Dokumentasi<Sebelumnya | Konten | Selanjutnya>
File Pemantauan: AIDE
Alat Advanced Intrusion Detection Environment (AIDE) memeriksa integritas file dan mendeteksi perubahan apa pun terhadap gambar yang direkam sebelumnya dari sistem yang valid. Gambar disimpan sebagai database (/var/lib/aide/aide.db) yang berisi informasi yang relevan pada semua file sistem (sidik jari, izin, stempel waktu, dan sebagainya).
Anda dapat menginstal AIDE dengan menjalankan Update apt diikuti oleh apt install ajudan. Anda pertama-tama akan menginisialisasi database dengan bantuan; kemudian akan berjalan setiap hari (melalui /etc/cron.daily/aide naskah) untuk
periksa bahwa tidak ada yang relevan berubah. Ketika perubahan terdeteksi, AIDE mencatatnya dalam file log (/var/log/aide/*.log) dan mengirimkan temuannya ke administrator melalui email.
Melindungi Database Karena AIDE menggunakan database lokal untuk membandingkan status file, validitas hasilnya terkait langsung dengan validitas database. Jika penyerang mendapatkan izin root pada sistem yang disusupi, mereka akan dapat mengganti database dan menutupi jejak mereka. Salah satu cara untuk mencegah subversi ini adalah dengan menyimpan data referensi pada media penyimpanan read-only.
Melindungi Database Karena AIDE menggunakan database lokal untuk membandingkan status file, validitas hasilnya terkait langsung dengan validitas database. Jika penyerang mendapatkan izin root pada sistem yang disusupi, mereka akan dapat mengganti database dan menutupi jejak mereka. Salah satu cara untuk mencegah subversi ini adalah dengan menyimpan data referensi pada media penyimpanan read-only.
Anda dapat menggunakan opsi di /etc/default/aide untuk mengubah perilaku pembantu kemasan. Konfigurasi AIDE yang tepat disimpan di /etc/aide/aide.conf dan /etc/aide/aide.conf.d/ (sebenarnya, file-file ini hanya digunakan oleh perbarui-aide.conf untuk menghasilkan /var/lib/aide/aide.conf. dibuat otomatis). Konfigurasi menunjukkan properti mana dari file mana yang perlu diperiksa. Misalnya, konten file log berubah secara rutin, dan perubahan tersebut dapat diabaikan selama izin file ini tetap sama, tetapi konten dan izin program yang dapat dijalankan harus konstan. Meskipun tidak terlalu rumit, sintaks konfigurasi tidak sepenuhnya intuitif dan kami merekomendasikan membaca ajudan.conf(5) halaman manual untuk lebih jelasnya.
Versi baru dari database dibuat setiap hari di /var/lib/aide/aide.db.baru; jika semua perubahan yang direkam adalah sah, itu dapat digunakan untuk menggantikan database referensi.
Tripwire sangat mirip dengan AIDE; bahkan sintaks file konfigurasi hampir sama. Tambahan utama disediakan oleh tripwire adalah mekanisme untuk menandatangani file konfigurasi sehingga penyerang tidak dapat mengarahkannya ke versi lain dari database referensi.
Samhain juga menawarkan fitur serupa serta beberapa fungsi untuk membantu mendeteksi rootkit (lihat bilah samping “Paket checksecurity dan chkrootkit/rkhunter” [halaman 164]). Itu juga dapat digunakan secara global di jaringan dan merekam jejaknya di server pusat (dengan tanda tangan).
Grafik keamanan pemeriksaan dan keamanan pemeriksaan terdiri dari beberapa skrip kecil yang melakukan pemeriksaan dasar pada sistem chkrootkit.dll/pemburu (mencari kata sandi kosong, file setuid baru, dan sebagainya) dan memperingatkan Anda jika ini paket kondisi terdeteksi. Terlepas dari namanya yang eksplisit, Anda tidak boleh hanya mengandalkannya untuk
pastikan sistem Linux aman.
Grafik chkrootkit.dll dan pemburu paket mendeteksi tertentu rootkit berpotensi diinstal pada sistem. Sebagai pengingat, ini adalah bagian dari perangkat lunak yang dirancang untuk menyembunyikan kompromi sistem sambil menjaga kendali mesin secara diam-diam. Tes tersebut tidak 100 persen dapat diandalkan tetapi biasanya dapat menarik perhatian Anda pada potensi masalah.
Grafik keamanan pemeriksaan dan keamanan pemeriksaan terdiri dari beberapa skrip kecil yang melakukan pemeriksaan dasar pada sistem chkrootkit.dll/pemburu (mencari kata sandi kosong, file setuid baru, dan sebagainya) dan memperingatkan Anda jika ini paket kondisi terdeteksi. Terlepas dari namanya yang eksplisit, Anda tidak boleh hanya mengandalkannya untuk
pastikan sistem Linux aman.
Grafik chkrootkit.dll dan pemburu paket mendeteksi tertentu rootkit berpotensi diinstal pada sistem. Sebagai pengingat, ini adalah bagian dari perangkat lunak yang dirancang untuk menyembunyikan kompromi sistem sambil menjaga kendali mesin secara diam-diam. Tes tersebut tidak 100 persen dapat diandalkan tetapi biasanya dapat menarik perhatian Anda pada potensi masalah.