AIDE dan keamanan
Artikel ini adalah bagian kedua dari serangkaian artikel tentang keamanan Linux. Di bagian pertama, saya membahas konsep Pluggable Authentication Modules (PAM) dengan contoh pengaturan kondisi sandi yang kuat untuk pengguna biasa guna meningkatkan keamanan pengguna tersebut. Pada bagian ini, saya membahas Advanced Intrusion Detection Environment (AIDE).
Dalam keamanan Linux, sangat penting untuk melacak data. Sebagai sysadmin, Anda harus tahu cara memeriksa integritas file dan direktori. Anda dapat melakukannya dengan alat AIDE.
[ Anda mungkin juga menyukai: Mengamankan sistem Linux yang diwariskan ]
Alat AIDE juga membantu Anda dalam pemantauan file dalam hal izin, kepemilikan, dan Linux yang Ditingkatkan Keamanan (SELinux). Jika ada yang mencoba memodifikasi file tertentu, Anda dapat memeriksa file tersebut menggunakan AIDE.
Pengenalan AIDE
Lingkungan Deteksi Intrusi Tingkat Lanjut (AIDE) adalah alat deteksi penyusupan sumber terbuka yang kuat yang menggunakan aturan standar untuk memeriksa integritas file dan direktori di sistem operasi Linux. AIDE memiliki database sendiri untuk memeriksa integritas file dan direktori.
AIDE membantu memantau file-file yang baru saja diubah atau dimodifikasi. Anda dapat melacak file atau direktori ketika seseorang mencoba untuk memodifikasi atau mengubahnya. Namun muncul pertanyaan:Apakah AIDE aman?
AIDE diamankan oleh SELinux. SElinux mengamankan proses AIDE dengan kontrol akses wajib. Ini mendefinisikan jenis proses (domain) untuk setiap proses yang berjalan pada sistem. Kebijakan SELinux AIDE sangat fleksibel, memungkinkan pengguna untuk mengatur proses AIDE mereka dengan metode yang seaman mungkin.
Instalasi AIDE
Ada kemungkinan bahwa di beberapa distribusi Linux, AIDE tidak terinstal. Untuk menginstal AIDE di sistem Anda, gunakan perintah berikut:
# yum install aide -y Anda dapat memeriksa versi AIDE menggunakan:
# aide -v
Di AIDE, jalur file konfigurasi adalah /etc/aide.conf . Konfigurasi ini dapat menginisialisasi atau memeriksa database. Dalam konfigurasi ini, beberapa aturan sudah ditentukan sebelumnya seperti PERMS, NORMAL, LSPP, DATAONLY, dan sebagainya. Aturan khusus ini berisi banyak default yang terkait dengan izin, inode, jumlah tautan, acl , selinux , dll. Salah satu contoh aturan khusus adalah :
$ PERMS= p+i+n+u+g+acl+selinux Dimana:
p:izini:inodeN:jumlah tautang:grupacl:daftar kontrol aksesselinux:konteks keamanan SELinux
Aturan-aturan ini membantu dalam melacak dan mendeteksi file. Jika Anda menempatkan aturan PERMS pada direktori atau file apa pun, maka semua aturan ini diterapkan untuk pelacakan dan pemantauan. Dengan menggunakan semua aturan yang dideklarasikan ini, Anda juga dapat membuat aturan khusus, yang merupakan kombinasi dari beberapa aturan.
Sebelum menginisialisasi database AIDE, penting untuk menetapkan aturan untuk direktori atau file. Anda dapat melakukannya di /etc/aide.conf berkas itu sendiri. Misalkan Anda ingin melacak /etc/passwd file sehingga Anda dapat menempatkan aturan seperti PERMS pada file tersebut untuk memeriksa integritas file menggunakan database AIDE.
Implementasi AIDE
Untuk menerapkan AIDE di sistem Anda, Anda perlu menginisialisasi database. Dengan menggunakan database AIDE ini, pemeriksaan integritas dijalankan pada semua file dan direktori. Basis data AIDE dibuat di /var/lib/aide direktori. Anda juga dapat memeriksa konteks direktori ini menggunakan:
$ ls -ldZ /var/lib/aide
drwx------. 2 root root system_u:object_r:aide_db_t:s0 4096 Jul 31 2019 /var/lib/aide/
Direktori ini memiliki aide_db_t konteks yang ditetapkan oleh SELinux. Konteks ini digunakan ketika Anda ingin memperlakukan file sebagai konten database AIDE. Log AIDE disimpan di /var/log/aide direktori dan direktori ini juga memiliki aide_log_t konteks.
Untuk menginisialisasi database AIDE, gunakan perintah:
$ aide --init
Perintah ini menghasilkan file database yang di-gzip. Anda dapat menggunakan file zip untuk tujuan pemeriksaan integritas.
Misalkan Anda perlu memantau /etc/hosts mengajukan. Sehingga jika seseorang mencoba memasukkan file atau mencoba mengubahnya saat Anda tidak ada, Anda dapat memeriksa file tersebut menggunakan AIDE.
Setelah menginstal AIDE di sistem Anda, buat entri di /etc/aide.conf file dengan aturan yang disesuaikan. Anda perlu memantau file untuk perubahan dalam izin, grup, kepemilikan, dan waktu akses file. Anda kemudian dapat memilih aturan khusus yang berisi semua poin ini.
Di sini saya meletakkan aturan FIPSR karena aturan khusus ini berisi aturan normal maksimum.
FIPSR= p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
CATATAN :Sebelum menulis apa pun ke aide.conf file, selalu buat cadangan.
# cp /etc/aide.conf /etc/aide`date +%F`.conf
Di /etc/aide.conf file, Anda dapat menulis nama file dengan aturan khusus ini:
/etc/hosts FIPSR
Setelah ini, Anda dapat menginisialisasi database menggunakan aide --init memerintah. Ini menghasilkan gzip file dengan nama aide.db.new.gz . Pindahkan file ini ke dalam direktori default database AIDE dengan nama aide.db.gz
$ mv aide.db.new.gz /var/lib/aide/aide.db.gz Dengan cara ini, Anda dapat mengatur database di lokasi yang tepat.
Setelah AIDE mengetahui status sistem file saat ini, AIDE dapat mendeteksi perubahan sistem file dengan membandingkan status yang diketahui. Untuk memverifikasi integritas, gunakan:
$ aide --check
Perintah ini memberi Anda output secara mendetail. Jika /etc/hosts file dimodifikasi, maka dengan jelas meminta Anda dengan file terakhir yang dimodifikasi.
Jika Anda ingin memperbarui database AIDE setelah melakukan entri baru di aide.conf , gunakan:
$ aide --update [ Memikirkan keamanan? Lihat panduan gratis ini untuk meningkatkan keamanan cloud hybrid dan melindungi bisnis Anda. ]
Selesai
Dalam artikel ini, Anda mempelajari tentang Advanced Intrusion Detection Environment (AIDE) dan bagaimana itu dapat digunakan untuk meningkatkan keamanan Linux. Anda dapat memantau file dan direktori dan juga memeriksa integritasnya. Database AIDE membantu Anda mendeteksi perubahan yang terjadi pada file atau direktori apa pun.