dokumentasi<Sebelum | Contents [show] | Seterusnya>
Pemantauan Fail: AIDE
Alat Persekitaran Pengesanan Pencerobohan Lanjutan (AIDE) menyemak integriti fail dan mengesan sebarang perubahan terhadap imej sistem yang sah yang dirakam sebelum ini. Imej disimpan sebagai pangkalan data (/var/lib/aide/aide.db) yang mengandungi maklumat yang berkaitan pada semua fail sistem (cap jari, kebenaran, cap masa dan sebagainya).
Anda boleh memasang AIDE dengan menjalankan Apt update diikuti oleh apt memasang pembantu. Anda akan mula-mula membuat permulaan pangkalan data dengan aideinit; ia kemudiannya akan berjalan setiap hari (melalui /etc/cron.daily/aide skrip) kepada
semak bahawa tiada apa-apa yang berkaitan berubah. Apabila perubahan dikesan, AIDE merekodkannya dalam fail log (/var/log/aide/*.log) dan menghantar penemuannya kepada pentadbir melalui e-mel.
Melindungi Pangkalan Data Memandangkan AIDE menggunakan pangkalan data tempatan untuk membandingkan keadaan fail, kesahihan keputusannya dikaitkan secara langsung dengan kesahihan pangkalan data. Jika penyerang mendapat kebenaran root pada sistem yang terjejas, mereka akan dapat menggantikan pangkalan data dan menutup jejak mereka. Satu cara untuk mengelakkan subversi ini adalah dengan menyimpan data rujukan pada media storan baca sahaja.
Melindungi Pangkalan Data Memandangkan AIDE menggunakan pangkalan data tempatan untuk membandingkan keadaan fail, kesahihan keputusannya dikaitkan secara langsung dengan kesahihan pangkalan data. Jika penyerang mendapat kebenaran root pada sistem yang terjejas, mereka akan dapat menggantikan pangkalan data dan menutup jejak mereka. Satu cara untuk mengelakkan subversi ini adalah dengan menyimpan data rujukan pada media storan baca sahaja.
Anda boleh menggunakan pilihan dalam /etc/default/aide untuk mengubah suai tingkah laku pembantu pakej. Konfigurasi AIDE yang betul disimpan dalam /etc/aide/aide.conf and /etc/aide/aide.conf.d/ (sebenarnya, fail ini hanya digunakan oleh kemas kini-aide.conf untuk menjana /var/lib/aide/aide.conf. dijana secara automatik). Konfigurasi menunjukkan sifat mana fail yang perlu disemak. Sebagai contoh, kandungan fail log berubah secara rutin, dan perubahan tersebut boleh diabaikan selagi kebenaran fail ini kekal sama, tetapi kedua-dua kandungan dan kebenaran program boleh laku mestilah tetap. Walaupun tidak begitu rumit, sintaks konfigurasi tidak intuitif sepenuhnya dan kami mengesyorkan membacanya aide.conf(5) halaman manual untuk butiran lanjut.
Versi baharu pangkalan data dijana setiap hari dalam /var/lib/aide/aide.db.new; jika semua perubahan yang direkodkan adalah sah, ia boleh digunakan untuk menggantikan pangkalan data rujukan.
Tripwire sangat serupa dengan AIDE; sintaks fail konfigurasi pun hampir sama. Tambahan utama yang disediakan oleh wayar perjalanan ialah mekanisme untuk menandatangani fail konfigurasi supaya penyerang tidak boleh menunjuk pada versi pangkalan data rujukan yang berbeza.
Samhain juga menawarkan ciri yang serupa serta beberapa fungsi untuk membantu mengesan rootkit (lihat bar sisi “Pakej checksecurity dan chkrootkit/rkhunter” [halaman 164]). Ia juga boleh digunakan secara global pada rangkaian dan merekodkan jejaknya pada pelayan pusat (dengan tandatangan).
. checksecurity and checksecurity terdiri daripada beberapa skrip kecil yang melakukan pemeriksaan asas pada sistem chkrootkit/rkhunter (mencari kata laluan kosong, fail setuid baharu dan sebagainya) dan memberi amaran kepada anda jika ini pakej keadaan dikesan. Walaupun namanya jelas, anda tidak seharusnya bergantung padanya semata-mata
pastikan sistem Linux selamat.
. chkrootkit and rkhunter pakej mengesan tertentu rootkit berpotensi dipasang pada sistem. Sebagai peringatan, ini adalah perisian yang direka untuk menyembunyikan kompromi sistem sambil mengawal mesin secara diam-diam. Ujian ini tidak 100 peratus boleh dipercayai tetapi mereka biasanya boleh menarik perhatian anda kepada masalah yang berpotensi.
. checksecurity and checksecurity terdiri daripada beberapa skrip kecil yang melakukan pemeriksaan asas pada sistem chkrootkit/rkhunter (mencari kata laluan kosong, fail setuid baharu dan sebagainya) dan memberi amaran kepada anda jika ini pakej keadaan dikesan. Walaupun namanya jelas, anda tidak seharusnya bergantung padanya semata-mata
pastikan sistem Linux selamat.
. chkrootkit and rkhunter pakej mengesan tertentu rootkit berpotensi dipasang pada sistem. Sebagai peringatan, ini adalah perisian yang direka untuk menyembunyikan kompromi sistem sambil mengawal mesin secara diam-diam. Ujian ini tidak 100 peratus boleh dipercayai tetapi mereka biasanya boleh menarik perhatian anda kepada masalah yang berpotensi.