AIDE y seguridad
Este artículo es la segunda parte de una serie de artículos sobre la seguridad de Linux. En la primera parte, analizo el concepto de Módulos de autenticación conectables (PAM) con un ejemplo de configuración de condiciones de contraseña seguras para un usuario normal para mejorar la seguridad de ese usuario. En esta parte, analizo el Entorno de detección de intrusos avanzado (AIDE).
En la seguridad de Linux, es muy importante realizar un seguimiento de los datos. Como administrador de sistemas, debe saber cómo verificar la integridad de los archivos y directorios. Puede hacerlo con la herramienta AIDE.
[ También te puede interesar: Proteger un sistema Linux heredado]
La herramienta AIDE también lo ayuda a monitorear archivos en términos de permisos, propiedad y Linux con seguridad mejorada (SELinux). Si alguien intenta modificar un archivo específico, puede verificar ese archivo usando AIDE.
Introducción de AIDE
Entorno de detección de intrusos avanzado (AIDE) es una poderosa herramienta de detección de intrusiones de código abierto que utiliza reglas predefinidas para verificar la integridad de los archivos y directorios en el sistema operativo Linux. AIDE tiene su propia base de datos para comprobar la integridad de archivos y directorios.
AIDE ayuda a monitorear aquellos archivos que se cambiaron o modificaron recientemente. Puede realizar un seguimiento de los archivos o directorios cuando alguien intenta modificarlos o cambiarlos. Pero surge la pregunta:¿AIDE es seguro?
AIDE está protegido por SELinux. SElinux asegura el proceso AIDE con control de acceso obligatorio. Define tipos de procesos (dominios) para cada proceso que se ejecuta en el sistema. La política AIDE de SELinux es muy flexible, lo que permite a los usuarios configurar sus procesos AIDE de la forma más segura posible.
Instalación de AIDE
Existe la posibilidad de que en algunas de las distribuciones de Linux, AIDE no esté instalado. Para instalar AIDE en su sistema, use el siguiente comando:
# yum install aide -y Puede verificar la versión de AIDE usando:
# aide -v
En AIDE, la ruta del archivo de configuración es /etc/aide.conf . Esta configuración puede inicializar o comprobar la base de datos. En esta configuración, algunas reglas ya están predefinidas, como PERMS, NORMAL, LSPP, DATAONLY, etc. Estas reglas personalizadas contienen muchos valores predeterminados relacionados con permisos, inodos, números de enlaces, acl , selinux , etc. Un ejemplo de una regla personalizada es:
$ PERMS= p+i+n+u+g+acl+selinux donde:
p:permisoi:inodoN:número de enlacesg:grupoacl:lista de control de accesoselinux:Contexto de seguridad de SELinux
Estas reglas ayudan a rastrear y detectar archivos. Si coloca reglas PERMS en cualquier directorio o archivo, todas estas reglas se implementan para el seguimiento y la supervisión. Con todas estas reglas declaradas, también puede crear sus propias reglas personalizadas, que son una combinación de varias reglas.
Antes de inicializar la base de datos de AIDE, es importante establecer reglas para directorios o archivos. Puede hacerlo en /etc/aide.conf archivo en sí. Suponga que desea realizar un seguimiento de /etc/passwd archivo para que pueda poner reglas como PERMS en ese archivo para verificar la integridad del archivo usando una base de datos AIDE.
Implementación de AIDE
Para implementar AIDE en su sistema, debe inicializar la base de datos. Usando esta base de datos AIDE, se ejecuta una verificación de integridad en todos los archivos y directorios. La base de datos AIDE genera en el /var/lib/aide directorio. También puede comprobar el contexto de este directorio usando:
$ ls -ldZ /var/lib/aide
drwx------. 2 root root system_u:object_r:aide_db_t:s0 4096 Jul 31 2019 /var/lib/aide/
Este directorio tiene aide_db_t contexto establecido por SELinux. Este contexto se utiliza cuando desea tratar los archivos como contenido de la base de datos AIDE. Los registros de AIDE se almacenan en /var/log/aide directorio y este directorio también tiene aide_log_t contexto.
Para inicializar la base de datos de AIDE, utilice el comando:
$ aide --init
Este comando genera un archivo gzip de la base de datos. Puede usar el archivo comprimido para fines de verificación de integridad.
Suponga que necesita monitorear el /etc/hosts expediente. Entonces, si alguien intenta ingresar un archivo o intenta modificarlo en su ausencia, puede verificar ese archivo usando AIDE.
Después de instalar AIDE en su sistema, haga una entrada en /etc/aide.conf archivo con reglas personalizadas. Debe supervisar los archivos en busca de cambios en los permisos, los grupos, la propiedad y el tiempo de acceso a los archivos. A continuación, puede seleccionar cualquier regla personalizada que contenga todos estos puntos.
Aquí pongo el conjunto de reglas FIPSR porque estas reglas personalizadas contienen las reglas normales máximas.
FIPSR= p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
NOTA :Antes de escribir nada en el aide.conf archivo, siempre haga una copia de seguridad.
# cp /etc/aide.conf /etc/aide`date +%F`.conf
En el /etc/aide.conf archivo, puede escribir el nombre del archivo con esta regla personalizada:
/etc/hosts FIPSR
Después de esto, puede inicializar la base de datos usando aide --init dominio. Esto genera un gzip archivo con el nombre de aide.db.new.gz . Mueva este archivo dentro del directorio predeterminado de la base de datos de AIDE con el nombre de aide.db.gz
$ mv aide.db.new.gz /var/lib/aide/aide.db.gz De esta forma, puede establecer la base de datos en la ubicación adecuada.
Una vez que AIDE conoce el estado actual del sistema de archivos, puede detectar cambios en el sistema de archivos comparándolos con el estado conocido. Para verificar la integridad, use:
$ aide --check
Este comando le brinda resultados en detalle. Si /etc/hosts se modifica el archivo, luego le indica claramente el último archivo modificado.
Si desea actualizar la base de datos de AIDE después de hacer nuevas entradas en aide.conf , usa:
$ aide --update [ ¿Está pensando en la seguridad? Consulte esta guía gratuita para impulsar la seguridad de la nube híbrida y proteger su empresa. ]
Terminar
En este artículo, aprendió sobre el Entorno de detección de intrusos avanzado (AIDE) y cómo se puede utilizar para mejorar la seguridad de Linux. Puede monitorear archivos y directorios y también verificar su integridad. La base de datos de AIDE lo ayuda a detectar cambios que ocurren en cualquier archivo o directorio.