Red Hat Summit18.12. AIDE로 무결성 확인
AIDE(Advanced Intrusion Detection Environment)는 시스템에서 파일 데이터베이스를 만든 다음 해당 데이터베이스를 사용하여 파일 무결성을 보장하고 시스템 침입을 감지하는 유틸리티입니다.
18.12.1. AIDE 설치
AIDE를 사용하여 file-integrity 검사를 시작하려면 해당 패키지를 설치하고 AIDE 데이터베이스를 시작해야 합니다.
사전 요구 사항
-
AppStream리포지토리가 활성화되어 있습니다.
절차
aide패키지를 설치합니다.yum install aide
# yum install aideCopy to Clipboard Copied! Toggle word wrap Toggle overflow 초기 데이터베이스를 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
선택 사항: 기본 구성에서
aide --init명령은/etc/aide.conf파일에 정의된 디렉토리와 파일 집합만 확인합니다. AIDE 데이터베이스에 추가 디렉터리 또는 파일을 포함시키고 감시된 매개 변수를 변경하려면 그에 따라/etc/aide.conf를 편집합니다. 데이터베이스 사용을 시작하려면 초기 데이터베이스 파일 이름에서
.new하위 문자열을 제거합니다.mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
선택 사항: AIDE 데이터베이스의 위치를 변경하려면
/etc/aide.conf파일을 편집하고DBDIR값을 수정합니다. 보안을 강화하기 위해 데이터베이스, 구성 및/usr/sbin/aide바이너리 파일을 읽기 전용 미디어와 같은 보안 위치에 저장하십시오.
18.12.2. AIDE를 사용하여 무결성 검사 수행
crond 서비스를 사용하여 AIDE에서 일반 file-integrity 검사를 예약할 수 있습니다.
사전 요구 사항
- AIDE가 올바르게 설치되고 데이터베이스가 초기화됩니다. AIDE 설치 참조
절차
수동 검사를 시작하려면 다음을 수행합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 최소한 AIDE가 매주 AIDE를 실행하도록 시스템을 구성합니다. 최적으로 AIDE를 매일 실행합니다. 예를 들어
cron명령을 사용하여 매일 AIDE 실행을 04:05 a.m로 예약하려면/etc/crontab파일에 다음 행을 추가합니다.05 4 * * * root /usr/sbin/aide --check
05 4 * * * root /usr/sbin/aide --checkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
18.12.3. AIDE 데이터베이스 업데이트
패키지 업데이트 또는 구성 파일 조정과 같은 시스템 변경 사항을 확인한 후 기본 AIDE 데이터베이스도 업데이트합니다.
사전 요구 사항
- AIDE가 올바르게 설치되고 데이터베이스가 초기화됩니다. AIDE 설치 참조
절차
기준 AIDE 데이터베이스를 업데이트합니다.
aide --update
# aide --updateCopy to Clipboard Copied! Toggle word wrap Toggle overflow aide --update명령은/var/lib/aide/aide.db.new.gz데이터베이스 파일을 만듭니다.-
업데이트된 데이터베이스를 사용하여 무결성 검사를 시작하려면 파일 이름에서
.new하위 문자열을 제거합니다.
18.12.4. 파일 통합 도구: AIDE 및 IMA
Red Hat Enterprise Linux는 시스템에서 파일 및 디렉토리의 무결성을 확인하고 유지하기 위한 몇 가지 도구를 제공합니다. 다음 표는 시나리오에 가장 적합한 도구를 결정하는 데 도움이 됩니다.
| 질문 | AIDE(Advanced Intrusion Detection Environment) | 무결성 측정 아키텍처(IMA) |
|---|---|---|
| 내용 | AIDE는 시스템에 파일 및 디렉터리의 데이터베이스를 생성하는 유틸리티입니다. 이 데이터베이스는 파일 무결성을 확인하고 침입을 감지하는 데 사용됩니다. | IMA는 이전에 저장된 확장 속성과 비교하여 파일 측정(해시 값)을 확인하여 파일이 변경되는지 여부를 감지합니다. |
| 방법 | AIDE에서는 규칙을 사용하여 파일과 디렉터리의 무결성 상태를 비교합니다. | IMA는 파일 해시 값을 사용하여 침입을 감지합니다. |
| 왜 | 탐지 - AIDE에서 규칙을 확인하여 파일을 수정했는지 감지합니다. | 감지 및 조작 - IMA는 파일의 확장된 속성을 대체하여 공격을 탐지하고 방지합니다. |
| 사용법 | AIDE에서는 파일 또는 디렉터리가 수정될 때 위협을 탐지합니다. | IMA는 다른 사람이 전체 파일을 변경하려고 할 때 위협을 감지합니다. |
| 확장 | AIDE에서는 로컬 시스템에서 파일 및 디렉터리의 무결성을 검사합니다. | IMA는 로컬 및 원격 시스템에서 보안을 보장합니다. |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}