Инструменты пользователя

Инструменты сайта


aide

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Следующая версия
Предыдущая версия
aide [2017/07/29 16:18]
127.0.0.1 внешнее изменение
— (текущий)
Строка 1: Строка 1:
-====== AIDE ====== 
-Оригинал статьи:​ [[http://​www.xakep.ru/​post/​54793/​default.asp|Плюс 100 к защите:​ Круговая оборона Linux десктопа]] 
  
-Одна из самых популярных HIDS, доступных в UNIX-системах,​ носит имя [[Tripwire]],​ однако в последнее время она потеряла свои позиции в пользу более открытого аналога под названием AIDE (Advanced Intrusion Detection Environment – продвинутая система обнаружения вторжений). Как и Tripwire, AIDE основана на простом предположении:​ если какие-то файлы в системе изменились без предупреждения – значит,​ произошло вторжение. На деле это выглядит еще проще: при первом запуске AIDE создает базу с контрольными суммами всех сколько-нибудь значимых для взломщика системных файлов и периодически сверяет ее состояние с актуальным состоянием системы. Если что-то изменилось,​ на предварительно указанный e-mail отправляется письмо с предупреждением и деталями изменения. 
- 
-AIDE доступна в виде прекомпилированных пакетов для любого дистрибутива и может быть установлена с помощью стандартного пакетного менеджера:​ 
- 
-$ sudo apt-get install aide 
- 
-Конфигурация AIDE располагается в двух конфигурационных файлах:​ 
- 
-/​etc/​default/​aide – главный конфигурационный файл 
-/​etc/​aide/​aide.conf – правила 
-Первый хранит основную конфигурацию AIDE и обычно даже не требует правки. Единственная опция, которую имеет смысл изменять,​ носит имя MAILTO и содержит адрес электронной почты, на который будут отправлены все отчеты об изменениях в файлах (по умолчанию – root). Второй хранит список правил,​ на основании которых ведется анализ состояния системы (права доступа,​ контрольные суммы и т.д.) В нем же задано место хранения базы данных,​ хранящей предыдущее согласованное состояние системы (/​var/​lib/​aide/​aide.db). Популярные дистрибутивы уже содержат список необходимых правил (которые могут быть вынесены в отдельные файлы каталога /​etc/​aide/​aide.conf.d),​ поэтому мы не будем что-либо в них менять. 
-Чтобы инициализировать новую базу AIDE, воспользуемся командой aideinit: 
- 
-$ sudo aideinit 
- 
-После окончания ее работы в каталоге /​var/​lib/​aide будет создана новая база с именем aide.db.new. Чтобы сделать ее базой согласованного состояния системы,​ произведем переименование:​ 
- 
-$ sudo mv /​var/​lib/​aide/​aide.db.new /​var/​lib/​aide/​aide.db 
- 
-После этого можно произвести первую проверку системы:​ 
- 
-$ sudo aide -c /​etc/​aide/​aide.conf --check 
- 
-При установке AIDE помещает себя в список заданий cron, поэтому проверки будут происходить каждый день. Однако не следует полностью полагаться на систему. Если взломщик сможет модифицировать системные файлы для установки бэкдора,​ он также сможет модифицировать и сам AIDE, включая базы данные и бинарные файлы, поэтому лучший способ использования AIDE заключается в помещении ее на USB-флешку и ручной запуск в случае необходимости (не забыв исправить путь поиска баз данных в файле aide.conf): 
- 
-# cp /​var/​lib/​aide/​aide.db* /​usr/​bin/​aide \ 
-  /​etc/​aide/​aide.conf /​etc/​aide/​aide.conf.d/​* /​media/​флешка 
- 
-Конечно же, после каждого намеренного изменения состояния системы (установка пакетов,​ изменение конфигов и т.д.) базу придется пересоздавать. Такова уж расплата за гарантию безопасности. 
- 
-Кроме HIDS общего назначения для UNIX-систем разработано несколько утилит,​ специализирующихся исключительно на руткитах. Программы [[chkrootkit]] и [[rkhunter]] используют базу сигнатур для поиска и обнаружения вредоносного ПО (rkhunter также проверяет целостность исполняемых файлов,​ загрузочных скриптов и анализирует сетевые интерфейсы на предмет прослушиваемых портов). Обычно их используют совместно с AIDE для создания дополнительного слоя безопасности. Доступны в любом дистрибутиве. Использовать предельно просто:​ 
- 
-<​file>​ 
-$ sudo chkrootkit 
-  $ sudo rkhunter --check 
-</​file>​ 
- 
-На экране появится информация о проверяемых бинарниках,​ файлах доступа,​ проверки на известные типы руткитов и т.д. Обе программы написаны на языке shell, поэтому используют стандартные утилиты командной строки (awk, cat, grep, …) для выполнения проверок. Если ты не уверен в целостности этих утилит,​ помести их заведомо «чистые» версии на флешку и вызывай программы следующим образом:​ 
- 
-$ sudo chkrootkit -p /​media/​флешка 
-  $ sudo rkhunter --check --bindir /​media/​флешка 
загрузка...
aide.1501334315.txt.gz · Последние изменения: 2017/07/29 16:18 — 127.0.0.1