Έλεγχος ακεραιότητας αρχείων με το AIDE στο openSUSE Leap/Tumbleweed
Το AIDE (Advanced Enviration Detection Enviornment) είναι ένα εργαλείο για τον έλεγχο της ακεραιότητας του αρχείου. Αποτελεί υποκατάστατο του TRIPWIRE. Επιτρέπει λήψη στιγμιότυπων όλων των σημαντικών αρχείων ρυθμίσεων, δυαδικών-εκτελέσιμων αρχείων καθώς και στατιστικών βιβλιοθηκών. Βοηθά επίσης να βρει ποια δυαδικά αρχεία έχουν αλλάξει σε περίπτωση κακόβουλης εισβολής στο σύστημα.
1 Πριν την εγκατάσταση του AIDE
Εγκαταστήστε το Postfix με το σκριπτάκι.
2 Εγκαταστήστε το AIDE
Εγκαταστήστε το πακέτο aide.
sudo zypper -n in aide
sudo sed -e 's/^verbose=.*/verbose=5/g' -i /etc/aide.conf
sudo sed -e 's/^verbose=.*/verbose=5/g' -i /etc/aide.conf
3 Δημιουργία βάσης δεδομένων
Εκτελώντας την εντολή "aide –init" θα δημιουργηθεί μια νέα βάση δεδομένων aide.db.new. Χρειάζεται να το αντιγράψετε στο aide.db.
sudo aide --init.
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
4 Έλεγχος ακεραιότητας αρχείου
Ο έλεγχος γίνεται με την εντολή aide –check. Η εντολή aide –update ελέγχει την ακεραιότητα του αρχείου και δημιουργεί μια νέα βάση δεδομένων aide.db.new. Πρέπει να ξαναγίνει η διαδικασία αντιγραφής της βάσης δεδομένων στην aide.db.
sudo aide --check
echo $?
0
echo $?
0
Εάν κάτι έχει αλλάξει, το aide θα επιστρέψει τιμή που δεν είναι 0.
sudo mv /usr/sbin/ip /usr/sbin/ip.orig
echo "modified" | sudo tee /usr/sbin/ip
sudo aide --check
echo $?
4
echo "modified" | sudo tee /usr/sbin/ip
sudo aide --check
echo $?
4
5 Cron job που εκτελεί το aide
Χρειάζεται να δημιουργήσετε ένα cron job. Εδώ θα δημιουργήσουμε μια ημερήσια cron job που θα εκτελεί την εντολή "aide –update" και θα στέλνει mail.
sudo zypper -n in mailx procmail
sudo nano /etc/cron.daily/aide
sudo nano /etc/cron.daily/aide
#!/bin/sh
LOCK_FILE=/var/run/aide.lock
MAIL_ADDR=root@localhost
lockfile \${LOCK_FILE} || exit 1
TMP=\$(mktemp -t aide.XXXXXX)
trap "rm \$TMP* 2>/dev/null" 0
aide --update > \${TMP} 2>&1
ret=\$?
if [ \${ret} -eq 0 ]; then
# Nothing is changed.
cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
elif [ \${ret} -lt 8 ]; then
# Some file is changed.
cat \${TMP} | mail -s "AIDE detects changes" \${MAIL_ADDR}
cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
else
# Cannot update database.
cat \${TMP} | mail -s "AIDE fatal error" \${MAIL_ADDR}
fi
rm -f \${LOCK_FILE}
Αλλάξτε τα δικαιώματα του αρχείου.
sudo chmod a+x /etc/cron.daily/aide
Πιθανά αποτελέσματα από την εκτέλεσή του μπορεί να είναι τα παρακάτω.
Leave a Comment