مقدمه:
در دنیای امروز، امنیت سیستمها و شبکه ها بیش از هر زمانی حائز اهمیت است. روز به روز تهدیدات جدید و پیشرفته تری بر روی سیستمها ایجاد میشوند و برای مقابله با آنها باید از ابزارها و تکنیکهای متنوعی استفاده کرد.
در این مقاله از ایوسی، به بررسی دستور AIDE در لینوکس کالی میپردازیم. AIDE کوتاه شده عبارت Advanced Intrusion Detection Environment است و یک ابزار قدرتمند برای بررسی امنیت فایل ها و ساخت چک سوم (hash) از آنها است. این ابزار توانایی دارد تمامی فایلها و دایرکتوریهای سیستم را اسکن کرده و مشخص کند آیا تغییراتی در آنها رخ داده است یا خیر.
مرتبط: ۱۸ کد برتر برای تست امنیت در لینوکس کالی
تعریف دستور AIDE:
برای شروع، باید ابتدا دستور AIDE را نصب کنید. بسته AIDE را میتوانید از مخزنهای پیش فرض لینوکس کالی نصب کنید با استفاده از دستور زیر:
sudo apt-get install aide
بعد از نصب، باید تنظیمات AIDE را پیکربند کنید. این تنظیمات را میتان در فایل /etc/aide/aide.conf
پیدا کرد. در این فایل، شما میتوانید فهرست فایلها و دایرکتوریهایی که میخواهید AIDE را بررسی کند را تنظیم کنید.
بعد از پیکربندی تنظیمات AIDE، باید چک سومی (hash) از فایلها و دایرکتوریهای سیستم بسازید. برای این کار از دستور زیر استفاده میکنیم:
sudo aide --init
این دستور یک فایل چک سوم جدید با نام aide.db.new
ایجاد میکند که در آن هشهایی از فایلها و دایرکتوریها ذخیره میشوند.
بررسی تغییرات در فایلها: حالا که چک سومی از فایلها ساخته شده است، میتوانید با استفاده از دستور زیر تغییرات را بررسی کنید:
sudo aide --check
این دستور فایل aide.db.new
را با فایل aide.db
مقایسه کرده و تغییرات را نشان میدهد. اگر هیچ تغییری در فایلها رخ نداده باشد، پیام “Everything is OK” را خواهید دید. در غیر این صورت، تغییراتی که رخ داده است را نشان میدهد.
بازسازی فایل چک سوم: در صورتی که شما یک تغییری در سیستم اعمال کردهاید و میخواهید چک سومی جدید از فایلها بسازید، میتوانید از دستور زیر استفاده کنید:
sudo aide --update
این دستور چک سومی جدید را بر اساس تغییرات ثبت شده در سیستم ایجاد میکند.
سوالات متداول:
تفاوت بین aide و SELinux چیست؟
AIDE (Advanced Intrusion Detection Environment) یک ابزار تشخیص تخریب پیشرفت است که به تشیص تغیات ناخواه در فایلا و ساختار فایل سیست میپردازد. AIDE معمولاً برای کنترل امینت و امنیت سرورها و سیستمهای لینوکس استفاده میشود. این ابزار قادر است فایلها و ساختار درختی فایل را بررسی کرده و تغییراتی را که ایجاد شدهاند، مراجعه کند. AIDE قبل از هر نوع تخریب پیمایشی روی فایل ها و اطلاعات مانند تغییرات در فایل ها و ساختار فایل را ذخیره میکند.
SELinux (Security-Enhanced Linux) یک مکانیزم کنترل دسترسی در سیستمهای لینوکس است. SELinux در بخش هسته لینوکس پیاده سازی شده است و به سیستم عامل آموزش داده میشود که بخشهایی از سیستم مانند فایل ها، پردازهها و منابع سیستم را کنترل کند و دسترسی به آنها را مدیریت کند. برخلاف سیستم کاربر-محازی (DAC) در لینوکس که بر اساس سطوح دسترسی مالک فایل و گروه ها عمل میکند، SELinux براساس اصول اصالت و حق دسترسی به روابط بین فرآیندها و نیازهای امنیتی عمل میکند. بنابراین SELinux قادر است دسترسی های غیر مجاز به منابع سیستم را کنترل کند و باعث جلوگیری از حملات و تخریب در سیستم میشود.
چگونه می توانم aide را در لینوکس متوقف کنم؟
برای متوقف کردن aide
روند فعال آن را باید متوقف کنید. برای این کار، می توانید از دستور systemctl
استفاده کنید. این دستور در اکثر توزیع های لینوکسی مدیریت سیستم را بر عهده دارد.
۱. ابتدا باید به عنوان root
یا با دسترسی sudo
وارد سیستم شوید.
۲. برای دیدن وضعیت aide
، دستور زیر را اجرا کنید:
systemctl status aide
۳. اگر aide
در حال اجرا است، شما می توانید از دستور stop
برای متوقف کردن آن استفاده کنید:
sudo systemctl stop aide
۴. برای غیرفعال کردن aide
در هنگام بالا آمدن سیستم، می توانید از دستور disable
استفاده کنید:
sudo systemctl disable aide
با انجام این دستورات، aide
متوقف خواهد شد و بعداً هنگام بالا آمدن سیستم نیز اجرا نخواهد شد.
پرونده aide در لینوکس کجاست؟
پرونده aide در سیستم عامل لینوکس به طور معمول در محل زیر ذخیره میشود:
/etc/aide/aide.conf
ممکن است نسخه مختلفی از لینوکس و توزیع های مختلف این مکان را تغییر د دهند. لذا بهتر است دستورات مربوط به پیدا کردن پرونده aide.conf را برای توزیع خاص خود بررسی کنید.
نتیجهگیری:
دستور AIDE در لینوکس کالی یک ابزار قدرتمند برای بررسی امنیت فایلها و ساخت چک سومی از آنها است. با استفاده از این ابزار، میتوانید تغییراتی که در سیستم رخ میدهد را بررسی کنید و در صورت لزوم اقدامات لازم را برای حفظ امنیت سیستم انجام دهید.
با اتمام این مقاله، شما با دستور AIDE در لینوکس کالی آشنا شدید و میتوانید از آن برای افزایش امنیت سیستم خود استفاده کنید.