Žodis angliškai:
Santrumpa:
Apibrėžimas:
AIDE - failų vientisumo stebėjimo įrankis
Paaiškinimas:
Aide yra failų vientisumo stebėjimo įrankis. Veikimo principas paremtas dviejų duomenų bazių palyginimu. Pirmo paleidimo metu susikuriame norimos direktorijos duomenų bazę, kitų paleidimų metu su ja lyginsime naujai gautą duomenų bazę, jei randame neatitikimų, juos išvedame vartotojui. Nepakanka pasitikėti šios programos veikimu ir išvedamais rezultatais, reikia gerai išmanyti Linux failų sistemos struktūrą ir pamatinius saugumo principus. Pavyzdžiui, rekomenduojama Aide įrašyti į naujai įrašytą sistemą, kuri dar nebuvo prijungta prie interneto ir susikurti pirmąją duomenų bazę. Taip tiksliai žinosime, kad šioje duomenų bazėje esantys failai yra visiškai saugūs ir sistema dirba 100 % teisingai. Kita rekomendacija saugumo užtikrinimui yra naudoti HMAC skaitmeninius parašus Aide konfigūraciniam failui bei duomenų bazėms, tačiau tai galima padaryti tik konfigūruojant programą iš išeities kodo (angl. source code) naudojant –HMAC parametrą. Dar vienas saugumą didinantis veiksmas yra duomenų bazėms naudoti tik nuskaitymą leidžiančią (angl. read-only) laikmeną, pavyzdžiui CD-ROM. Taip žinosime, kad piktavalis nepakeitė pradinės duomenų bazės ar konfigūracinio failo. Aide programinis paketas yra oficialiose Debian repozitorijose, todėl lengviausia jį atsisiųsti naudojant apt-get programų valdiklį. sudo apt-get install aide Įrašius Aide pirmi žingsniai yra susirasti konfigūracinį failą, kuris pagal nutylėjimą yra /etc/aide/aide.conf. Šiame faile yra keletas svarbių parametrų, kuriuos galima pakeisti. Tai yra įėjimo ir išėjimo duomenų bazių direktorijos, skenuojamos direktorijos bei joms pritaikomi skenavimo kriterijai. Pirmasis Aide paleidimas rezultate nurodo, kur įrašyta pradinė duomenų bazė. arvydas@debian:~$ aide --init AIDE, version 0.15.1
Failų vientisumo patikrinimui naudojame aide su --check parametru. sudo aide --check
AIDE 0.15.1 found differences between database and filesystem!! Start timestamp: 2014-04-09 11:08:13
Summary:
- Total number of files: 23 Added files: 0 Removed files: 0 Changed files: 1
Changed files:
changed: /home/arvydas/Notebooks/Arvydas/Asmeniniai/Debian.txt
Detailed information about changes:
File: /home/arvydas/Notebooks/Arvydas/Asmeniniai/Debian.txt
- Inode : 134718 , 134748 MD5 : VXJ5xLGpOx3oLLkfPOzxhA== , fh6ubcINbinP8lD2y+0XyQ==
Šiuo atveju gavome rezultatą, kuriame sakoma, kad rastas vienas pakeistas failas, bei detali informacija apie failo pakitimus. Kai susipažinome su failų pakitimais bei esame įsitikinę, kad veikianti sistema yra saugi galime atnaujinti įėjimo duomenų bazę prieš kurią lyginsime naujus duomenis. sudo aide --update
Aide naudojimo reikia išmokti tik dažnai naudojant šį įrankį ir palaipsniui modifikuojant skenuojamas direktorijas, joms pritaikomus skenavimo metodus bei nusistatant skenavimo reguliarumą. Rekomenduojama Aide skenavimą atlikti ne rečiau nei 24h, o duomenų bazę atnaujinti kas savaitę.
Naudota literatūra:
Aide [interaktyvus]. Hannes von Haugwitz [žiūrėta 2014 m. kovo mėn]. Prieiga per internetą: < http://aide.sourceforge.net/ >