所有系統(tǒng)管理員想要在他們生產(chǎn)服務器上首先要部署的安全手段之一,就是檢測文件篡改的機制——不僅僅是文件內(nèi)容,而且也包括它們的屬性�����。
AIDE (“高級入侵檢測環(huán)境”的簡稱)是一個開源的基于主機的入侵檢測系統(tǒng)����。AIDE通過檢查大量文件屬性的不一致性來檢查系統(tǒng)二進制文件和基本配置文件的完整性�����,這些文件屬性包括權限�����、文件類型�����、索引節(jié)點�����、鏈接數(shù)、鏈接名����、用戶、組、文件大小�、塊計數(shù)、修改時間���、添加時間���、創(chuàng)建時間����、acl�、SELinux安全上下文�、xattrs�����,以及md5/sha校驗值在內(nèi)的各種特征��。
AIDE通過掃描一臺(未被篡改)的Linux服務器的文件系統(tǒng)來構建文件屬性數(shù)據(jù)庫,以后將服務器文件屬性與數(shù)據(jù)庫中的進行校對�,然后在服務器運行時對被修改的索引了的文件發(fā)出警告���。出于這個原因,AIDE必須在系統(tǒng)更新后或其配置文件進行合法修改后重新對受保護的文件做索引����。
對于某些客戶,他們可能會根據(jù)他們的安全策略在他們的服務器上強制安裝某種入侵檢測系統(tǒng)���。但是�,不管客戶是否要求,系統(tǒng)管理員都應該部署一個入侵檢測系統(tǒng)�,這通常是一個很好的做法���。
在 CentOS或RHEL 上安裝AIDE
AIDE的初始安裝(同時是首次運行)最好是在系統(tǒng)剛安裝完后���,并且沒有任何服務暴露在互聯(lián)網(wǎng)甚至局域網(wǎng)時����。在這個早期階段,我們可以將來自外部的一切闖入和破壞風險降到最低限度����。事實上���,這也是確保系統(tǒng)在AIDE構建其初始數(shù)據(jù)庫時保持干凈的唯一途徑����。(LCTT 譯注:當然���,如果你的安裝源本身就存在安全隱患,則無法建立可信的數(shù)據(jù)記錄)
出于上面的原因����,在安裝完系統(tǒng)后�����,我們可以執(zhí)行下面的命令安裝AIDE:
# yum install aide
我們需要將我們的機器從網(wǎng)絡斷開�,并實施下面所述的一些基本配置任務�����。
配置AIDE
默認配置文件是/etc/aide.conf�����,該文件介紹了幾個示例保護規(guī)則(如FIPSR��,NORMAL,DIR�,DATAONLY),各個規(guī)則后面跟著一個等號以及要檢查的文件屬性列表���,或者某些預定義的規(guī)則(由+分隔)。你也可以使用此種格式自定義規(guī)則����。
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256NORMAL = FIPSR+sha512
例如��,上面的例子說明���,NORMAL規(guī)則將檢查下列屬性的不一致性:權限(p)、索引節(jié)點(i)���、鏈接數(shù)(n)、用戶(u)����、組(g)�����、大?。╯)�、修改時間(m)、創(chuàng)建時間(c)�����、ACL(acl)、SELinux(selinux)�、xattrs(xattr)�、SHA256/SHA512校驗和(sha256和sha512)。
定義的規(guī)則可靈活地用于不同的目錄和文件(用正則表達式表示)����。
條目之前的感嘆號(?��。└嬖VAIDE忽略子目錄(或目錄中的文件)���,對于這些可以另外定義規(guī)則���。
在上面的例子中,PERMS是用于/etc機器子目錄和文件的默認規(guī)則�。然而�����,對于/etc中的備份文件(如/etc/.*~)則不應用任何規(guī)則�����,也沒有規(guī)則用于/etc/mtab文件。對于/etc中的其它一些選定的子目錄或文件�����,使用NORMAL規(guī)則替代默認規(guī)則PERMS。
定義并應用正確的規(guī)則到系統(tǒng)中正確的位置�,是使用AIDE最難的一部分�,但作一個好的判斷是一個良好的開始�。作為首要的一條規(guī)則�����,不要檢查不必要的屬性��。例如��,檢查/var/log或/var/spool里頭的文件的修改時間將導致大量誤報����,因為許多的應用程序和守護進程經(jīng)常會寫入內(nèi)容到該位置�����,而這些內(nèi)容都沒有問題���。此外���,檢查多個校驗值可能會加強安全性���,但隨之而來的是AIDE的運行時間的增加�����。
可選的���,如果你使用MAILTO變量指定電子郵件地址,就可以將檢查結(jié)果發(fā)送到你的郵箱�����。將下面這一行放到/etc/aide.conf中的任何位置即可�。
MAILTO=root@localhost
首次運行AIDE
運行以下命令來初始化AIDE數(shù)據(jù)庫:
# aide --init
根據(jù)/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名為/var/lib/aide/aide.db.gz��,以便AIDE能讀取它:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz
現(xiàn)在����,是時候來將我們的系統(tǒng)與數(shù)據(jù)庫進行第一次校對了�。任務很簡單,只需運行:
# aide
在沒有選項時��,AIDE假定使用了--check選項。
如果在數(shù)據(jù)庫創(chuàng)建后沒有對系統(tǒng)做過任何修改�,AIDE將會以OK信息來結(jié)束本次校對。
生產(chǎn)環(huán)境中管理AIDE
在構建了一個初始AIDE數(shù)據(jù)庫后���,作為不斷進行的系統(tǒng)管理活動,你常常需要因為某些合法的理由更新受保護的服務器���。每次服務器更新后��,你必須重新構建AIDE數(shù)據(jù)庫,以更新數(shù)據(jù)庫內(nèi)容�����。要完成該任務�����,請執(zhí)行以下命令:
# aide --update
要使用AIDE保護生產(chǎn)系統(tǒng)����,可能最好通過任務計劃調(diào)用AIDE來周期性檢查不一致性����。例如�,要讓AIDE每天運行一次,并將結(jié)果發(fā)送到郵箱:
# crontab -e
0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com
測試AIDE檢查文件篡改
下面的測試環(huán)境將演示AIDE是如何來檢查文件的完整性的����。
測試環(huán)境 1
讓我們添加一個新文件(如/etc/fake)�。
# cat /dev/null > /etc/fake
測試環(huán)境 2
讓我們修改文件權限,然后看看它是否被檢測到�。
# chmod 644 /etc/aide.conf
測試環(huán)境 3
最后���,讓我們修改文件內(nèi)容(如,添加一個注釋行到/etc/aide.conf)。
echo "#This is a comment" >> /etc/aide.conf
上面的截圖中��,第一欄顯示了文件的屬性����,第二欄是AIDE數(shù)據(jù)庫中的值���,而第三欄是更新后的值。第三欄中空白部分表示該屬性沒有改動(如本例中的ACL)����。
結(jié)尾
如果你曾經(jīng)發(fā)現(xiàn)你自己有很好的理由確信系統(tǒng)被入侵了�����,但是第一眼又不能確定到底哪些東西被改動了,那么像AIDE這樣一個基于主機的入侵檢測系統(tǒng)就會很有幫助了����,因為它可以幫助你很快識別出哪些東西被改動過�����,而不是通過猜測來浪費寶貴的時間�。謝謝閱讀����,希望能幫到大家,請繼續(xù)關注腳本之家�����,我們會努力分享更多優(yōu)秀的文章。
