлена с помощью стандартного пакетного менеджера:​
 +
 +$ sudo apt-get install aide
 +
 +Конфигурация AIDE располагается в двух конфигурационных файлах:​
 +
 +/​etc/​default/​aide – главный конфигурационный файл
 +/​etc/​aide/​aide.conf – правила
 +Первый хранит основную конфигурацию AIDE и обычно даже не требует правки. Единственная опция, которую имеет смысл изменять,​ носит имя MAILTO и содержит адрес электронной почты, на который будут отправлены все отчеты об изменениях в файлах (по умолчанию – root). Второй хранит список правил,​ на основании которых ведется анализ состояния системы (права доступа,​ контрольные суммы и т.д.) В нем же задано место хранения базы данных,​ хранящей предыдущее согласованное состояние системы (/​var/​lib/​aide/​aide.db). Популярные дистрибутивы уже содержат список необходимых правил (которые могут быть вынесены в отдельные файлы каталога /​etc/​aide/​aide.conf.d),​ поэтому мы не будем что-либо в них менять.
 +Чтобы инициализировать новую базу AIDE, воспользуемся командой aideinit:
 +
 +$ sudo aideinit
 +
 +После окончания ее работы в каталоге /​var/​lib/​aide будет создана новая база с именем aide.db.new. Чтобы сделать ее базой согласованного состояния системы,​ произведем переименование:​
 +
 +$ sudo mv /​var/​lib/​aide/​aide.db.new /​var/​lib/​aide/​aide.db
 +
 +После этого можно произвести первую проверку системы:​
 +
 +$ sudo aide -c /​etc/​aide/​aide.conf --check
 +
 +При установке AIDE помещает себя в список заданий cron, поэтому проверки будут происходить каждый день. Однако не следует полностью полагаться на систему. Если взломщик сможет модифицировать системные файлы для установки бэкдора,​ он также сможет модифицировать и сам AIDE, включая базы данные и бинарные файлы, поэтому лучший способ использования AIDE заключается в помещении ее на USB-флешку и ручной запуск в случае необходимости (не забыв исправить путь поиска баз данных в файле aide.conf):
 +
 +# cp /​var/​lib/​aide/​aide.db* /​usr/​bin/​aide \
 +  /​etc/​aide/​aide.conf /​etc/​aide/​aide.conf.d/​* /​media/​флешка
 +
 +Конечно же, после каждого намеренного изменения состояния системы (установка пакетов,​ изменение конфигов и т.д.) базу придется пересоздавать. Такова уж расплата за гарантию безопасности.
 +
 +Кроме HIDS общего назначения для UNIX-систем разработано несколько утилит,​ специализирующихся исключительно на руткитах. Программы [[chkrootkit]] и [[rkhunter]] используют базу сигнатур для поиска и обнаружения вредоносного ПО (rkhunter также проверяет целостность исполняемых файлов,​ загрузочных скриптов и анализирует сетевые интерфейсы на предмет прослушиваемых портов). Обычно их используют совместно с AIDE для создания дополнительного слоя безопасности. Доступны в любом дистрибутиве. Использовать предельно просто:​
 +
 +<​file>​
 +$ sudo chkrootkit
 +  $ sudo rkhunter --check
 +</​file>​
 +
 +На экране появится информация о проверяемых бинарниках,​ файлах доступа,​ проверки на известные типы руткитов и т.д. Обе программы написаны на языке shell, поэтому используют стандартные утилиты командной строки (awk, cat, grep, …) для выполнения проверок. Если ты не уверен в целостности этих утилит,​ помести их заведомо «чистые» версии на флешку и вызывай программы следующим образом:​
 +
 +$ sudo chkrootkit -p /​media/​флешка
 +  $ sudo rkhunter --check --bindir /​media/​флешка
загрузка...
aide.txt · Последние изменения: 2017/07/29 13:18 (внешнее изменение)