AIDE/ru

AIDE
AIDE означает "Advanced Intrusion Detection Environment" (расширенная система обнаружения вторжений) и является приложением, которое сканирует файлы и другие источники и сохраняет информацию об этих файлах в базе данных. Эта информация может быть их хэшем, размером файла, информацией о владельце, и т.д. Приложение может затем, как только эта база данных доступна, просканировать систему снова и сравнить результаты со значениями сохраненными ранее. Если значения различаются, то файл изменен, и об этом изменении сообщается.

Установка и конфигурация
На Gentoo, Вы можете легко установить aide после соответствующей настройки USE-флагов. На время написания, поддерживаемыми USE-флагами являются:

Затем, это вопрос установки программы:

Файл конфигурации aide не настолько устрашающий, как это может показаться с первого взгляда. Файл по умолчанию хранится в, но Вы легко можете создавать множественные отдельные файлы конфигурации, если захотите. Кроме нескольких переменных, файл конфигурации содержит несколько кратких обозначений для того, какие аспекты файлов нужно сканировать (только хэш-суммы, или также информацию об индексных дескрипторах (inodes), и т.д.) и затем, какие файлы нужно сканировать.

Давайте сначала рассмотрим переменные.

Эти параметры определяют где хранить базу данных, которая содержит уже известные значения (database), и где хранить новую базу данных, если Вы ее создали (database_out). В основном, рекомендуется, чтобы эти переменные не указывали на одно и то же. Вместо этого рекомендуется ручное копирование сгенерированной базы данных из одного места в другое.

А сейчас, оставьте эти переменные как есть, мы вернемся к ним позже.

Это краткие обозначения того, что нужно измерять. Эти буквы описаны в файле по умолчанию, поэтому вместо того, чтобы документировать их здесь, я просто дам информацию о некоторых из них: permissions (разрешения), inode number (номер индексного дескриптора), number of hardlinks (число жестких ссылок), user information (информация о пользователе), group information (информация о группе), size (или S, если размеру разрешается расти, но никогда не сокращаться), block count (количество блоков), modification time (время изменения), и т.д. Также, Вы возможно уже догадались, что md5 и sha1 означают контрольные суммы MD5 и SHA-1.

Also, it is pretty obvious that  and   mean that the MD5 and SHA-1 checksums are taken.

Эти краткие обозначения затем используются для идентификации того, что сканировать и в каких файлах.

Это является представлением того, какие каталоги нужно сканировать, и что нужно сканировать в них. В приведенном выше примере из трех строк, мы сообщаем AIDE, что нужно сканировать места и  и принять меры, обозначенные ранее в кратком обозначении Binlib. Место должно использовать меры сканирования Logs.

AIDE поддерживает регулярные выражения и Вам разрешено удалять совпадения. Например, если Вы хотите сканировать, но не , то Вы также можете включить набор исключений:

Инициализация и частое сканирование
Сначала нам нужно инициализировать базу данных один раз.

Как только база данных инициализирована, мы можем скопировать файл базы данных.

Теперь, с доступной базой данных, мы можем просканировать записи снова для обнаружения потенциальных изменений:

Когда произошло изменение файла, Вы получите уведомление:

Ясно определите что нужно сканировать
Файл конфигурации AIDE по умолчанию полезен, но Вам потребуется его тонкая настройка для соответствия Вашим нуждам. Важно знать какие файлы нужно сканировать и почему.

Например, если Вы хотите сканировать все файлы, связанные с аутентификацией, но никакие из других файлов, Вы можете использовать следующие настройки:

Храните базу данных на внешнем носителе и в режиме только для чтения
Вторым важным аспектом является то, что Вам на самом деле нужно хранить полученную в результате базу данных на внешнем носителе, когда она Вам не нужна, и использовать режим только для чтения, когда Вы это делаете. Это дает некоторую защиту от злоумышленника, который уже мог скомпрометировать компьютер, чтобы модифицировать базу данных с результатами сканирования. Например, Вы можете предоставить конечную базу данных на смонтированном каталоге NFS (для серверов), или на носителе данных с доступом только для чтения (когда Вы имеете физический доступ к машине), таком как CD/DVD или USB-флеш-накопитель с переключателем в режим "только чтение".

Когда Вы размещаете базу данных в таком местоположении, обновите файл, чтобы database= указывала на новое место.

Делайте автономное сканирование
Если можете, попытайтесь использовать автономные методы сканирования системы. В случае с виртуальными платформами, Вы могли бы сделать снимок системы, смонтировать этот снимок (с доступом только на чтение) и затем запустить aide сканирование на примонтированной файловой системе.

Подход, представленный выше, использует chroot. Это требуется только тогда, когда исходная файловая система сканируется с работающей системы, такой как Live CD, и Вы хотите выполнить автономную проверку. Если Вы сделали первоначальное сканирование в автономном режиме, то Ваш уже будет указывать на точку монтирования и база данных будет пользоваться этими путями незамедлительно, поэтому в данном случае Вам не требуется использование chroot.

Более подробная информация

 * Integrity/Concepts повествует об идеях связанных с целостностью системы