AIDE/ru

AIDE
AIDE означает "Advanced Intrusion Detection Environment" (расширенная система обнаружения вторжений) и является приложением, которое сканирует файлы и другие источники и сохраняет информацию об этих файлах в базе данных. Эта информация может быть их хэшем, размером файла, информацией о владельце, и т.д. Приложение может затем, как только эта база данных доступна, просканировать систему снова и сравнить результаты со значениями сохраненными ранее. Если значения различаются, то файл изменен, и об этом изменении сообщается.

Установка и конфигурация
В Gentoo довольно просто установить aide после соответствующей настройки USE-флагов. На время написания, поддерживаемыми USE-флагами являются:

Затем, это вопрос установки программы:

Файл настроек aide не настолько устрашающий, как это может показаться с первого взгляда. Файл по умолчанию хранится в, но если это необходимо, администраторы легко могут создать множественные отдельные файлы настроек. Кроме нескольких переменных, файл настроек содержит несколько кратких обозначений для того, какие аспекты файлов нужно сканировать (только хэш-суммы, или также информацию об индексных дескрипторах (inodes), и т.д.) и затем, какие файлы нужно сканировать.

Давайте сначала рассмотрим переменные.

Эти параметры определяют где хранить базу данных, которая содержит уже известные значения, и где хранить новую базу данных при ее создании. В основном, рекомендуется, чтобы эти переменные не указывали на одно и то же. Вместо этого рекомендуется ручное копирование сгенерированной базы данных из одного места в другое.

А сейчас, оставьте эти переменные как есть, мы вернемся к ним позже.

Это краткие обозначения того, что нужно измерять. Эти буквы описаны в файле по умолчанию, но в следующей таблице дан обзор самых частоиспользуемых из них.

Кроме того, достаточно очевидно, что  и   означают вычисление контрольных сумм MD5 и SHA-1.

Эти краткие обозначения затем используются для идентификации того, что сканировать и в каких файлах.

Это является представлением того, какие каталоги нужно сканировать, и что нужно сканировать в них. В приведенном выше примере из трех строк, мы сообщаем AIDE, что нужно сканировать места и  и принять меры, обозначенные ранее в кратком обозначении. Место должно использовать меры сканирования.

AIDE поддерживает регулярные выражения и пользователям разрешено удалять совпадения. Например, чтобы просканировать, но не , включите набор исключений вроде такого:

Инициализация и частое сканирование
Сначала нам нужно инициализировать базу данных один раз.

Как только база данных инициализирована, мы можем скопировать файл базы данных.

Теперь, с доступной базой данных, мы можем просканировать записи снова для обнаружения потенциальных изменений:

Когда произошло изменение файла, будет послано уведомление:

Ясно определите что нужно сканировать
Файл конфигурации AIDE по умолчанию полезен, но требуется его тонкая настройка для соответствия требованиям пользователей. Важно знать какие файлы нужно сканировать и почему.

Например, для сканирования всех файлов, связанных с аутентификацией, и никаких других файлов, используйте следующие настройки:

Храните базу данных на внешнем носителе и в режиме только для чтения
Вторым важным аспектом является то, что полученную в результате базу данных нужно хранить на внешнем носителе, когда она Вам не нужна, и использовать режим только для чтения, когда эта база данных понадобилась. Это дает некоторую защиту от злоумышленника, который уже мог скомпрометировать компьютер, чтобы модифицировать базу данных с результатами сканирования. Например, храните конечную базу данных на смонтированном каталоге NFS в режиме только для чтения (для серверов), или на носителе данных с доступом только для чтения (если возможен физический доступ к компьютеру), таком как CD/DVD или USB-флеш-накопитель с переключателем в режим "только чтение".

После размещения базы данных в таком месторасположении, обновите файл, чтобы  указывал на новое место.

Делайте автономное сканирование
Если необходимо, попытайтесь использовать автономные методы сканирования системы. В случае с виртуальными платформами, возможно сделать снимок системы, смонтировать этот снимок (с доступом только на чтение) и затем запустить aide сканирование на примонтированной файловой системе.

Подход, представленный выше, использует chroot. Это требуется только тогда, когда исходная файловая система сканируется с работающей системы, и администратор хочет выполнить автономную проверку. Если первоначальное сканирование проводилось в автономном режиме, то файл уже будет указывать на точку монтирования и база данных сразу же будет пользоваться этими путями, поэтому в данном случае не требуется использование chroot.

Смотри также

 * Integrity/Concepts повествует об идеях связанных с целостностью системы