Знание должно быть доступно!

Путь /ОС/Linux/Безопасность

AIDE в Arch - установка и базовая настройка

AIDE (Advanced Intrusion Detection Environment) - утилита для контроля целостности системы.
Она создаёт базу хэшей файлов и затем проверяет систему на изменения. Полезно для обнаружения взломов, руткитов и несанкционированных модификаций.

Установка

В Arch Linux пакет есть в официальном репозитории.

sudo pacman -S aide

Проверяем установку:

aide --version

Основной конфиг

Главный файл конфигурации:

/etc/aide.conf

В нём задаётся:

  • какие каталоги проверять
  • какие атрибуты отслеживать
  • где хранить базу данных

Минимальный пример:

правила

NORMAL = p+i+n+u+g+s+m+c+sha256

мониторинг системы

/bin NORMAL  
/sbin NORMAL  
/usr/bin NORMAL  
/usr/sbin NORMAL  
/etc NORMAL

Создание базы

Перед первым использованием нужно создать базу.

sudo aide --init

После выполнения появится файл:

/var/lib/aide/aide.db.new

Переименовываем:

sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Теперь база считается эталонной.

Проверка системы

Запуск проверки:

sudo aide --check

AIDE сравнит текущую систему с базой и покажет:

  • изменённые файлы
  • удалённые
  • новые

Пример вывода:

Changed files:  
 /etc/passwd  
 /usr/bin/sudo  
  
Added files:  
 /tmp/test

Обновление базы

Если изменения легитимные (например обновление системы):

sudo aide --update

Затем:

sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Автоматическая проверка (systemd timer)

Создаём сервис:

/etc/systemd/system/aide-check.service

[Unit]  
Description=AIDE integrity check  
  
[Service]  
Type=oneshot  
ExecStart=/usr/bin/aide --check

Создаём таймер:

/etc/systemd/system/aide-check.timer

[Unit]  
Description=Run AIDE check daily  
  
[Timer]  
OnCalendar=daily  
Persistent=true  
  
[Install]  
WantedBy=timers.target

Включаем:

sudo systemctl daemon-reload  
sudo systemctl enable --now aide-check.timer

Проверка будет выполняться ежедневно.

Полезные правила

Некоторые каталоги лучше исключить, иначе будет слишком много изменений.

Пример:

!/proc  
!/sys  
!/dev  
!/run  
!/tmp

Также часто исключают:

/var/log  
/var/cache

Где хранить базу безопаснее

Лучшие варианты:

  • read-only носитель
  • отдельный диск
  • удалённый сервер
  • encrypted storage

Например:

/root/aide/aide.db

или

/mnt/security/aide.db

Когда использовать

AIDE полезен для:

  • серверов
  • критичных систем
  • forensic анализа
  • обнаружения rootkit

Он показывает факт изменения файлов, даже если злоумышленник уже получил root.

Минимальный workflow

pacman -S aide  
aide --init  
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db  
aide --check

Итог

AIDE - простой и мощный инструмент:

  • контроль целостности системы
  • обнаружение изменений
  • защита серверов

При регулярной проверке можно быстро заметить компрометацию системы.