Stations de travail en ligne OnWorks Linux et Windows

Logo

Hébergement gratuit en ligne pour les postes de travail

<Précédent | Table des matières | Suivant>

Fichiers de suivi : AIDE‌


L'outil Advanced Intrusion Detection Environment (AIDE) vérifie l'intégrité du fichier et détecte tout changement par rapport à une image précédemment enregistrée du système valide. L'image est stockée dans une base de données (/var/lib/aide/aide.db) contenant les informations pertinentes sur tous les fichiers du système (empreintes digitales, autorisations, horodatages, etc.).

Vous pouvez installer AIDE en exécutant mise à jour apt suivie par aide à l'installation d'apt. Vous allez d'abord initialiser la base de données avec aide init; il s'exécutera ensuite quotidiennement (via le /etc/cron.daily/aide scénario) à

vérifiez que rien de pertinent n'a changé. Lorsque des changements sont détectés, AIDE les enregistre dans des fichiers journaux (/var/log/aide/*.log) et envoie ses conclusions à l'administrateur par courrier électronique.


Protection de la base de données Comme AIDE utilise une base de données locale pour comparer les états des fichiers, la validité de ses résultats est directement liée à la validité de la base de données. Si un attaquant obtient des autorisations root sur un système compromis, il pourra remplacer la base de données et brouiller les pistes. Une façon d'empêcher cette subversion est de stocker les données de référence sur un support de stockage en lecture seule.

Protection de la base de données Comme AIDE utilise une base de données locale pour comparer les états des fichiers, la validité de ses résultats est directement liée à la validité de la base de données. Si un attaquant obtient des autorisations root sur un système compromis, il pourra remplacer la base de données et brouiller les pistes. Une façon d'empêcher cette subversion est de stocker les données de référence sur un support de stockage en lecture seule.


Vous pouvez utiliser des options dans /etc/default/aide modifier le comportement du aide emballer. La configuration AIDE proprement dite est stockée dans /etc/aide/aide.conf et /etc/aide/aide.conf.d/ (en fait, ces fichiers ne sont utilisés que par update-aide.conf générer /var/lib/aide/aide.conf. genere automatiquement). La configuration indique quelles propriétés de quels fichiers doivent être vérifiés. Par exemple, le contenu des fichiers journaux change régulièrement et ces modifications peuvent être ignorées tant que les autorisations de ces fichiers restent les mêmes, mais le contenu et les autorisations des programmes exécutables doivent être constants. Bien que peu complexe, la syntaxe de configuration n'est pas totalement intuitive et nous vous recommandons de lire le aide.conf(5) page de manuel pour plus de détails.

Une nouvelle version de la base de données est générée quotidiennement dans /var/lib/aide/aide.db.new; si tous les changements enregistrés étaient légitimes, il peut être utilisé pour remplacer la base de données de référence.

Tripwire est très similaire à AIDE ; même la syntaxe du fichier de configuration est presque la même. Le principal ajout apporté par tripwire est un mécanisme pour signer le fichier de configuration afin qu'un attaquant ne puisse pas le faire pointer vers une version différente de la base de données de référence.

Samhain propose également des fonctionnalités similaires ainsi que certaines fonctions pour aider à détecter les rootkits (voir la barre latérale « Les packages checksecurity et chkrootkit/rkhunter» [page 164]). Il peut également être déployé globalement sur un réseau et enregistrer ses traces sur un serveur central (avec une signature).


Le vérifier la sécurité et vérifier la sécurité se compose de plusieurs petits scripts qui effectuent des vérifications de base sur le système chkrootkit/rkhunter (recherche de mots de passe vides, de nouveaux fichiers setuid, etc.) et vous avertit si ceux-ci Forfaits conditions sont détectées. Malgré son nom explicite, vous ne devez pas vous fier uniquement à lui pour

assurez-vous qu'un système Linux est sécurisé.

Le chkrootkit et rkhunter les paquets détectent certains rootkits potentiellement installé sur le système. Pour rappel, il s'agit de logiciels destinés à masquer la compromission d'un système tout en gardant discrètement le contrôle de la machine. Les tests ne sont pas fiables à 100 %, mais ils peuvent généralement attirer votre attention sur des problèmes potentiels.

Le vérifier la sécurité et vérifier la sécurité se compose de plusieurs petits scripts qui effectuent des vérifications de base sur le système chkrootkit/rkhunter (recherche de mots de passe vides, de nouveaux fichiers setuid, etc.) et vous avertit si ceux-ci Forfaits conditions sont détectées. Malgré son nom explicite, vous ne devez pas vous fier uniquement à lui pour

assurez-vous qu'un système Linux est sécurisé.

Le chkrootkit et rkhunter les paquets détectent certains rootkits potentiellement installé sur le système. Pour rappel, il s'agit de logiciels destinés à masquer la compromission d'un système tout en gardant discrètement le contrôle de la machine. Les tests ne sont pas fiables à 100 %, mais ils peuvent généralement attirer votre attention sur des problèmes potentiels.


  

 

<Précédent | Table des matières | Suivant>

  

Meilleur système d'exploitation Cloud Computing chez OnWorks :