Como verificar a integridade do arquivo e do diretório usando assessor no Linux

Como verificar a integridade do arquivo e do diretório usando assessor no Linux

Em nosso mega guia para endurecer e proteger o CentOS 7, na seção “proteger o sistema internamente”, Uma das ferramentas de segurança úteis que listamos para proteção interna do sistema contra vírus, rootkits, malware e detecção de atividades não autorizadas é Assessor.

Assessor (Ambiente avançado de detecção de intrusões) é uma pequena ferramenta de detecção de intrusão de código aberto pequeno, mas poderoso, que usa regras predefinidas para verificar a integridade de arquivos e diretórios em sistemas operacionais semelhantes a Unix, como o Linux. É um binário estático independente para configurações simplificadas de monitoramento de clientes/servidores.

É rico em recursos: usa arquivos de configuração de texto simples e banco de dados, facilitando o uso; Suporta vários algoritmos de digestão de mensagens, como, mas não limitados a MD5, SHA1, RMD160, Tiger; suporta atributos de arquivo comum; também suporta expressões regulares poderosas para incluir ou excluir seletivamente arquivos e diretórios a serem digitalizados.

Além disso, ele pode ser compilado com suporte excepcional para compactação GZIP, ACL POSIX, Selinux, Xattrs e Atributos do Sistema de Arquivos Estendidos.

O assessor funciona criando um banco de dados (que é simplesmente um instantâneo de partes selecionadas do sistema de arquivos), das regras de expressão regular definidas no (s) arquivo (s) de configuração (s). Depois que esse banco de dados for inicializado, você pode verificar a integridade dos arquivos do sistema contra ele. Este guia mostrará como instalar e usar auxiliar no Linux.

Como instalar auxiliar no Linux

O asses.

# APT Install Aide [On Debian/Ubuntu] # Yum Instale Aide [on Rhel/CentOS] # DNF Instale Aide [On Fedora 22+] # Zypper Install Aide [On OpenSuse] # emerge Aide [On Gentoo] 

Depois de instalá -lo, o principal arquivo de configuração é /etc/assessor.conf. Para visualizar a versão instalada e os parâmetros de tempo de compilação, execute o comando abaixo no seu terminal:

# assessor -v 
Saída de amostra
Assessor 0.14 Compilado com as seguintes opções: with_mmap with_posix_acl with_selinux with_prelink with_xattr with_lstat64 with_readdir64 with_zlib with_gcrypt with_audit config_file = "/etc/Aide.confis " 

Você pode abrir a configuração usando seu editor favorito.

# vi /etc /assessor.conf 

Possui diretrizes que definem o local do banco de dados, localização do relatório, regras padrão, diretórios/arquivos a serem incluídos no banco de dados.

Entendendo as regras de assessor padrão

Regras padrão do assessor

Usando as regras padrão acima, você pode definir novas regras personalizadas no assessor.conf arquivo, por exemplo.

Perms = p+u+g+acl+selinux+xattrs 

O Perms A regra é usada apenas para controle de acesso, detectará quaisquer alterações no arquivo ou diretórios com base nas permissões de arquivo/diretório, usuário, grupo, permissões de controle de acesso, contexto e atributos de contexto e arquivo.

Isso verá apenas o conteúdo do arquivo e o tipo de arquivo.

Conteúdo = SHA256+FTYPE 

Esta é uma versão estendida da regra anterior, verifica o conteúdo estendido, o tipo de arquivo e o acesso.

Content_ex = sha256+ftype+p+u+g+n+ACL+Selinux+xattrs 

O Dataonly A regra abaixo ajudará a detectar quaisquer alterações nos dados dentro de todos os arquivos/diretório.

DataOnly = p+n+u+g+s+ACL+Selinux+xattrs+sha256 
Configurar regras de assessores

Definindo regras para assistir a arquivos e diretórios

Depois de definir regras, você pode especificar o arquivo e os diretórios para assistir. Considerando a regra de Perms acima, esta definição verificará as permissões para todos os arquivos no diretório raiz.

/root/\… * perms 

Isso verificará todos os arquivos no /raiz Diretório para quaisquer alterações.

/ root/ content_ex 

Para ajudá -lo a detectar quaisquer alterações nos dados dentro de todos os arquivos/diretório em /etc/, usa isto.

/ etc/ dataonlyly 
Configurar regras de assistência para o sistema de arquivos

Usando auxiliar para verificar o arquivo e a integridade do diretório no Linux

Comece construindo um banco de dados contra os cheques que serão realizados usando --iniciar bandeira. Espera -se que isso seja feito antes que seu sistema esteja conectado a uma rede.

O comando abaixo criará um banco de dados que contém todos os arquivos que você selecionou em seu arquivo de configuração.

# assessor - -init 
Inicialize o banco de dados de assessores

Em seguida, renomeie o banco de dados para /var/lib/assessor/assessor.dB.gz Antes de prosseguir, usando este comando.

# mv/var/lib/assessor/auxiliar.dB.novo.gz/var/lib/assessor/auxiliar.dB.gz 

Recomenda-se mover o banco de dados para um local seguro, possivelmente em uma mídia somente leitura ou em outras máquinas, mas verifique se você atualiza o arquivo de configuração para lê-lo a partir daí.

Depois que o banco de dados é criado, agora você pode verificar a integridade dos arquivos e diretórios usando o --verificar bandeira.

# Aide -Verifique 

Ele lerá o instantâneo no banco de dados e o comparará aos arquivos/diretórios encontrou seu disco do sistema. Se encontrar alterações nos lugares que você talvez não espere, gera um relatório que você pode revisar.

Executar verificação de integridade do arquivo

Como nenhuma alteração foi feita no sistema de arquivos, você obterá apenas uma saída semelhante à acima. Agora tente criar alguns arquivos no sistema de arquivos, em áreas definidas no arquivo de configuração.

# vi /etc /script.sh # toque tudo.TXT 

Em seguida, execute uma verificação mais uma vez, o que deve relatar os arquivos adicionados acima. A saída deste comando depende das partes do sistema de arquivos que você configurou para verificação, pode ser longa horas extras.

# Aide -Verifique 
Verifique as alterações do sistema de arquivos

Você precisa executar verificações de assessores regularmente e, em caso de alterações em arquivos já selecionados ou adição de novas definições de arquivo no arquivo de configuração, sempre atualize o banco de dados usando o --atualizar opção:

# Aide -update 

Depois de executar uma atualização de banco de dados, para usar o novo banco de dados para futuras verificações, sempre renomeie -o para /var/lib/assessor/assessor.dB.gz:

# mv/var/lib/assessor/auxiliar.dB.novo.gz/var/lib/assessor/auxiliar.dB.gz 

É tudo por agora! Mas tome nota desses pontos importantes:

  • Uma característica da maioria dos sistemas de detecção de intrusões inclusive, é que eles não fornecerão soluções para a maioria dos orifícios do loop de segurança em um sistema. Eles, no entanto, ajudam a facilitar o processo de resposta de intrusão, ajudando os administradores do sistema a examinar quaisquer alterações nos arquivos/diretórios do sistema. Portanto, você deve estar sempre vigilante e continuar atualizando suas medidas de segurança atuais.
  • É altamente recomendável manter o banco de dados recém-criado, o arquivo de configuração e o binário de assessores em um local seguro, como mídia somente leitura (possível se você instalar da fonte).
  • Para segurança adicional, considere assinar a configuração e/ou banco de dados.

Para obter informações e configurações adicionais, consulte sua página de homem ou confira a página inicial de assessores: http: // assistente.sourceforge.líquido/