ວິທີການກວດສອບຄວາມຖືກຕ້ອງຂອງເອກະສານແລະໄດເລກະທໍລີໂດຍໃຊ້ "AIDE" ໃນ Linux
ໃນຄູ່ມືຂະ ໜາດ ໃຫຍ່ຂອງພວກເຮົາກ່ຽວກັບການແຂງແລະຮັບປະກັນ CentOS 7, ພາຍໃຕ້ຫົວຂໍ້“ ປົກປ້ອງລະບົບພາຍໃນ”, ໜຶ່ງ ໃນເຄື່ອງມືຄວາມປອດໄພທີ່ເປັນປະໂຫຍດທີ່ພວກເຮົາໄດ້ລະບຸໄວ້ ສຳ ລັບການປ້ອງກັນລະບົບພາຍໃນຕໍ່ຕ້ານໄວຣັດ, rootkits, malware ແລະການຊອກຄົ້ນຫາກິດຈະ ກຳ ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດແມ່ນ AIDE.
AIDE (Advanced Intrusion Detection Environment) ແມ່ນເຄື່ອງມືການຊອກຄົ້ນຫາແບບເປີດກວ້າງທີ່ມີປະສິດທິພາບແຕ່ຍັງນ້ອຍ, ມີປະສິດຕິພາບ, ເຊິ່ງໃຊ້ກົດລະບຽບທີ່ໄດ້ ກຳ ນົດໄວ້ກ່ອນເພື່ອກວດສອບເອກະສານແລະຄວາມຖືກຕ້ອງຂອງລະບົບໃນລະບົບປະຕິບັດການທີ່ຄ້າຍຄືກັບ Unix ເຊັ່ນ Linux. ມັນເປັນຖານສອງແບບອິດສະຫຼະ ສຳ ລັບການຕັ້ງຄ່າການຕິດຕາມກວດກາແບບງ່າຍດາຍຂອງລູກຄ້າ/ເຊີບເວີ.
ມັນມີຄຸນນະສົມບັດ: ໃຊ້ແຟ້ມການຕັ້ງຄ່າຂໍ້ຄວາມແບບ ທຳ ມະດາແລະຖານຂໍ້ມູນເຮັດໃຫ້ງ່າຍຕໍ່ການໃຊ້; ສະ ໜັບ ສະ ໜູນ ລະບົບການຍ່ອຍອາຫານຂໍ້ຄວາມຫຼາຍຢ່າງເຊັ່ນ: ແຕ່ບໍ່ ຈຳ ກັດຢູ່ໃນ md5, sha1, rmd160, ເສືອ; ສະ ໜັບ ສະ ໜູນ ຄຸນລັກສະນະເອກະສານທົ່ວໄປ; ຍັງສະ ໜັບ ສະ ໜູນ ສຳ ນວນປົກກະຕິທີ່ມີປະສິດທິພາບເພື່ອຄັດເລືອກເອົາລວມຫລືຍົກເວັ້ນເອກະສານແລະໄດເລກະທໍລີທີ່ຈະສະແກນ.
ມັນຍັງສາມາດຖືກລວບລວມດ້ວຍການສະຫນັບສະຫນູນພິເສດສໍາລັບການບີບອັດ Gzip, Posix ACL, SELinux, XAttrs ແລະຄຸນລັກສະນະຂອງລະບົບແຟ້ມຂະຫຍາຍ.
Aide ເຮັດວຽກໂດຍການສ້າງຖານຂໍ້ມູນ (ເຊິ່ງມັນເປັນພາບຖ່າຍຂອງສ່ວນທີ່ເລືອກຂອງລະບົບແຟ້ມ), ຈາກກົດລະບຽບການສະແດງອອກເປັນປະ ຈຳ ທີ່ໄດ້ ກຳ ນົດໄວ້ໃນເອກະສານການຕັ້ງຄ່າ. ເມື່ອຖານຂໍ້ມູນນີ້ຖືກເລີ່ມຕົ້ນ, ທ່ານສາມາດກວດສອບຄວາມສົມບູນຂອງໄຟລ໌ຂອງລະບົບຕໍ່ກັບມັນ. ຄູ່ມືນີ້ຈະສະແດງວິທີການຕິດຕັ້ງແລະໃຊ້ຜູ້ຊ່ວຍໃນ Linux.
ວິທີການຕິດຕັ້ງ AIDE ໃນ Linux
Aide ໄດ້ຖືກຫຸ້ມຫໍ່ຢູ່ໃນຫໍສະ ໝຸດ ຢ່າງເປັນທາງການຂອງການແຈກແຈງ Linux ສ່ວນໃຫຍ່, ເພື່ອຕິດຕັ້ງມັນໃຊ້ ຄຳ ສັ່ງ ສຳ ລັບການແຈກຈ່າຍຂອງທ່ານໂດຍໃຊ້ຜູ້ຈັດການຊຸດ.
# apt install aide [On Debian/Ubuntu] # yum install aide [On RHEL/CentOS] # dnf install aide [On Fedora 22+] # zypper install aide [On openSUSE] # emerge aide [On Gentoo]
ຫລັງຈາກຕິດຕັ້ງມັນແລ້ວ, ເອກະສານການຕັ້ງຄ່າຕົ້ນຕໍແມ່ນ /etc/aide.conf. ເພື່ອເບິ່ງເວີຊັນທີ່ຖືກຕິດຕັ້ງພ້ອມທັງການລວບລວມຕົວ ກຳ ນົດເວລາ, ໃຫ້ ດຳ ເນີນການ ຄຳ ສັ່ງທີ່ຢູ່ທາງເທິງຂອງທ່ານ:
# aide -v
Aide 0.14 Compiled with the following options: WITH_MMAP WITH_POSIX_ACL WITH_SELINUX WITH_PRELINK WITH_XATTR WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
ທ່ານສາມາດເປີດການຕັ້ງຄ່າໂດຍໃຊ້ບັນນາທິການທີ່ທ່ານມັກ.
# vi /etc/aide.conf
ມັນມີທິດທາງທີ່ ກຳ ນົດສະຖານທີ່ຖານຂໍ້ມູນ, ລາຍງານສະຖານທີ່, ກົດລະບຽບເລີ່ມຕົ້ນ, ລາຍຊື່/ເອກະສານທີ່ຈະຕ້ອງລວມເຂົ້າໃນຖານຂໍ້ມູນ.
ການ ນຳ ໃຊ້ກົດລະບຽບທີ່ ກຳ ນົດໄວ້ຂ້າງເທິງ, ທ່ານສາມາດ ກຳ ນົດກົດລະບຽບ ໃໝ່ ໃນເອກະສານ aide.conf.
PERMS = p+u+g+acl+selinux+xattrs
ກົດລະບຽບ PERMS ແມ່ນໃຊ້ ສຳ ລັບການຄວບຄຸມການເຂົ້າເຖິງເທົ່ານັ້ນ, ມັນຈະກວດພົບການປ່ຽນແປງໃດໆກ່ຽວກັບເອກະສານຫລືໄດເລກະທໍລີໂດຍອີງໃສ່ການອະນຸຍາດເອກະສານ/ໄດເລກະທໍລີ, ຜູ້ໃຊ້, ກຸ່ມ, ສິດການຄວບຄຸມການເຂົ້າເຖິງ, ສະພາບການ SELinux ແລະຄຸນລັກສະນະຂອງເອກະສານ.
ນີ້ຈະກວດສອບເນື້ອຫາເອກະສານແລະປະເພດເອກະສານເທົ່ານັ້ນ.
CONTENT = sha256+ftype
ນີ້ແມ່ນສະບັບຂະຫຍາຍຂອງກົດລະບຽບກ່ອນ ໜ້າ ນີ້, ມັນກວດສອບເນື້ອຫາທີ່ຂະຫຍາຍ, ປະເພດເອກະສານແລະການເຂົ້າເຖິງ.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
ກົດລະບຽບ DATAONLY ຂ້າງລຸ່ມນີ້ຈະຊ່ວຍກວດພົບການປ່ຽນແປງຂອງຂໍ້ມູນພາຍໃນເອກະສານ/ໄດເລກະທໍລີທັງ ໝົດ.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
ກຳ ນົດກົດລະບຽບເພື່ອເບິ່ງເອກະສານແລະໄດເລກະທໍລີ
ເມື່ອທ່ານໄດ້ ກຳ ນົດກົດລະບຽບແລ້ວ, ທ່ານສາມາດ ກຳ ນົດເອກະສານແລະໄດເລກະທໍລີເພື່ອເບິ່ງ. ພິຈາລະນາກົດລະບຽບ PERMS ຂ້າງເທິງ, ຄຳ ນິຍາມນີ້ຈະກວດສອບການອະນຸຍາດ ສຳ ລັບທຸກໆເອກະສານທີ່ຢູ່ໃນລະບົບຮາກ.
/root/\..* PERMS
ນີ້ຈະກວດເບິ່ງແຟ້ມທັງ ໝົດ ໃນໄດເລກະທໍລີ/root ສຳ ລັບການປ່ຽນແປງໃດໆ.
/root/ CONTENT_EX
ເພື່ອຊ່ວຍໃຫ້ທ່ານຄົ້ນພົບການປ່ຽນແປງຂໍ້ມູນພາຍໃນແຟ້ມ/ໄດເລກະທໍລີພາຍໃຕ້/etc /, ໃຊ້ນີ້.
/etc/ DATAONLY
ການໃຊ້ AIDE ເພື່ອກວດສອບເອກະສານແລະຄວາມຖືກຕ້ອງຂອງ Directory ໃນ Linux
ເລີ່ມຕົ້ນໂດຍການສ້າງຖານຂໍ້ມູນໃສ່ກັບເຊັກທີ່ຈະຖືກປະຕິບັດໂດຍໃຊ້ --in ທຸງ. ສິ່ງນີ້ຄາດວ່າຈະເຮັດໄດ້ກ່ອນທີ່ລະບົບຂອງທ່ານຈະເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ.
ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້ຈະສ້າງຖານຂໍ້ມູນທີ່ປະກອບມີທຸກເອກະສານທີ່ທ່ານເລືອກໄວ້ໃນເອກະສານການຕັ້ງຄ່າຂອງທ່ານ.
# aide --init
ຫຼັງຈາກນັ້ນປ່ຽນຊື່ຖານຂໍ້ມູນໃຫ້ເປັນ /var/lib/aide/aide.db.gz ກ່ອນ ດຳ ເນີນການ, ໂດຍໃຊ້ ຄຳ ສັ່ງນີ້.
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
ມັນໄດ້ຖືກແນະ ນຳ ໃຫ້ຍ້າຍຖານຂໍ້ມູນໄປຫາສະຖານທີ່ທີ່ປອດໄພທີ່ເປັນໄປໄດ້ໃນສື່ທີ່ອ່ານເທົ່ານັ້ນຫລືໃນເຄື່ອງອື່ນ, ແຕ່ຮັບປະກັນວ່າທ່ານປັບປຸງເອກະສານການຕັ້ງຄ່າເພື່ອອ່ານມັນຈາກບ່ອນນັ້ນ.
ຫຼັງຈາກຖານຂໍ້ມູນຖືກສ້າງຂື້ນມາ, ຕອນນີ້ທ່ານສາມາດກວດສອບຄວາມສົມບູນຂອງເອກະສານແລະໄດເລກະທໍລີໂດຍໃຊ້ - check flag.
# aide --check
ມັນຈະອ່ານພາບຖ່າຍໃນຖານຂໍ້ມູນແລະປຽບທຽບມັນກັບແຟ້ມ/ລາຍການທີ່ພົບວ່າທ່ານມີລະບົບ. ຖ້າມັນພົບການປ່ຽນແປງໃນສະຖານທີ່ທີ່ທ່ານອາດຈະບໍ່ຄາດຫວັງ, ມັນຈະສ້າງບົດລາຍງານເຊິ່ງທ່ານສາມາດທົບທວນຄືນ.
ເນື່ອງຈາກວ່າບໍ່ມີການປ່ຽນແປງໃດໆກ່ຽວກັບລະບົບແຟ້ມເອກະສານ, ທ່ານພຽງແຕ່ຈະໄດ້ຮັບຜົນຜະລິດເທົ່າກັບຜົນຂ້າງເທິງຂ້າງເທິງ. ຕອນນີ້ພະຍາຍາມສ້າງບາງເອກະສານໃນລະບົບແຟ້ມເອກະສານ, ໃນຂອບເຂດທີ່ ກຳ ນົດໄວ້ໃນເອກະສານການຕັ້ງຄ່າ.
# vi /etc/script.sh # touch all.txt
ຫຼັງຈາກນັ້ນ, ດຳ ເນີນການກວດກາອີກຄັ້ງ ໜຶ່ງ, ເຊິ່ງຄວນລາຍງານເອກະສານທີ່ເພີ່ມຢູ່ຂ້າງເທິງ. ຜົນໄດ້ຮັບຂອງ ຄຳ ສັ່ງນີ້ແມ່ນຂື້ນກັບພາກສ່ວນຂອງລະບົບແຟ້ມທີ່ທ່ານ ກຳ ນົດໃຫ້ກວດສອບ, ມັນສາມາດຕໍ່ເວລາໄດ້ດົນ.
# aide --check
ທ່ານ ຈຳ ເປັນຕ້ອງ ດຳ ເນີນການກວດສອບຜູ້ຊ່ວຍເປັນປະ ຈຳ, ແລະໃນກໍລະນີທີ່ມີການປ່ຽນແປງເອກະສານທີ່ເລືອກແລ້ວຫຼືເພີ່ມ ຄຳ ນິຍາມເອກະສານ ໃໝ່ ໃນເອກະສານການຕັ້ງຄ່າ, ຕ້ອງປັບປຸງຖານຂໍ້ມູນໂດຍໃຊ້ຕົວເລືອກ - ປັບປຸງ :
# aide --update
ຫຼັງຈາກທີ່ປະຕິບັດການປັບປຸງຖານຂໍ້ມູນ, ເພື່ອໃຊ້ຖານຂໍ້ມູນ ໃໝ່ ສຳ ລັບການສະແກນໃນອະນາຄົດ, ປ່ຽນຊື່ເປັນ /var/lib/aide/aide.db.gz:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
ດຽວນີ້ ໝົດ ແລ້ວ! ແຕ່ໃຫ້ຂໍ້ສັງເກດກ່ຽວກັບຈຸດ ສຳ ຄັນເຫລົ່ານີ້:
- ຄຸນລັກສະນະ ໜຶ່ງ ຂອງລະບົບການຊອກຄົ້ນຫາທີ່ມີການບຸກລຸກຫຼາຍທີ່ສຸດ AIDE ແມ່ນພວກເຂົາຈະບໍ່ສະ ໜອງ ການແກ້ໄຂບັນຫາຄວາມປອດໄພສ່ວນໃຫຍ່ໃນລະບົບ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ພວກເຂົາຊ່ວຍໃນການຜ່ອນຄາຍຂະບວນການຕອບໂຕ້ການບຸກລຸກໂດຍການຊ່ວຍຜູ້ເບິ່ງແຍງລະບົບກວດກາການປ່ຽນແປງໃດໆຕໍ່ແຟ້ມລະບົບ/ລາຍການ. ສະນັ້ນທ່ານຄວນລະມັດລະວັງສະ ເໝີ ແລະສືບຕໍ່ປັບປຸງມາດຕະການຄວາມປອດໄພຂອງທ່ານໃນປະຈຸບັນ.
- ຂໍແນະ ນຳ ໃຫ້ເກັບຮັກສາຖານຂໍ້ມູນທີ່ຖືກສ້າງຂື້ນ ໃໝ່, ເອກະສານການຕັ້ງຄ່າແລະຖານຂໍ້ມູນ AIDE ຢູ່ໃນສະຖານທີ່ທີ່ປອດໄພເຊັ່ນ: ສື່ທີ່ອ່ານເທົ່ານັ້ນ (ເປັນໄປໄດ້ຖ້າທ່ານຕິດຕັ້ງຈາກແຫລ່ງທີ່ມາ).
- ເພື່ອຄວາມປອດໄພເພີ່ມເຕີມ, ພິຈາລະນາເຊັນຊື່ການຕັ້ງຄ່າແລະ/ຫຼືຖານຂໍ້ມູນ.
ສຳ ລັບຂໍ້ມູນເພີ່ມເຕີມແລະການ ກຳ ຫນົດຄ່າ, ເບິ່ງ ໜ້າ man ຂອງມັນຫລືເຂົ້າເບິ່ງ ໜ້າ AIDE: http://aide.sourceforge.net/