V dnešním digitálně propojeném světě je zabezpečení informačních systémů na prvním místě. Jednou z klíčových obranných strategií je detekce neoprávněných změn v souborovém systému, což může být předzvěstí útoku nebo přítomnosti škodlivého softwaru. AIDE (Advanced Intrusion Detection Environment) představuje mocný nástroj pro Unix-like systémy, včetně CentOS, který poskytuje pokročilé možnosti pro detekci takových změn. V tomto článku se podíváme na to, jak implementovat AIDE na systému CentOS 7.

Úvod do AIDE

AIDE je nástroj pro detekci narušení, který pracuje na principu kontrolních součtů souborů a databází atributů souborů na disku. Umožňuje administrátorům zjistit, kdy došlo ke změně na souborech nebo konfiguračních nastaveních, což je často první známka kompromitace systému.

Předpoklady

Než začnete s instalací a konfigurací AIDE na CentOS 7, ujistěte se, že máte:

• Přístup k rootu nebo uživateli s sudo oprávněními.
• Základní znalost práce v terminálu.
• Aktualizovaný systém (použijte příkazy sudo yum update a sudo yum upgrade).

Instalace AIDE

1. Instalace balíčku AIDE: Začneme instalací AIDE pomocí správce balíčků yum. Otevřete terminál a spusťte následující příkaz:

   sudo yum install aide
   ​

2. Inicializace databáze AIDE: Po instalaci je potřeba vytvořit počáteční databázi, která bude sloužit jako referenční bod pro budoucí kontrolu. To provedete pomocí:

   sudo aide --init
   ​

   Vytvořená databáze bude umístěna v /var/lib/aide/aide.db.new.gz. Přemístěte ji do správného umístění a přejmenujte pomocí:

   sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
   ​

 

Konfigurace AIDE

AIDE je vysoce konfigurovatelný, což znamená, že můžete specifikovat, které soubory a adresáře mají být sledovány, jaké atributy souborů mají být kontrolovány, atd. Konfigurační soubor pro AIDE se nachází v /etc/aide.conf.

1. Editace konfiguračního souboru: Použijte váš oblíbený textový editor pro úpravu /etc/aide.conf. Zde můžete definovat pravidla pro sledování konkrétních souborů nebo adresářů. Například, pro sledování změn v /etc můžete přidat:

   /etc Normal
   ​

2. Pravidla pro sledování: Pravidla v aide.conf určují, jaké atributy souborů mají být kontrolovány. Například Normal pravidlo může zahrnovat kontrolu oprávnění, inodů, počtu odkazů, uživatele, skupiny, velikosti, kontrolního součtu, atd.

 

Pravidelná kontrola změn

Po nastavení AIDE je důležité pravidelně provádět kontroly, aby se identifikovaly neoprávněné změny. To lze provést manuálně spuštěním:

sudo aide --check

Tento příkaz porovná aktuální stav souborového systému s databází AIDE. Jakékoli rozdíly budou uvedeny a je na administrátorovi, aby určil, zda jsou změny legitimní nebo známkou narušení.

Pro automatizaci tohoto procesu můžete vytvořit cron job, který bude pravidelně spouštět aide --check.

 

Implementace AIDE na CentOS 7 je klíčovým krokem k zabezpečení souborového systému před neautorizovanými změnami. S pravidelnou kontrolou a důslednou konfigurací může AIDE poskytnout cennou vrstvu ochrany pro váš systém. Je však důležité si uvědomit, že žádný nástroj není 100% spolehlivý a měl by být používán jako součást širší strategie zabezpečení.