GNU/Linux >> Tutoriels Linux >  >> Linux

Amélioration de la sécurité Linux avec Advanced Intrusion Detection Environment (AIDE)

AIDE et sécurité

Cet article est la deuxième partie d'une série d'articles sur la sécurité Linux. Dans la première partie, j'aborde le concept des modules d'authentification enfichables (PAM) avec un exemple de définition de conditions de mot de passe fort pour un utilisateur régulier afin d'améliorer la sécurité de cet utilisateur. Dans cette partie, j'aborde l'environnement de détection d'intrusion avancée (AIDE).

Dans la sécurité Linux, il est très important de garder une trace des données. En tant qu'administrateur système, vous devez savoir comment vérifier l'intégrité des fichiers et des répertoires. Vous pouvez le faire avec l'outil AIDE.

[ Vous pourriez également aimer : Sécuriser un système Linux hérité ]

L'outil AIDE vous aide également à surveiller les fichiers en termes d'autorisations, de propriété et de Security-Enhanced Linux (SELinux). Si quelqu'un essaie de modifier un fichier spécifique, vous pouvez vérifier ce fichier à l'aide d'AIDE.

Présentation d'AIDE

Environnement de détection d'intrusion avancé (AIDE) est un puissant outil de détection d'intrusion open source qui utilise des règles prédéfinies pour vérifier l'intégrité des fichiers et des répertoires dans le système d'exploitation Linux. AIDE dispose de sa propre base de données pour vérifier l'intégrité des fichiers et des répertoires.

AIDE aide à surveiller les fichiers récemment modifiés ou modifiés. Vous pouvez garder une trace des fichiers ou des répertoires lorsque quelqu'un essaie de les modifier ou de les changer. Mais la question se pose :AIDE est-il sécurisé ?

AIDE est sécurisé par SELinux. SElinux sécurise le processus AIDE avec un contrôle d'accès obligatoire. Il définit les types de processus (domaines) pour chaque processus exécuté sur le système. La politique SELinux AIDE est très flexible, permettant aux utilisateurs de configurer leurs processus AIDE de la manière la plus sécurisée possible.

Installation AIDE

Il est possible que dans certaines distributions Linux, AIDE ne soit pas installé. Pour installer AIDE sur votre système, utilisez la commande suivante :

#  yum install aide -y

Vous pouvez vérifier la version d'AIDE en utilisant :

# aide -v

Dans AIDE, le chemin du fichier de configuration est /etc/aide.conf . Cette configuration peut initialiser ou vérifier la base de données. Dans cette configuration, certaines règles sont déjà prédéfinies telles que PERMS, NORMAL, LSPP, DATAONLY, etc. Ces règles personnalisées contiennent de nombreuses valeurs par défaut liées aux autorisations, inodes, nombres de liens, acl , selinux , etc. Un exemple de règle personnalisée est :

$ PERMS= p+i+n+u+g+acl+selinux

Où :

  • p :autorisation
  • i :inœud
  • N :nombre de liens
  • g :groupe
  • acl :liste de contrôle d'accès
  • selinux :contexte de sécurité SELinux

Ces règles aident au suivi et à la détection des fichiers. Si vous placez des règles PERMS sur un répertoire ou des fichiers, toutes ces règles sont implémentées pour le suivi et la surveillance. En utilisant toutes ces règles déclarées, vous pouvez également créer vos règles personnalisées, qui sont une combinaison de plusieurs règles.

Avant d'initialiser la base de données AIDE, il est important de définir des règles pour les répertoires ou les fichiers. Vous pouvez le faire dans /etc/aide.conf fichier lui-même. Supposons que vous vouliez garder une trace de /etc/passwd fichier afin que vous puissiez mettre des règles telles que PERMS sur ce fichier pour vérifier l'intégrité du fichier à l'aide d'une base de données AIDE.

Implémentation AIDE

Pour mettre en œuvre AIDE sur votre système, vous devez initialiser la base de données. A partir de cette base de données AIDE, un contrôle d'intégrité est effectué sur tous les fichiers et répertoires. La base de données AIDE génère dans /var/lib/aide annuaire. Vous pouvez également vérifier le contexte de ce répertoire à l'aide :

$ ls -ldZ /var/lib/aide

drwx------. 2 root root system_u:object_r:aide_db_t:s0 4096 Jul 31  2019 /var/lib/aide/

Ce répertoire contient aide_db_t contexte défini par SELinux. Ce contexte est utilisé lorsque vous souhaitez traiter les fichiers comme du contenu de base de données AIDE. Les journaux AIDE sont stockés dans /var/log/aide répertoire et ce répertoire contient également aide_log_t contexte.

Pour initialiser la base de données AIDE, utilisez la commande : 

$ aide --init

Cette commande génère un fichier gzippé de la base de données. Vous pouvez utiliser le fichier compressé à des fins de vérification d'intégrité.
Supposons que vous ayez besoin de surveiller /etc/hosts dossier. Ainsi, si quelqu'un essaie de saisir un fichier ou de le modifier en votre absence, vous pouvez vérifier ce fichier à l'aide d'AIDE.

Après avoir installé AIDE sur votre système, créez une entrée dans /etc/aide.conf fichier avec des règles personnalisées. Vous devez surveiller les fichiers pour détecter les modifications des autorisations, des groupes, de la propriété et du temps d'accès aux fichiers. Vous pouvez ensuite sélectionner toutes les règles personnalisées contenant tous ces points.

Ici, je mets l'ensemble de règles FIPSR car ces règles personnalisées contiennent les règles normales maximales.

FIPSR= p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256

REMARQUE  : Avant d'écrire quoi que ce soit dans aide.conf fichier, faites toujours une sauvegarde. 

# cp /etc/aide.conf /etc/aide`date +%F`.conf

Dans le /etc/aide.conf fichier, vous pouvez écrire le nom du fichier avec cette règle personnalisée :

/etc/hosts       FIPSR

Après cela, vous pouvez initialiser la base de données à l'aide de aide --init commande. Cela génère un gzip fichier avec le nom de aide.db.new.gz . Déplacez ce fichier dans le répertoire par défaut de la base de données AIDE sous le nom de aide.db.gz 

$ mv aide.db.new.gz  /var/lib/aide/aide.db.gz

De cette façon, vous pouvez définir la base de données à l'emplacement approprié.

Une fois qu'AIDE est informé de l'état actuel du système de fichiers, il peut détecter les modifications du système de fichiers en comparant avec l'état connu. Pour vérifier l'intégrité, utilisez :

$ aide --check

Cette commande vous donne le résultat en détail. Si le /etc/hosts fichier est modifié, puis il vous invite clairement avec le dernier fichier modifié.

Si vous souhaitez mettre à jour la base de données AIDE après avoir effectué de nouvelles entrées dans aide.conf , utilisez :

$ aide --update

[ Vous pensez à la sécurité ? Consultez ce guide gratuit pour renforcer la sécurité du cloud hybride et protéger votre entreprise. ] 

Conclusion

Dans cet article, vous avez découvert l'environnement AIDE (Advanced Intrusion Detection Environment) et comment il peut être utilisé pour améliorer la sécurité Linux. Vous pouvez surveiller les fichiers et les répertoires et également vérifier leur intégrité. La base de données AIDE vous aide à détecter les modifications apportées à n'importe quel fichier ou répertoire.


Linux

  1. Surveillance de la sécurité sous Linux avec Tripwire

  2. Autorisations de fichiers sous Linux avec exemple

  3. Étapes de sécurité avancées pour Linux

  4. Copie de fichier Linux avec ETA ?

  5. Créer des modèles avec Linux dans un script Shell ?

Utilisation de la commande Linux mv avec des exemples

Sécurisez Linux avec le fichier Sudoers

Tutoriel Tripwire :Système de détection d'intrusion basé sur l'hôte Linux

Commande de montage Linux avec exemples

Commande Linux gawk avec exemples

Linux make Commande avec des exemples