AIUTO e sicurezza
Questo articolo è la seconda parte di una serie di articoli sulla sicurezza di Linux. Nella prima parte, discuto il concetto di Pluggable Authentication Modules (PAM) con un esempio di impostazione di condizioni di password complesse per un utente normale per migliorare la sicurezza di quell'utente. In questa parte, parlerò dell'Advanced Intrusion Detection Environment (AIDE).
Nella sicurezza di Linux, è molto importante tenere traccia dei dati. Come amministratore di sistema, dovresti sapere come controllare l'integrità di file e directory. Puoi farlo con lo strumento AIDE.
[ Potrebbe interessarti anche: Protezione di un sistema Linux ereditato ]
Lo strumento AIDE ti aiuta anche nel monitoraggio dei file in termini di autorizzazioni, proprietà e Security-Enhanced Linux (SELinux). Se qualcuno tenta di modificare un file specifico, puoi controllare quel file usando AIDE.
Introduzione dell'AIDE
Ambiente avanzato di rilevamento delle intrusioni (AIDE) è un potente strumento di rilevamento delle intrusioni open source che utilizza regole predefinite per verificare l'integrità di file e directory nel sistema operativo Linux. AIDE ha il proprio database per verificare l'integrità di file e directory.
AIDE aiuta a monitorare quei file che sono stati modificati o modificati di recente. Puoi tenere traccia di file o directory quando qualcuno tenta di modificarli o cambiarli. Ma sorge la domanda:AIDE è sicuro?
AIDE è protetto da SELinux. SElinux protegge il processo AIDE con il controllo degli accessi obbligatorio. Definisce i tipi di processo (domini) per ogni processo in esecuzione sul sistema. La politica AIDE di SELinux è molto flessibile, consentendo agli utenti di impostare i propri processi AIDE nel modo più sicuro possibile.
AIDE Installazione
Esiste la possibilità che in alcune distribuzioni Linux, AIDE non sia installato. Per installare AIDE sul tuo sistema, usa il seguente comando:
# yum install aide -y Puoi controllare la versione di AIDE usando:
# aide -v
In AIDE, il percorso del file di configurazione è /etc/aide.conf . Questa configurazione può inizializzare o controllare il database. In questa configurazione alcune regole sono già predefinite come PERMS, NORMAL, LSPP, DATAONLY e così via. Queste regole personalizzate contengono molte impostazioni predefinite relative a permessi, inode, numero di link, acl , selinux , ecc. Un esempio di regola personalizzata è :
$ PERMS= p+i+n+u+g+acl+selinux Dove:
p:permessoi:inodeN:numero di linkg:gruppoacl:lista di controllo accessiselinux:contesto di sicurezza SELinux
Queste regole aiutano a tenere traccia e rilevare i file. Se inserisci le regole PERMS su qualsiasi directory o file, tutte queste regole vengono implementate per il rilevamento e il monitoraggio. Utilizzando tutte queste regole dichiarate, puoi anche creare le tue regole personalizzate, che sono una combinazione di più regole.
Prima di inizializzare il database AIDE, è importante impostare le regole per le directory o i file. Puoi farlo in /etc/aide.conf file stesso. Supponiamo di voler tenere traccia del /etc/passwd file in modo da poter inserire regole come PERMS su quel file per verificare l'integrità del file utilizzando un database AIDE.
Implementazione AIDE
Per implementare AIDE sul tuo sistema, devi inizializzare il database. Utilizzando questo database AIDE, viene eseguito un controllo di integrità su tutti i file e le directory. Il database AIDE viene generato in /var/lib/aide directory. Puoi anche controllare il contesto di questa directory utilizzando:
$ ls -ldZ /var/lib/aide
drwx------. 2 root root system_u:object_r:aide_db_t:s0 4096 Jul 31 2019 /var/lib/aide/
Questa directory ha aide_db_t contesto impostato da SELinux. Questo contesto viene utilizzato quando si desidera trattare i file come contenuto del database AIDE. I registri AIDE sono archiviati in /var/log/aide directory e questa directory ha anche aide_log_t contesto.
Per inizializzare il database AIDE, utilizza il comando:
$ aide --init
Questo comando genera un file gzippato del database. Puoi utilizzare il file zippato per il controllo dell'integrità.
Supponi di dover monitorare /etc/hosts file. In modo che se qualcuno tenta di inserire un file o tenta di modificarlo in tua assenza, puoi controllare quel file utilizzando AIDE.
Dopo aver installato AIDE sul tuo sistema, inserisci una voce in /etc/aide.conf file con regole personalizzate. È necessario monitorare i file per le modifiche di autorizzazioni, gruppi, proprietà e tempo di accesso ai file. Puoi quindi selezionare qualsiasi regola personalizzata che contenga tutti questi punti.
Qui inserisco il set di regole FIPSR perché queste regole personalizzate contengono le regole normali massime.
FIPSR= p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
NOTA :prima di scrivere qualsiasi cosa su aide.conf file, fai sempre un backup.
# cp /etc/aide.conf /etc/aide`date +%F`.conf
In /etc/aide.conf file, puoi scrivere il nome del file con questa regola personalizzata:
/etc/hosts FIPSR
Successivamente, puoi inizializzare il database utilizzando aide --init comando. Questo genera un gzip file con il nome di aide.db.new.gz . Sposta questo file all'interno della directory predefinita del database AIDE con il nome di aide.db.gz
$ mv aide.db.new.gz /var/lib/aide/aide.db.gz In questo modo è possibile impostare il database nella posizione corretta.
Dopo che AIDE viene informato dello stato corrente del file system, può rilevare le modifiche al file system confrontandolo con lo stato noto. Per verificarne l'integrità, utilizzare:
$ aide --check
Questo comando ti fornisce un output in dettaglio. Se il /etc/hosts il file viene modificato, quindi viene richiesto chiaramente l'ultimo file modificato.
Se vuoi aggiornare il database AIDE dopo aver inserito nuovi inserimenti in aide.conf , usa:
$ aide --update [ Stai pensando alla sicurezza? Dai un'occhiata a questa guida gratuita per aumentare la sicurezza del cloud ibrido e proteggere la tua azienda. ]
Concludi
In questo articolo, hai imparato a conoscere l'Advanced Intrusion Detection Environment (AIDE) e come può essere utilizzato per migliorare la sicurezza di Linux. È possibile monitorare file e directory e anche verificarne l'integrità. Il database AIDE ti aiuta a rilevare le modifiche che si verificano su qualsiasi file o directory.