Cara Memeriksa Integritas File dan Direktori Menggunakan "AIDE" di Linux
Dalam panduan besar kami untuk memperkuat dan mengamankan CentOS 7, di bawah bagian “melindungi sistem secara internal ”, salah satu alat keamanan berguna yang kami cantumkan untuk perlindungan sistem internal terhadap virus, rootkit, malware, dan deteksi malware yang tidak sah. aktivitasnya adalah AIDE.
AIDE (Lingkungan Deteksi Intrusi Tingkat Lanjut) adalah alat deteksi intrusi sumber terbuka gratis yang kecil namun kuat, yang menggunakan aturan yang telah ditentukan sebelumnya untuk memeriksa integritas file dan direktori dalam sistem operasi mirip Unix seperti Linux. Ini adalah biner statis independen untuk konfigurasi pemantauan klien/server yang disederhanakan.
Ini kaya fitur: menggunakan file konfigurasi teks biasa dan database sehingga mudah digunakan; mendukung beberapa algoritma intisari pesan seperti namun tidak terbatas pada md5, sha1, rmd160, Tiger; mendukung atribut file umum; juga mendukung ekspresi reguler yang kuat untuk secara selektif menyertakan atau mengecualikan file dan direktori yang akan dipindai.
Juga dapat dikompilasi dengan dukungan luar biasa untuk kompresi Gzip, Posix ACL, SELinux, XAttrs dan atribut sistem file Extended.
Aide bekerja dengan membuat database (yang merupakan snapshot dari bagian sistem file yang dipilih), dari aturan ekspresi reguler yang ditentukan dalam file konfigurasi. Setelah database ini diinisialisasi, Anda dapat memverifikasi integritas file sistem terhadapnya. Panduan ini akan menunjukkan cara menginstal dan menggunakan ajudan di Linux.
Cara Install AIDE di Linux
Aide dikemas dalam repositori resmi distribusi Linux mainstream, untuk menginstalnya jalankan perintah untuk distribusi Anda menggunakan manajer paket.
apt install aide [On Debian/Ubuntu]
yum install aide [On RHEL/CentOS]
dnf install aide [On Fedora 22+]
zypper install aide [On openSUSE]
emerge aide [On Gentoo]
Setelah menginstalnya, file konfigurasi utama adalah /etc/aide.conf. Untuk melihat versi terinstal serta parameter waktu kompilasi, jalankan perintah di bawah ini pada terminal Anda:
aide -v
Contoh Keluaran
Aide 0.14
Compiled with the following options:
WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Anda dapat membuka konfigurasi menggunakan editor favorit Anda.
vi /etc/aide.conf
Ini memiliki arahan yang menentukan lokasi database, lokasi laporan, aturan default, direktori/file yang akan dimasukkan dalam database.
Memahami Aturan Ajudan Default
Dengan menggunakan aturan default di atas, Anda dapat menentukan aturan khusus baru di file aide.conf misalnya.
PERMS = p+u+g+acl+selinux+xattrs
Aturan PERMS digunakan untuk kontrol akses saja, aturan ini akan mendeteksi perubahan apa pun pada file atau direktori berdasarkan izin file/direktori, pengguna, grup, izin kontrol akses, konteks SELinux, dan atribut file.
Ini hanya akan memeriksa konten file dan jenis file.
CONTENT = sha256+ftype
Ini adalah versi lanjutan dari aturan sebelumnya, ini memeriksa konten yang diperluas, jenis file, dan akses.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
Aturan DATAONLY di bawah ini akan membantu mendeteksi perubahan apa pun pada data di dalam semua file/direktori.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
Mendefinisikan Aturan untuk Menonton File dan Direktori
Setelah Anda menentukan aturan, Anda dapat menentukan file dan direktori yang akan ditonton. Mengingat aturan PERMS di atas, definisi ini akan memeriksa izin untuk semua file di direktori root.
/root/\..* PERMS
Ini akan memeriksa semua file di direktori /root untuk mengetahui adanya perubahan.
/root/ CONTENT_EX
Untuk membantu Anda mendeteksi perubahan apa pun pada data di dalam semua file/direktori di bawah /etc/, gunakan ini.
/etc/ DATAONLY
Menggunakan AIDE untuk Memeriksa Integritas File dan Direktori di Linux
Mulailah dengan membangun database berdasarkan pemeriksaan yang akan dilakukan menggunakan flag --init. Hal ini diharapkan dilakukan sebelum sistem Anda terhubung ke jaringan.
Perintah di bawah ini akan membuat database yang berisi semua file yang Anda pilih di file konfigurasi Anda.
aide --init
Kemudian ganti nama database menjadi /var/lib/aide/aide.db.gz sebelum melanjutkan, menggunakan perintah ini.
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Disarankan untuk memindahkan database ke lokasi aman, mungkin di media read-only atau di komputer lain, namun pastikan Anda memperbarui file konfigurasi untuk membacanya dari sana.
Setelah database dibuat, kini Anda dapat memeriksa integritas file dan direktori menggunakan flag --check.
aide --check
Ini akan membaca snapshot dalam database dan membandingkannya dengan file/direktori yang ditemukan pada disk sistem Anda. Jika ia menemukan perubahan di tempat yang mungkin tidak Anda duga, ia akan menghasilkan laporan yang kemudian dapat Anda tinjau.
Karena tidak ada perubahan yang dilakukan pada sistem file, Anda hanya akan mendapatkan keluaran yang mirip dengan di atas. Sekarang cobalah membuat beberapa file di sistem file, di area yang ditentukan dalam file konfigurasi.
vi /etc/script.sh
touch all.txt
Kemudian jalankan pemeriksaan sekali lagi, yang seharusnya melaporkan file yang ditambahkan di atas. Output dari perintah ini bergantung pada bagian sistem file yang Anda konfigurasikan untuk pemeriksaan, ini bisa memakan waktu lama.
aide --check
Anda perlu menjalankan pemeriksaan tambahan secara teratur, dan jika ada perubahan pada file yang sudah dipilih atau penambahan definisi file baru di file konfigurasi, selalu perbarui database menggunakan opsi --update:
aide --update
Setelah menjalankan pembaruan basis data, untuk menggunakan basis data baru untuk pemindaian berikutnya, selalu ganti namanya menjadi /var/lib/aide/aide.db.gz:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Itu saja untuk saat ini! Namun perhatikan poin-poin penting ini:
- Salah satu karakteristik dari sebagian besar sistem deteksi intrusi inklusif AIDE adalah bahwa mereka tidak akan memberikan solusi untuk sebagian besar lubang keamanan pada suatu sistem. Namun mereka membantu meringankan proses respons intrusi dengan membantu administrator sistem memeriksa setiap perubahan pada file/direktori sistem. Jadi Anda harus selalu waspada dan terus memperbarui langkah-langkah keamanan Anda saat ini.
- Sangat disarankan untuk menyimpan database yang baru dibuat, file konfigurasi, dan biner AIDE di lokasi yang aman seperti media read-only (dapat dilakukan jika Anda menginstal dari sumber).
- Untuk keamanan tambahan, pertimbangkan untuk menandatangani konfigurasi dan/atau database.
Untuk informasi dan konfigurasi tambahan, lihat halaman manualnya atau lihat Beranda AIDE: http://aide.sourceforge.net/