红帽全球峰会6.4. 使用 AIDE 进行入侵检测
AIDE (高级入侵检测环境)是一个文件和目录完整性检查程序。它用于检测未经授权的文件修改或更改的事件。例如,如果更改了系统密码文件,AIDE 可以提醒您。
AIDE 通过分析系统文件,然后编译文件哈希完整性数据库来实现。然后,数据库充当一个比较点,以验证文件和目录的完整性并检测更改。
director 包括 AIDE 服务,允许您将条目添加到 AIDE 配置中,然后供 AIDE 服务用于创建完整性数据库。例如:
resource_registry:
OS::TripleO::Services::Aide: ../puppet/services/aide.yaml
parameter_defaults:
AideRules:
'TripleORules':
content: 'TripleORules = p+sha256'
order: 1
'etc':
content: '/etc/ TripleORules'
order: 2
'boot':
content: '/boot/ TripleORules'
order: 3
'sbin':
content: '/sbin/ TripleORules'
order: 4
'var':
content: '/var/ TripleORules'
order: 5
'not var/log':
content: '!/var/log.*'
order: 6
'not var/spool':
content: '!/var/spool.*'
order: 7
'not nova instances':
content: '!/var/lib/nova/instances.*'
order: 8上面的例子不是主动维护或基准测试的,因此您应该选择适合您的要求的 AIDE 值。
-
声明了一个名为
TripleORules的别名,以避免每次都重复出现相同的属性。 -
别名接收
p+sha256的属性。在 AIDE 术语中,这显示为以下指令:使用sha256完整性 checksum 来监控所有文件权限。
有关 AIDE 配置文件可用属性的完整列表,请参见 的 AIDE MAN 页面。https://aide.github.io/
要将此更改应用到您的部署,请将设置保存为名为 aide.yaml 的文件,然后将它传递给 overcloud deploy 命令,如下所示:& lt;full environment > 表示您必须仍包含所有原始部署参数。例如:
openstack overcloud deploy --templates -e <full environment> /usr/share/openstack-tripleo-heat-templates/environments/aide.yaml
6.4.1. 使用复杂的 AIDE 规则
可使用上述格式创建复杂的规则。例如:
MyAlias = p+i+n+u+g+s+b+m+c+sha512
以上将转换为以下指令:监控权限、索引节点、链接数目、用户、组、大小、块计数、mtime、ctime、ctime、ctime。
请注意,别名应始终具有 1 的顺序位置,这意味着它位于 AIDE 规则的顶部,并递归地应用于以下所有值。
别名后方是要监控的目录。请注意,可以使用正则表达式。例如,我们为 var 目录设置了监控,但使用 ! 和 '!/var/spool. *' 和 的 a not 子句覆盖。
'!/var/spool.*'
