توثيقملفات المراقبة: AIDE
تتحقق أداة بيئة الكشف عن التطفل المتقدمة (AIDE) من سلامة الملف وتكتشف أي تغيير مقابل صورة مسجلة مسبقًا للنظام الصالح. يتم تخزين الصورة كقاعدة بيانات (/var/lib/aide/aide.db) يحتوي على المعلومات ذات الصلة بجميع ملفات النظام (بصمات الأصابع والأذونات والطوابع الزمنية وما إلى ذلك).
يمكنك تثبيت AIDE عن طريق الجري تحديث أبت تليها apt التثبيت المساعد. ستقوم أولاً بتهيئة قاعدة البيانات باستخدام aideinit؛ سيتم تشغيله بعد ذلك يوميًا (عبر ملف /etc/cron.daily/aide النصي) إلى
تحقق من عدم تغير أي شيء ذي صلة. عند اكتشاف التغييرات ، يقوم AIDE بتسجيلها في ملفات السجل (/var/log/aide/*.log) ويرسل نتائجه إلى المسؤول عن طريق البريد الإلكتروني.
حماية قاعدة البيانات نظرًا لأن AIDE يستخدم قاعدة بيانات محلية لمقارنة حالات الملفات ، فإن صحة نتائجها مرتبطة ارتباطًا مباشرًا بصلاحية قاعدة البيانات. إذا حصل المهاجم على أذونات الجذر على نظام مخترق ، فسيكون قادرًا على استبدال قاعدة البيانات وتغطية مساراتهم. تتمثل إحدى طرق منع هذا التخريب في تخزين البيانات المرجعية على وسائط تخزين للقراءة فقط.
حماية قاعدة البيانات نظرًا لأن AIDE يستخدم قاعدة بيانات محلية لمقارنة حالات الملفات ، فإن صحة نتائجها مرتبطة ارتباطًا مباشرًا بصلاحية قاعدة البيانات. إذا حصل المهاجم على أذونات الجذر على نظام مخترق ، فسيكون قادرًا على استبدال قاعدة البيانات وتغطية مساراتهم. تتمثل إحدى طرق منع هذا التخريب في تخزين البيانات المرجعية على وسائط تخزين للقراءة فقط.
يمكنك استخدام الخيارات في / etc / default / aide لتعديل سلوك المساعدات صفقة. يتم تخزين تكوين AIDE المناسب في /etc/aide/aide.conf و /etc/aide/aide.conf.d/ (في الواقع ، لا يستخدم هذه الملفات إلا بواسطة update-aide.conf لتوليد /var/lib/aide/aide.conf. يستخرج تلقائيا). يشير التكوين إلى خصائص الملفات التي يجب التحقق منها. على سبيل المثال ، تتغير محتويات ملفات السجل بشكل روتيني ، ويمكن تجاهل هذه التغييرات طالما بقيت أذونات هذه الملفات كما هي ، ولكن يجب أن تكون محتويات وأذونات البرامج القابلة للتنفيذ ثابتة. على الرغم من أنه ليس معقدًا للغاية ، فإن بناء جملة التكوين ليس بديهيًا تمامًا ونحن نوصي بقراءة ملف aide.conf (5) صفحة دليل لمزيد من التفاصيل.
يتم إنشاء نسخة جديدة من قاعدة البيانات يوميًا بتنسيق /var/lib/aide/aide.db.new؛ إذا كانت جميع التغييرات المسجلة شرعية ، فيمكن استخدامها لاستبدال قاعدة البيانات المرجعية.
Tripwire تشبه إلى حد بعيد AIDE ؛ حتى صيغة ملف التكوين هي نفسها تقريبًا. الإضافة الرئيسية المقدمة من الشرارة هي آلية لتوقيع ملف التكوين بحيث لا يتمكن المهاجم من جعله يشير إلى إصدار مختلف من قاعدة البيانات المرجعية.
يقدم Samhain أيضًا ميزات مشابهة بالإضافة إلى بعض الوظائف للمساعدة في اكتشاف الجذور الخفية (راجع الشريط الجانبي "حزم الفحص والأمان و chkrootkit / rkhunter”[صفحة 164]). يمكن أيضًا نشره عالميًا على شبكة وتسجيل آثاره على خادم مركزي (مع توقيع).
• checkecurity و checkecurity يتكون من عدة نصوص صغيرة تقوم بإجراء فحوصات أساسية على النظام com.chkrootkit/رخونتر (البحث عن كلمات مرور فارغة وملفات setuid جديدة وما إلى ذلك) وتحذيرك إذا كانت هذه حزم تم الكشف عن الظروف. على الرغم من اسمه الواضح ، لا يجب الاعتماد عليه فقط
تأكد من أن نظام Linux آمن.
• com.chkrootkit و رخونتر حزم كشف معينة الجذور الخفية يحتمل أن تكون مثبتة على النظام. وللتذكير ، فهذه أجزاء من البرامج مصممة لإخفاء تركيبة النظام مع الحفاظ على التحكم في الجهاز بتكتم. الاختبارات ليست موثوقة بنسبة 100 في المائة ولكنها عادة ما تلفت انتباهك إلى المشاكل المحتملة.
• checkecurity و checkecurity يتكون من عدة نصوص صغيرة تقوم بإجراء فحوصات أساسية على النظام com.chkrootkit/رخونتر (البحث عن كلمات مرور فارغة وملفات setuid جديدة وما إلى ذلك) وتحذيرك إذا كانت هذه حزم تم الكشف عن الظروف. على الرغم من اسمه الواضح ، لا يجب الاعتماد عليه فقط
تأكد من أن نظام Linux آمن.
• com.chkrootkit و رخونتر حزم كشف معينة الجذور الخفية يحتمل أن تكون مثبتة على النظام. وللتذكير ، فهذه أجزاء من البرامج مصممة لإخفاء تركيبة النظام مع الحفاظ على التحكم في الجهاز بتكتم. الاختبارات ليست موثوقة بنسبة 100 في المائة ولكنها عادة ما تلفت انتباهك إلى المشاكل المحتملة.