Утилита aide#

Описание#

Утилита aide (Advanced Intrusion Detection Environment) используется для обнаружения вторжений и аудита системы. Она позволяет отслеживать изменения в файловой системе, системных файлах, установленных пакетах и других параметрах системы. aide создает базу данных, в которой хранит информацию о состоянии системы, и затем сравнивает ее с текущим состоянием системы, выявляя любые изменения. Это позволяет обнаруживать несанкционированные изменения, которые могут указывать на проблемы безопасности.

Синтаксис утилиты:

aide <options> <command>

Где:

  • <options> - опции;

  • <command> - команда.

Команды#

Часто используемые команды утилиты представлены в таблице ниже.

Команды aide#

Команда

Описание

-C, --check

Проверяет целостность базы данных. Требуется инициализированная база данных для выполнения этой проверки. Это команда по умолчанию. Если запустить aide без указания команды, то будет выполнена эта проверка

-i, --init

Инициализирует базу данных

-u, --update

Проверяет базу данных и обновляет ее в неинтерактивном режиме. Входная и выходная базы данных должны быть разными

-E, --compare

Сравнивает две базы данных. Они должны быть указаны в конфигурационном файле с использованием параметра database=\<url\> и database_new=\<url\>

Опции#

Часто используемые опции утилиты представлены в таблице ниже.

Опции aide#

Опция

Описание

-c, --config

Считывает конфигурацию из заданного конфигурационного файла

-l, --limit

Ограничивает область просмотра файловой системы, используя регулярное выражение

-V<level>, --verbose=<level>

Устанавливает расширенный вывод сообщений журнала. Опционально можно задать уровень выводимых сообщений level от 0 (только ошибки) до 4 (очень подробные сообщения, включая расширенную отладочную информацию)

Пример использования#

Чтобы проверить и произвести изменения в одном каталоге, используйте команду:

aide --update --limit /etc

В результате выполнения команды будут проверены и обновлены только записи в базе данных, соответствующие каталогу /etc.

Проверка целостности файлов с помощью aide#

Контроль целостности исполняемых файлов#

Предварительные условия: aide запущен и работает.

  1. Внесите сведения о файлах или каталогах, подлежащих контролю, в файл /etc/aide.conf. Для этого откройте файл команой:

    nano /etc/aide.conf

    Каждая запись содержит путь к файлу или каталогу, и установленные для него проверки, которые могут быть собраны в группы. Структура файла конфигурации описана в документе Файл /etc/aide.conf.

    Важно

    Обратите внимание, что путь к файлу указывается с помощью регулярного выражения.

    • Пример 1:

      =/foo sha256

      Строка устанавливает контроль целостности по алгоритму sha256 для содержимого каталогов /foo, /foobar и аналогичных. Проверке подлежат только файлы из самого каталога и входящие каталоги, но не файлы из этих вложенных каталогов.

    • Пример 2:

      /foo/ sha512+p

      Строка устанавливает контроль целостности по алгоритму sha512 и контроль за изменением разрешений для содержимого каталога /foo/ и содержимого всех входящих в него подкаталогов.

    • Пример 3:

      !/foo/text.tmp$

      Строка устанавливает, что для файла text.tmp в каталоге /foo/ не будут производиться проверки, установленные в предыдущих строках.

  2. Если база данных AIDE не создана (отсутствует файл /var/lib/aide/aide.db.gz), то создайте ее командой:

    aide --init

    База инициализируется и создается в файле /var/lib/aide/aide.db.new.gz.

  3. Переименуйте файл базы данных:

    mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

В результате выполнения этих команд в базе данных AIDE будет содержаться информация обо всех контролируемых файлах.

Просмотр информации о файлах с нарушением целостности#

Для просмотра информации о целостности файлов выполните:

aide --check

В результате будет осуществлена проверка соответствия фактической информации о текущем состоянии контролируемых файлов и информации из базы AIDE, затем будет выведен отчет обо всех несоответствиях.

Внесение информации об изменившихся контрольных суммах#

Если файлы, информация о которых включена в базу, были изменены, то для отражения новых значений их контролируемых параметров:

  1. Обновите базу данных AIDE:

    aide --update

  2. Переименуйте файл базы данных:

    mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Изменение состава файлов и контролируемых параметров для процедуры контроля целостности#

Если необходимо изменить состав контролируемых файлов или набор контролируемых параметров:

  1. Внесите соответствующие изменения в файл /etc/aide.conf.

  2. Обновите базу данных AIDE:

    aide --update

    В результате информация об изменениях в составе контролируемых файлов в базе AIDE будет обновлена, а новое содержимое базы будет помещено в файл /var/lib/aide/aide.db.new.gz.

  3. Переименуйте файл базы данных:

    mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Дополнительная информация#

Дополнительную информацию можно получить, выполнив команду:

man 1 aide

Или:

aide --help