Перейти к содержанию

Система обнаружения вторжений AIDE

В CLI доступен функционал системы AIDE, предназначенной для обнаружения вторжений и мониторинга целостности файловой системы.

Принцип работы AIDE заключается в создании эталонной базы данных состояния файловой системы и дальнейшем сравнении текущего состояния файловой системы с эталонной базой.

Эталонная база данных включает:

  • Контрольные суммы файлов и их расположение.
  • Права доступа.
  • Идентификаторы владельца и группы для файлов.

В случае обнаружения несоответствий между текущим состоянием системы и эталонной базой данных, изменения будут отображены в выводе терминала.

Сценарий использования

Для использования системы AIDE необходимо перейти в CLI и выполнить команду:

aide { аргумент }

В качестве аргументов доступны:

  • init — Инициализация эталонной базы данных контрольных сумм.

    Создаёт новую базу контрольных сумм MD5 для всех файлов и каталогов, определённых в конфигурационном файле. Используется при первом запуске или для полного пересоздания базы данных.

  • log — Отображение журнала инициализации базы данных.

    Позволяет просмотреть информацию:

    • Расположение базы контрольных сумм.

    • Количество записей в базе.

    • Подсчитанные контрольные суммы базы данных для различных алгоритмов.

    Для подсчёта контрольной суммы базы данных используются алгоритмы: GOST, MD5, SHA1, SHA256, SHA512, RMD160, TIGER, CRC32, CRC32B, HAVAL, WHIRLPOOL.

  • check — Проверка текущего состояния файловой системы с базой данных AIDE.

    При выполнении производится сравнение текущего состояния файловой системы с базой контрольных сумм и последующим выводом информации об изменениях в файловой системе.

  • list — Выводит список записей, содержащихся в базе данных.

    Позволяет вывести в терминал полный список записей и контрольных сумм из базы данных.

  • export — Создание архива с python-файлами для последующего анализа.

    При выполнении создаётся архив /tmp/veil_export_for_fix.zip с файлами .py из директории /var/lib/ecp-veil/.

  • upload — Отправка созданного командой aide export архива на удаленный сервер.

    Для отправки архива необходимо выполнить команду: 

    aide upload -u {имя_пользователя} -s {адрес_сервера} -p {директория_на_удаленном_сервере}

Дополнительные аргументы:

  • -h, --help — Отображение справки о команде, включая список доступных аргументов.

  • --to_file — Перенаправление вывода команды в текстовый файл /tmp/cli-stdout.txt.

Рекомендации по использованию

Для проведения аудита безопасности и оперативного обнаружения вторжений в систему рекомендуется производить инициализацию базы данных AIDE после следующих действий:

  • Установки, добавления узла в кластер SpaceVM и его настройки.

  • Обновления SpaceVM.

  • Изменения конфигурации узла.

Впоследствии необходимо регулярно проводить сканирование текущего состояния файловой системы на наличие изменений при помощи команды aide check.