ເອກະສານໄຟລ໌ຕິດຕາມກວດກາ: AIDE
ເຄື່ອງມື Advanced Intrusion Detection Environment (AIDE) ກວດສອບຄວາມສົມບູນຂອງໄຟລ໌ ແລະກວດພົບການປ່ຽນແປງຕໍ່ກັບຮູບພາບທີ່ບັນທຶກໄວ້ໃນເມື່ອກ່ອນຂອງລະບົບທີ່ຖືກຕ້ອງ. ຮູບພາບຖືກເກັບໄວ້ເປັນຖານຂໍ້ມູນ (/var/lib/aide/aide.db) ປະກອບດ້ວຍຂໍ້ມູນທີ່ກ່ຽວຂ້ອງໃນທຸກໄຟລ໌ຂອງລະບົບ (ການພິມນິ້ວມື, ການອະນຸຍາດ, ເວລາ, ແລະອື່ນໆ).
ທ່ານສາມາດຕິດຕັ້ງ AIDE ໂດຍການແລ່ນ apt update ປະຕິບັດຕາມໂດຍ apt ຕິດຕັ້ງຜູ້ຊ່ວຍ. ກ່ອນອື່ນ ໝົດ, ເຈົ້າຈະເລີ່ມຕົ້ນຖານຂໍ້ມູນ ຜູ້ຊ່ວຍ; ຫຼັງຈາກນັ້ນມັນຈະດໍາເນີນການປະຈໍາວັນ (ຜ່ານ /etc/cron.daily/aide script) ກັບ
ກວດເບິ່ງວ່າບໍ່ມີຫຍັງປ່ຽນແປງ. ເມື່ອກວດພົບການປ່ຽນແປງ, AIDE ຈະບັນທຶກພວກມັນໄວ້ໃນໄຟລ໌ບັນທຶກ (/var/log/aide/*.log) ແລະສົ່ງຜົນການຄົ້ນພົບຂອງມັນໄປຫາຜູ້ເບິ່ງແຍງລະບົບທາງອີເມວ.
ການປົກປ້ອງຖານຂໍ້ມູນ ເນື່ອງຈາກ AIDE ໃຊ້ຖານຂໍ້ມູນທ້ອງຖິ່ນເພື່ອປຽບທຽບສະຖານະຂອງໄຟລ໌, ຄວາມຖືກຕ້ອງຂອງຜົນໄດ້ຮັບຂອງມັນໄດ້ຖືກເຊື່ອມຕໍ່ໂດຍກົງກັບຄວາມຖືກຕ້ອງຂອງຖານຂໍ້ມູນ. ຖ້າຜູ້ໂຈມຕີໄດ້ຮັບການອະນຸຍາດຮາກໃນລະບົບທີ່ຖືກທໍາລາຍ, ພວກເຂົາຈະສາມາດທົດແທນຖານຂໍ້ມູນແລະກວມເອົາການຕິດຕາມຂອງພວກເຂົາ. ວິທີຫນຶ່ງເພື່ອປ້ອງກັນການໂຄ່ນລົ້ມນີ້ແມ່ນການເກັບຮັກສາຂໍ້ມູນອ້າງອີງໃນສື່ການເກັບຮັກສາແບບອ່ານເທົ່ານັ້ນ.
ການປົກປ້ອງຖານຂໍ້ມູນ ເນື່ອງຈາກ AIDE ໃຊ້ຖານຂໍ້ມູນທ້ອງຖິ່ນເພື່ອປຽບທຽບສະຖານະຂອງໄຟລ໌, ຄວາມຖືກຕ້ອງຂອງຜົນໄດ້ຮັບຂອງມັນໄດ້ຖືກເຊື່ອມຕໍ່ໂດຍກົງກັບຄວາມຖືກຕ້ອງຂອງຖານຂໍ້ມູນ. ຖ້າຜູ້ໂຈມຕີໄດ້ຮັບການອະນຸຍາດຮາກໃນລະບົບທີ່ຖືກທໍາລາຍ, ພວກເຂົາຈະສາມາດທົດແທນຖານຂໍ້ມູນແລະກວມເອົາການຕິດຕາມຂອງພວກເຂົາ. ວິທີຫນຶ່ງເພື່ອປ້ອງກັນການໂຄ່ນລົ້ມນີ້ແມ່ນການເກັບຮັກສາຂໍ້ມູນອ້າງອີງໃນສື່ການເກັບຮັກສາແບບອ່ານເທົ່ານັ້ນ.
ທ່ານສາມາດນໍາໃຊ້ທາງເລືອກໃນ /etc/default/aide ເພື່ອປັບປ່ຽນພຶດຕິກຳຂອງ ຊ່ວຍ ຊຸດ. ການຕັ້ງຄ່າ AIDE ທີ່ຖືກຕ້ອງຖືກເກັບໄວ້ໃນ /etc/aide/aide.conf ແລະ /etc/aide/aide.conf.d/ (ຢ່າງແທ້ຈິງ, ໄຟລ໌ເຫຼົ່ານີ້ໄດ້ຖືກນໍາໃຊ້ພຽງແຕ່ໂດຍ update-aide.conf ການຜະລິດ /var/lib/aide/aide.conf. ຜະລິດອັດຕະໂນມັດ). ການຕັ້ງຄ່າຊີ້ບອກຄຸນສົມບັດຂອງໄຟລ໌ໃດທີ່ຕ້ອງການກວດສອບ. ຕົວຢ່າງເຊັ່ນ, ເນື້ອໃນຂອງໄຟລ໌ບັນທຶກມີການປ່ຽນແປງເປັນປົກກະຕິ, ແລະການປ່ຽນແປງດັ່ງກ່າວສາມາດຖືກລະເວັ້ນຕາບໃດທີ່ການອະນຸຍາດຂອງໄຟລ໌ເຫຼົ່ານີ້ຍັງຄົງຢູ່ຄືກັນ, ແຕ່ທັງເນື້ອຫາແລະການອະນຸຍາດຂອງໂປລແກລມທີ່ປະຕິບັດໄດ້ຕ້ອງຄົງທີ່. ເຖິງແມ່ນວ່າບໍ່ສັບສົນຫຼາຍ, syntax ການຕັ້ງຄ່າບໍ່ແມ່ນ intuitive ຢ່າງເຕັມສ່ວນແລະພວກເຮົາແນະນໍາໃຫ້ອ່ານ aide.conf(5) ຫນ້າຄູ່ມືສໍາລັບລາຍລະອຽດເພີ່ມເຕີມ.
ສະບັບໃຫມ່ຂອງຖານຂໍ້ມູນແມ່ນສ້າງຂຶ້ນປະຈໍາວັນໃນ /var/lib/aide/aide.db.new; ຖ້າການປ່ຽນແປງທີ່ບັນທຶກໄວ້ທັງຫມົດແມ່ນຖືກຕ້ອງ, ມັນສາມາດຖືກນໍາໃຊ້ເພື່ອທົດແທນຖານຂໍ້ມູນອ້າງອີງ.
Tripwire ແມ່ນຄ້າຍຄືກັນກັບ AIDE; ເຖິງແມ່ນວ່າ syntax ໄຟລ໌ການຕັ້ງຄ່າແມ່ນເກືອບຄືກັນ. ນອກຈາກນັ້ນຕົ້ນຕໍສະຫນອງໃຫ້ໂດຍ ເສັ້ນທາງເດີນທາງ ແມ່ນກົນໄກການເຊັນໄຟລ໌ການຕັ້ງຄ່າເພື່ອໃຫ້ຜູ້ໂຈມຕີບໍ່ສາມາດຊີ້ໃສ່ຖານຂໍ້ມູນອ້າງອີງສະບັບອື່ນ.
Samhain ຍັງສະຫນອງລັກສະນະທີ່ຄ້າຍຄືກັນເຊັ່ນດຽວກັນກັບບາງຫນ້າທີ່ຊ່ວຍກວດຫາ rootkits (ເບິ່ງແຖບດ້ານຂ້າງ "ການຫຸ້ມຫໍ່ checksecurity ແລະ chkrootkit/rkhunter” [ໜ້າ 164]). ມັນຍັງສາມາດຖືກນໍາໃຊ້ທົ່ວໂລກໃນເຄືອຂ່າຍແລະບັນທຶກການຕິດຕາມຂອງມັນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍກາງ (ມີລາຍເຊັນ).
ໄດ້ ການກວດສອບຄວາມປອດໄພ ແລະ ການກວດສອບຄວາມປອດໄພ ປະກອບດ້ວຍສະຄິບນ້ອຍຫຼາຍອັນທີ່ເຮັດການກວດສອບພື້ນຖານໃນລະບົບ chkrootkit/rhunter (ຊອກຫາລະຫັດຜ່ານຫວ່າງເປົ່າ, ໄຟລ໌ setuid ໃຫມ່, ແລະອື່ນໆ) ແລະເຕືອນທ່ານຖ້າຫາກວ່າສິ່ງເຫຼົ່ານີ້ ການຫຸ້ມຫໍ່ ເງື່ອນໄຂຖືກກວດພົບ. ເຖິງວ່າຈະມີຊື່ທີ່ຊັດເຈນ, ທ່ານບໍ່ຄວນອີງໃສ່ມັນພຽງແຕ່
ໃຫ້ແນ່ໃຈວ່າລະບົບ Linux ປອດໄພ.
ໄດ້ chkrootkit ແລະ rhunter ແພັກເກັດກວດພົບທີ່ແນ່ນອນ ຮາກ ອາດຈະຕິດຕັ້ງຢູ່ໃນລະບົບ. ຕາມການເຕືອນ, ເຫຼົ່ານີ້ແມ່ນຊິ້ນສ່ວນຂອງຊອບແວທີ່ຖືກອອກແບບມາເພື່ອປິດບັງການປະນີປະນອມຂອງລະບົບໃນຂະນະທີ່ຮັກສາການຄວບຄຸມເຄື່ອງຈັກຢ່າງລະມັດລະວັງ. ການທົດສອບບໍ່ແມ່ນຄວາມຫນ້າເຊື່ອຖື 100 ເປີເຊັນແຕ່ພວກເຂົາເຈົ້າປົກກະຕິແລ້ວສາມາດດຶງດູດຄວາມສົນໃຈຂອງທ່ານຕໍ່ກັບບັນຫາທີ່ອາດຈະເກີດຂຶ້ນ.
ໄດ້ ການກວດສອບຄວາມປອດໄພ ແລະ ການກວດສອບຄວາມປອດໄພ ປະກອບດ້ວຍສະຄິບນ້ອຍຫຼາຍອັນທີ່ເຮັດການກວດສອບພື້ນຖານໃນລະບົບ chkrootkit/rhunter (ຊອກຫາລະຫັດຜ່ານຫວ່າງເປົ່າ, ໄຟລ໌ setuid ໃຫມ່, ແລະອື່ນໆ) ແລະເຕືອນທ່ານຖ້າຫາກວ່າສິ່ງເຫຼົ່ານີ້ ການຫຸ້ມຫໍ່ ເງື່ອນໄຂຖືກກວດພົບ. ເຖິງວ່າຈະມີຊື່ທີ່ຊັດເຈນ, ທ່ານບໍ່ຄວນອີງໃສ່ມັນພຽງແຕ່
ໃຫ້ແນ່ໃຈວ່າລະບົບ Linux ປອດໄພ.
ໄດ້ chkrootkit ແລະ rhunter ແພັກເກັດກວດພົບທີ່ແນ່ນອນ ຮາກ ອາດຈະຕິດຕັ້ງຢູ່ໃນລະບົບ. ຕາມການເຕືອນ, ເຫຼົ່ານີ້ແມ່ນຊິ້ນສ່ວນຂອງຊອບແວທີ່ຖືກອອກແບບມາເພື່ອປິດບັງການປະນີປະນອມຂອງລະບົບໃນຂະນະທີ່ຮັກສາການຄວບຄຸມເຄື່ອງຈັກຢ່າງລະມັດລະວັງ. ການທົດສອບບໍ່ແມ່ນຄວາມຫນ້າເຊື່ອຖື 100 ເປີເຊັນແຕ່ພວກເຂົາເຈົ້າປົກກະຕິແລ້ວສາມາດດຶງດູດຄວາມສົນໃຈຂອງທ່ານຕໍ່ກັບບັນຫາທີ່ອາດຈະເກີດຂຶ້ນ.