Cara memeriksa integritas file dan direktori menggunakan ajudan di Linux

Dalam panduan mega kami untuk mengeras dan mengamankan Centos 7, di bawah bagian "melindungi sistem secara internal”, Salah satu alat keamanan yang berguna yang kami daftarkan untuk perlindungan sistem internal terhadap virus, rootkit, malware, dan deteksi kegiatan yang tidak sah adalah PEMBANTU.

PEMBANTU (Lingkungan Deteksi Intrusi Lanjutan) adalah alat deteksi intrusi open source kecil namun kuat, yang menggunakan aturan yang telah ditentukan untuk memeriksa file dan integritas direktori dalam sistem operasi seperti UNIX seperti Linux. Ini adalah biner statis independen untuk konfigurasi pemantauan klien/server yang disederhanakan.

Ini kaya fitur: menggunakan file konfigurasi teks biasa dan basis data yang memudahkan digunakan; mendukung beberapa algoritma Digest pesan seperti tetapi tidak terbatas pada MD5, SHA1, RMD160, Tiger; mendukung atribut file umum; juga mendukung ekspresi reguler yang kuat untuk secara selektif memasukkan atau mengecualikan file dan direktori yang akan dipindai.

Juga dapat dikompilasi dengan dukungan luar biasa untuk kompresi GZIP, POSIX ACL, Selinux, XATTR dan atribut sistem file yang diperluas.

Aide bekerja dengan membuat database (yang hanya merupakan snapshot dari bagian -bagian yang dipilih dari sistem file), dari aturan ekspresi reguler yang ditentukan dalam file konfigurasi (s). Setelah database ini diinisialisasi, Anda dapat memverifikasi integritas file sistem terhadapnya. Panduan ini akan menunjukkan cara menginstal dan menggunakan ajudan di Linux.

Cara menginstal ajudan di linux

Aide dikemas dalam repositori resmi distribusi Linux utama, untuk menginstalnya menjalankan perintah untuk distribusi Anda menggunakan paket manajer.

# APT INSTALL AIDE [ON DEBIAN/UBUNTU] # YUM INSTALL AIDE [ON RHEL/CENTOS] # DNF INSTALL AIDE [ON FEDORA 22+] # ZYPP INSTAL 

Setelah menginstalnya, file konfigurasi utama adalah /etc/ajudan.conf. Untuk melihat versi yang diinstal serta mengkompilasi parameter waktu, jalankan perintah di bawah ini di terminal Anda:

# ajudan -v 

Output sampel

Ajudan 0.14 Disusun dengan opsi berikut: with_mmap with_posix_acl with_selinux with_prelink with_xattr with_lstat64 with_readdir64 with_zlib with_gcrypt with_audit config_file = "/etc/ajudan.conf " 

Anda dapat membuka konfigurasi menggunakan editor favorit Anda.

# vi /etc /ajudan.conf 

Ini memiliki arahan yang menentukan lokasi basis data, lokasi laporan, aturan default, direktori/file yang akan dimasukkan dalam database.

Memahami aturan ajudan default

Aturan default ajudan

Menggunakan aturan default di atas, Anda dapat menentukan aturan kustom baru di pembantu.conf file misalnya.

Perms = p+u+g+acl+selinux+xattrs 

Itu Perms Aturan digunakan hanya untuk kontrol akses, ia akan mendeteksi perubahan pada file atau direktori berdasarkan izin file/direktori, pengguna, grup, izin kontrol akses, konteks selinux dan atribut file.

Ini hanya akan memeriksa konten file dan jenis file.

Konten = sha256+ftype 

Ini adalah versi yang diperluas dari aturan sebelumnya, ia memeriksa konten yang diperluas, jenis file, dan akses.

Content_ex = sha256+ftype+p+u+g+n+acl+selinux+xattrs 

Itu Dataonly Aturan di bawah ini akan membantu mendeteksi perubahan data di dalam semua file/direktori.

DataOnly = p+n+u+g+s+acl+selinux+xattrs+sha256 

Konfigurasikan aturan ajudan

Mendefinisikan aturan untuk menonton file dan direktori

Setelah Anda memiliki aturan yang ditentukan, Anda dapat menentukan file dan direktori untuk ditonton. Mempertimbangkan aturan perms di atas, definisi ini akan memeriksa izin untuk semua file di direktori root.

/root/\ ... * perms 

Ini akan memeriksa semua file di /akar direktori untuk perubahan apa pun.

/ root/ content_ex 

Untuk membantu Anda mendeteksi perubahan data di dalam semua file/direktori di bawah /dll/, Gunakan ini.

/ etc/ dataonly 

Konfigurasikan aturan ajudan untuk sistem file

Menggunakan ajudan untuk memeriksa file dan integritas direktori di Linux

Mulailah dengan membangun database terhadap cek yang akan dilakukan menggunakan --init bendera. Ini diharapkan dilakukan sebelum sistem Anda terhubung ke jaringan.

Perintah di bawah ini akan membuat database yang berisi semua file yang Anda pilih di file konfigurasi Anda.

# ajudan --inin 

Inisialisasi database ajudan

Kemudian ganti nama database menjadi /var/lib/ajudan.db.GZ Sebelum melanjutkan, menggunakan perintah ini.

# mv/var/lib/ajudan/ajudan.db.baru.GZ/var/lib/ajudan/ajudan.db.GZ 

Disarankan untuk memindahkan database ke lokasi yang aman mungkin di media hanya baca atau di mesin lain, tetapi pastikan Anda memperbarui file konfigurasi untuk membacanya dari sana.

Setelah database dibuat, Anda sekarang dapat memeriksa integritas file dan direktori menggunakan --memeriksa bendera.

# ajudan -CHECK 

Itu akan membaca snapshot di database dan membandingkannya dengan file/direktori menemukan Anda disk sistem. Jika menemukan perubahan di tempat yang mungkin tidak Anda harapkan, itu menghasilkan laporan yang kemudian dapat Anda ulas.

Jalankan Pemeriksaan Integritas File

Karena tidak ada perubahan yang dilakukan pada sistem file, Anda hanya akan mendapatkan output yang mirip dengan yang di atas. Sekarang coba buat beberapa file di sistem file, di area yang ditentukan dalam file konfigurasi.

# vi /etc /skrip.SH # Sentuh Semua.txt 

Kemudian jalankan cek sekali lagi, yang seharusnya melaporkan file yang ditambahkan di atas. Output dari perintah ini tergantung pada bagian -bagian dari sistem file yang Anda konfigurasikan untuk memeriksa, itu bisa lama lembur.

# ajudan -CHECK 

Periksa Perubahan Sistem File

Anda perlu menjalankan pemeriksaan ajudan secara teratur, dan jika ada perubahan pada file yang sudah dipilih atau penambahan definisi file baru dalam file konfigurasi, selalu perbarui database menggunakan --memperbarui pilihan:

# ajudan -update 

Setelah menjalankan pembaruan database, untuk menggunakan database baru untuk pemindaian di masa mendatang, selalu ganti nama menjadi /var/lib/ajudan.db.GZ:

# mv/var/lib/ajudan/ajudan.db.baru.GZ/var/lib/ajudan/ajudan.db.GZ 

Itu saja untuk saat ini! Tapi perhatikan poin -poin penting ini:

• Salah satu karakteristik dari sebagian besar sistem deteksi intrusi asisten inklusif, adalah bahwa mereka tidak akan memberikan solusi untuk sebagian besar lubang loop keamanan pada suatu sistem. Namun mereka, membantu dalam meredakan proses respons intrusi dengan membantu administrator sistem memeriksa setiap perubahan pada file/direktori sistem. Jadi Anda harus selalu waspada dan terus memperbarui langkah -langkah keamanan Anda saat ini.
• Sangat disarankan untuk menjaga database yang baru dibuat, file konfigurasi dan biner ajudan di lokasi yang aman seperti media baca-hanya (mungkin jika Anda menginstal dari sumber).
• Untuk keamanan tambahan, pertimbangkan untuk menandatangani konfigurasi dan/atau database.

Untuk informasi dan konfigurasi tambahan, lihat halaman maninya atau lihat beranda ajudan: http: // ajudan.SourceForge.bersih/