Jinsi ya Kuangalia Uadilifu wa Faili na Saraka Kutumia AIDE kwenye Linux
Katika mwongozo wetu mkuu wa kuimarisha na kulinda CentOS 7, chini ya sehemu ya linda mfumo wa ndani, mojawapo ya zana muhimu za usalama tulizoorodhesha kwa ulinzi wa mfumo wa ndani dhidi ya virusi, vifaa vya mizizi, programu hasidi, na ugunduzi wa shughuli zisizoidhinishwa ni AIDE.
AIDE (Mazingira ya Juu ya Ugunduzi wa Uingiliaji) ni zana ndogo lakini yenye nguvu, isiyolipishwa ya kugundua uvamizi wa chanzo, ambayo hutumia sheria zilizoainishwa ili kuangalia uadilifu wa faili na saraka katika mifumo ya uendeshaji kama Unix kama vile Linux. Ni mfumo wa jozi huru wa tuli kwa usanidi uliorahisishwa wa ufuatiliaji wa mteja/seva.
Ina vipengele vingi: hutumia faili za usanidi wa maandishi wazi na hifadhidata kuifanya iwe rahisi kutumia; inasaidia algoriti kadhaa za usagaji wa ujumbe kama vile lakini sio tu kwa md5, sha1, rmd160, tiger; inasaidia sifa za faili za kawaida; pia inasaidia usemi wa kawaida wenye nguvu ili kujumuisha au kutenganisha faili na saraka ili kuchanganuliwa.
Pia inaweza kukusanywa kwa usaidizi wa kipekee kwa ukandamizaji wa Gzip, Posix ACL, SELinux, XAttrs na sifa za mfumo wa faili uliopanuliwa.
Aide hufanya kazi kwa kuunda hifadhidata (ambayo ni picha ndogo tu ya sehemu zilizochaguliwa za mfumo wa faili), kutoka kwa sheria za kawaida za kujieleza zilizofafanuliwa katika faili za usanidi. Mara tu hifadhidata hii inapoanzishwa, unaweza kuthibitisha uadilifu wa faili za mfumo dhidi yake. Mwongozo huu utaonyesha jinsi ya kusakinisha na kutumia msaidizi katika Linux.
Jinsi ya kufunga AIDE kwenye Linux
Aide imewekwa katika hazina rasmi za usambazaji wa kawaida wa Linux, ili kuisakinisha endesha amri ya usambazaji wako kwa kutumia kidhibiti cha kifurushi.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
Baada ya kuiweka, faili kuu ya usanidi ni /etc/aide.conf. Ili kutazama toleo lililosanikishwa na pia kukusanya vigezo vya wakati, endesha amri hapa chini kwenye terminal yako:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Unaweza kufungua usanidi kwa kutumia kihariri unachopenda.
# vi /etc/aide.conf
Ina maagizo ambayo yanafafanua eneo la hifadhidata, eneo la ripoti, sheria chaguo-msingi, saraka/faili zitakazojumuishwa kwenye hifadhidata.
Kwa kutumia sheria chaguo-msingi zilizo hapo juu, unaweza kufafanua sheria mpya maalum katika faili ya aide.conf kwa mfano.
PERMS = p+u+g+acl+selinux+xattrs
Sheria ya PERMS inatumika kwa udhibiti wa ufikiaji pekee, itagundua mabadiliko yoyote ya faili au saraka kulingana na ruhusa za faili/saraka, mtumiaji, kikundi, ruhusa za udhibiti wa ufikiaji, muktadha wa SELinux na sifa za faili.
Hii itaangalia tu yaliyomo kwenye faili na aina ya faili.
CONTENT = sha256+ftype
Hili ni toleo la kupanuliwa la sheria ya awali, huangalia maudhui yaliyopanuliwa, aina ya faili na ufikiaji.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Sheria ya DATAONLY iliyo hapa chini itasaidia kugundua mabadiliko yoyote katika data ndani ya faili/saraka zote.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Kufafanua Sheria za Kutazama Faili na Saraka
Mara tu unapofafanua sheria, unaweza kubainisha faili na saraka za kutazama. Kwa kuzingatia sheria ya PERMS hapo juu, ufafanuzi huu utaangalia ruhusa za faili zote kwenye saraka ya mizizi.
/root/\..* PERMS
Hii itaangalia faili zote kwenye saraka ya /root kwa mabadiliko yoyote.
/root/ CONTENT_EX
Ili kukusaidia kugundua mabadiliko yoyote katika data ndani ya faili/saraka zote chini ya /etc/, tumia hii.
/etc/ DATAONLY
Kutumia AIDE Kuangalia Uadilifu wa Faili na Saraka katika Linux
Anza kwa kuunda hifadhidata dhidi ya ukaguzi utakaofanywa kwa kutumia alama ya --init. Hili linatarajiwa kufanywa kabla ya mfumo wako kuunganishwa kwenye mtandao.
Amri iliyo hapa chini itaunda hifadhidata ambayo ina faili zote ulizochagua katika faili yako ya usanidi.
# aide --init
Kisha ubadilishe jina la hifadhidata kuwa /var/lib/aide/aide.db.gz kabla ya kuendelea, ukitumia amri hii.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Inapendekezwa kuhamisha hifadhidata hadi eneo salama ikiwezekana katika media ya kusoma tu au kwenye mashine zingine, lakini hakikisha kuwa unasasisha faili ya usanidi ili kuisoma kutoka hapo.
Baada ya hifadhidata kuundwa, sasa unaweza kuangalia uadilifu wa faili na saraka kwa kutumia alama ya --check.
# aide --check
Itasoma picha ndogo kwenye hifadhidata na kuilinganisha na faili/saraka zilizokupata diski ya mfumo. Ikipata mabadiliko katika maeneo ambayo huenda hukutarajia, itazalisha ripoti ambayo unaweza kukagua.
Kwa kuwa hakuna mabadiliko yoyote ambayo yamefanywa kwa mfumo wa faili, utapata tu matokeo sawa na hapo juu. Sasa jaribu kuunda faili zingine kwenye mfumo wa faili, katika maeneo yaliyoainishwa kwenye faili ya usanidi.
# vi /etc/script.sh # touch all.txt
Kisha endesha cheki tena, ambayo inapaswa kuripoti faili zilizoongezwa hapo juu. Matokeo ya amri hii inategemea sehemu za mfumo wa faili ulizosanidi kwa kuangalia, inaweza kuwa muda mrefu wa ziada.
# aide --check
Unahitaji kufanya ukaguzi wa wasaidizi mara kwa mara, na iwapo kutatokea mabadiliko yoyote kwa faili zilizochaguliwa tayari au nyongeza ya ufafanuzi mpya wa faili katika faili ya usanidi, sasisha kila wakati hifadhidata kwa kutumia chaguo la --update:
# aide --update
Baada ya kuendesha sasisho la hifadhidata, kutumia hifadhidata mpya kwa skana za siku zijazo, ipe jina tena /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Ni hayo tu kwa sasa! Lakini kumbuka mambo haya muhimu:
- Sifa moja ya mifumo mingi ya kugundua uvamizi wa AIDE ikijumuisha, ni kwamba haitatoa suluhu kwa mianya mingi ya usalama kwenye mfumo. Hata hivyo, husaidia kurahisisha mchakato wa mwitikio wa kuingilia kwa kuwasaidia wasimamizi wa mfumo kuchunguza mabadiliko yoyote kwa faili/saraka za mfumo. Kwa hivyo unapaswa kuwa macho kila wakati na uendelee kusasisha hatua zako za sasa za usalama.
- Inapendekezwa sana kuweka hifadhidata mpya iliyoundwa, faili ya usanidi na jozi ya AIDE katika eneo salama kama vile media ya kusoma tu (inawezekana ikiwa utasakinisha kutoka kwa chanzo).
- Kwa usalama wa ziada, zingatia kusaini usanidi na/au hifadhidata.
Kwa habari zaidi na usanidi, angalia ukurasa wake wa mtu au angalia Ukurasa wa Nyumbani wa AIDE: http://aide.sourceforge.net/