Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

8.4. 使用 AIDE 入侵检测

AIDE (高级入侵检测环境)是一个文件和目录完整性检查程序。它用于检测未授权文件篡改或更改的事件。例如,如果更改了系统密码文件,AIDE 可以提醒您。

AIDE 的工作原理是分析系统文件,然后编译文件哈希的完整性数据库。然后,数据库充当一个比较点,以验证文件和目录的完整性并检测更改。

director 包括 AIDE 服务,允许您向 AIDE 配置中添加条目,然后供 AIDE 服务用来创建完整性数据库。例如: 

  resource_registry:
    OS::TripleO::Services::Aide: ../puppet/services/aide.yaml

  parameter_defaults:
    AideRules:
      'TripleORules':
        content: 'TripleORules = p+sha256'
        order: 1
      'etc':
        content: '/etc/ TripleORules'
        order: 2
      'boot':
        content: '/boot/ TripleORules'
        order: 3
      'sbin':
        content: '/sbin/ TripleORules'
        order: 4
      'var':
        content: '/var/ TripleORules'
        order: 5
      'not var/log':
        content: '!/var/log.*'
        order: 6
      'not var/spool':
        content: '!/var/spool.*'
        order: 7
      'not nova instances':
        content: '!/var/lib/nova/instances.*'
        order: 8
Copy to Clipboard Toggle word wrap
注意

上面的示例没有主动维护或基准测试,因此您应该选择符合您的要求的 AIDE 值。

  1. 声明了一个名为 TripleORules 的别名,以避免每次都重复相同的属性。
  2. 别名接收 p+sha256 属性。在 AIDE 术语中,这会被解释为:监视所有文件权限 p,带有完整性 checksum sha256

有关 AIDE 配置文件可用属性的完整列表,请参见 的 AIDE MAN 页面(https://aide.github.io/)。

完成以下内容以将更改应用到您的部署:

  1. 将设置保存为 /home/stack/templates/ 目录中的名为 aide.yaml 的文件。

  2. 您必须确保 OS::TripleO::Services::Aide 参数的值已从相对路径改为绝对路径: 

        OS::TripleO::Services::Aide: /usr/share/openstack-tripleo-heat-templates/puppet/services/aide.yaml
    Copy to Clipboard Toggle word wrap

  3. openstack overcloud deploy 命令中包含 /home/stack/templates/aide.yaml 环境文件,以及特定于您环境的所有其他必要 heat 模板和环境文件: 

    openstack overcloud deploy --templates
...
-e /home/stack/templates/aide.yaml
    Copy to Clipboard Toggle word wrap

8.4.1. 使用复杂 AIDE 规则
复制链接

可以使用前面描述的格式创建复杂规则。例如: 

    MyAlias = p+i+n+u+g+s+b+m+c+sha512
Copy to Clipboard Toggle word wrap

以上将转换为以下指令:监控权限、索引节点、链接数、用户、组、大小、块数、mtime、ctime,使用 sha256 进行校验和生成。

请注意,别名应始终具有 1 的顺序位置,这意味着它位于 AIDE 规则的顶部,并递归地应用到以下所有值。

如下为要监控的目录。请注意,可以使用正则表达式。例如,我们为 var 目录设置了监控,但使用了 not(!)语句('!/var/log.*''!/var/spool.*')进行了覆盖。

8.4.2. 其他 AIDE 值
复制链接

以下 AIDE 值也可用:

AideConfPath : aide 配置文件的完整路径,默认为 /etc/aide.conf。如果不要求更改文件位置,建议与默认路径保持一致。

AideDBPath :AIDE 完整性数据库的完整路径。这个值可以被配置,以便操作员声明自己的完整路径,因为 AIDE 数据库文件可能会将节点存储在只读文件挂载中。

AideDBTempPath :AIDE 完整性临时数据库的完整路径。当 AIDE 初始化新数据库时,会创建此临时文件。

AideHour :此值是将 hour 属性设置为 AIDE cron 配置的一部分。

AideMinute :此值是将 minute 属性设置为 AIDE cron 配置的一部分。

AideCronUser :此值是将 linux 用户设置为 AIDE cron 配置的一部分。

AideEmail :此值设置每次执行 cron 运行时接收 AIDE 的电子邮件地址。

AideMuaPath :此值设置邮件用户代理的路径,用于将 AIDE 报告发送到 AideEmail 中设置的电子邮件地址。

8.4.3. AIDE 的 Cron 配置
复制链接

AIDE director 服务允许您配置 cron 作业。默认情况下,它将向 /var/log/audit/; 发送通知;如果要使用电子邮件警报,则启用 AideEmail 参数,以将警报发送到配置的电子邮件地址。请注意,依赖于电子邮件中的关键警报容易受到系统中断和意外消息过滤的影响。

8.4.4. 考虑系统升级的影响
复制链接

当执行升级时,AIDE 服务将自动重新生成一个新的完整性数据库,以确保正确重新计算所有升级的文件来拥有更新的校验和。

如果 openstack overcloud deploy 被作为后续运行调用到初始部署,并且更改了 AIDE 配置规则,则 director AIDE 服务将重建数据库,以确保新的配置属性封装在完整性数据库中。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat