Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- linux:aide [14.03.2025 21:10. ] – [Ergebniskontrolle] django
+++ linux:aide [16.03.2025 18:48. ] (aktuell) – [Installation] django
@@ Zeile 1: / Zeile 1: @@
 ====== Host based Intrusion Detection System mit AIDE unter Arch Linux ======
 ===== HIDS - was ist das und wozu nutzt man es? =====
-Die Absicherung von Systemen ist eine der Grund- und Pflichtaufgaben eines jeden verantwortungsbewussten Systemadministrators und Administratorin. Dass dies ist kein einmaliger sondern stetig sich wiederholende Vorgang ist, versteht sich in aller Regel von selbst, so ist es unter anderem wichtig, dass regelmässig Systemüberprüfungen und Überwachung von Logmeldungen auf verdächtige und ungewöhnliche Ereignisse durchgeführt werden müssen. Zur Absicherung von Computersystem existieren unterschiedliche Ansätze. TLS-Transportverschlüsselung, SecureShell, oder Firewalls wird hier jedem interessierten Admin sofort in den Sinn kommen. Dabei gibt es zwei unterschiedliche Betrachungsweisen/-richtungen bei den einzelnen Lösungen. Betrachtet und analysiert man in erster Linie Netzwerkverkehr in Netzwerken und/oder Zonengrenzen einzelner Netzwerke und bewertet hierzu entsprechende Protokolle von Netzwerkgeräten wie Switche, Router und Firewalls spricht man von einem **NIDS**, einem **N**etzwerk based **I**ntrusion **D**etection **S**ystem. Im Gegensatz dazu spricht man von einem **HIDS** **H**ost based **I**ntrusion **D**etection **S**ystem, wenn der Blick primär auf einem Host selbst erfolgt und man mit Hilfe lokaler Informationen Bewertungen über zulässige Änderungen am betreffenden System selbst Entscheidungen über (un)zulässige Änderungen treffen muss und möchte. Ein HIDS konzentriert sich dabei auf detailliertere und interne Angriffe, indem es die Überwachung auf Host-Aktivitäten konzentriert. Dabei versucht ein HIDS wie AIDE lediglich, Systemanomalien und somit Eindringlinge zu erkennen und hat nicht zur Aufgabe aktiv mögliche Angreifer und Bedrohungen zu blockieren! Ein Intrusion Detection System (wie AIDE) versucht lediglich, Eindringlinge zu erkennen, arbeitet aber nicht aktiv daran, ihren Zugang von vornherein zu blockieren. Im Gegensatz dazu arbeitet ein **IPS** ein **I**ntrusion **P**revention **S**ystem aktiv daran, Bedrohungen zu blockieren und den Benutzerzugriff zu überprüfen.
+Die Absicherung von Systemen ist eine der Grund- und Pflichtaufgaben eines jeden verantwortungsbewussten Systemadministrators und Administratorin. Dass dies ist kein einmaliger sondern stetig sich wiederholende Vorgang ist, versteht sich in aller Regel von selbst, so ist es unter anderem wichtig, dass regelmässig Systemüberprüfungen und Überwachung von Logmeldungen auf verdächtige und ungewöhnliche Ereignisse durchgeführt werden müssen. Zur Absicherung von Computersystem existieren unterschiedliche Ansätze. TLS-Transportverschlüsselung, SecureShell, oder Firewalls wird hier jedem interessierten Admin sofort in den Sinn kommen. Dabei gibt es zwei unterschiedliche Betrachtungsweisen/-richtungen bei den einzelnen Lösungen. Betrachtet und analysiert man in erster Linie Netzwerkverkehr in Netzwerken und/oder Zonengrenzen einzelner Netzwerke und bewertet hierzu entsprechende Protokolle von Netzwerkgeräten wie Switche, Router und Firewalls spricht man von einem **NIDS**, einem **N**etzwerk based **I**ntrusion **D**etection **S**ystem. Im Gegensatz dazu spricht man von einem **HIDS** **H**ost based **I**ntrusion **D**etection **S**ystem, wenn der Blick primär auf einem Host selbst erfolgt und man mit Hilfe lokaler Informationen Bewertungen über zulässige Änderungen am betreffenden System selbst Entscheidungen über (un)zulässige Änderungen treffen muss und möchte. Ein HIDS konzentriert sich dabei auf detailliertere und interne Angriffe, indem es die Überwachung auf Host-Aktivitäten konzentriert. Dabei versucht ein HIDS wie AIDE lediglich, Systemanomalien und somit Eindringlinge zu erkennen und hat nicht zur Aufgabe aktiv mögliche Angreifer und Bedrohungen zu blockieren! Ein Intrusion Detection System (wie AIDE) versucht lediglich, Eindringlinge zu erkennen, arbeitet aber nicht aktiv daran, ihren Zugang von vornherein zu blockieren. Im Gegensatz dazu arbeitet ein **IPS** ein **I**ntrusion **P**revention **S**ystem aktiv daran, Bedrohungen zu blockieren und den Benutzerzugriff zu überprüfen.
-Weiterführende Informationen rund um Intrusion-Detection-Systeme findet man im **[[https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/IDS02/gr1_htm.html|BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen]]** bzz im **[[https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KRITIS/oh_sza_en.pdf|Orientation Guide to Using Intrusion Detection Systems (IDS)]]**.
+Weiterführende Informationen rund um Intrusion-Detection-Systeme findet man im **[[https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/IDS02/gr1_htm.html|BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen]]** bzw. im **[[https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KRITIS/oh_sza_en.pdf|Orientation Guide to Using Intrusion Detection Systems (IDS)]]**.
 Eine der Herausforderungen bei der Verwendung von HIDS besteht darin, dass es auf jedem einzelnen Host installiert, konfiguriert und entsprechende Berichte bzw. Logdateien dann auch bewertet werden muss, der vor Eindringlingen geschützt werden soll. Dies kann je nach zur Verfügung stehender Ressourcen zu einer Verlangsamung der Leistung des Hosts und eines eingesetzten HIDS führen. Wir werden uns später daher die Installation und Konfiguration mit Hilfe von Ansible vornehmen. Zur Auswertung der Logmeldungen greifen wir in unserer Umgebung auf [[centos:web_c7:graylog2|graylog]] zurück.
@@ Zeile 56: / Zeile 56: @@
 ==== Installation ====
-AIDE kann unter Arch Linux nicht einfach aus dem Core- oder Extras-Repository mit Hilfe des Paketverwaltungswerkzeugs **''pacman''** installiert werden. Jedoch gibt es aus dem **[[https://aur.archlinux.org/packages?O=0&K=aide|Arch User Repository]]** kurz **AUR**, dem Community verwaltetes Repository für Benutzer von Arch Linux, eine Paketbeschreibungen (**''PKGBUILDs''**), mit denen Sie ein Paket aus dem Quellcode mit **''makepkg''** kompilieren und dann über **''pacman''** installieren kann. Möchte man auf den entsprechenden Zielsystemen die hierzu nötigen Kompilierungswerkzeuge nicht vorhalten, so kann man das Paket auch auf einem entsprechenden geschützten Buildhost erstellen und dann lokal, auf dem entsprechendem Zielsystem mit Hilfe von **''pacman''** installieren!
+AIDE kann unter Arch Linux nicht einfach aus dem Core- oder Extras-Repository mit Hilfe des Paketverwaltungswerkzeugs **''pacman''** installiert werden. Jedoch gibt es aus dem **[[https://aur.archlinux.org/packages?O=0&K=aide|Arch User Repository]]** kurz **AUR**, dem Community verwaltetes Repository für Benutzer von Arch Linux, eine Paketbeschreibungen (**''PKGBUILDs''**), mit denen Sie ein Paket aus dem Quellcode mit **''makepkg''** kompilieren und dann über **''pacman''** installieren kann. Möchte man auf den entsprechenden Zielsystemen die hierzu nötigen Kompilierungswerkzeuge nicht vorhalten, so kann man das Paket auch auf einem entsprechenden geschützten Buildhost erstellen und dann lokal, auf dem entsprechendem Zielsystem mit Hilfe von **''pacman''** installieren.
 Da bei der Installation bzw. beim Kompilieren die Integrität des Quell-Archives an Hand dessen PGP-Signatur geprüft wird, ist es notwendig dass der PGP-Schlüssel mit der Key-ID **''F6947DAB68E7B931''** von  **[[mailto:hannes@vonhaugwitz.com|Hannes von Haugwitz]]** in unserem Keyring vorhanden ist. Hierzu importieren wir zuerst den betreffenden Public-Key von Hannes:
@@ Zeile 421: / Zeile 421: @@
 ++++
-<WRAP center round important 35%>
+<WRAP center round important 45%>
 Bevor das Programm AIDE gestartet werden kann muss es allerdings [[#konfiguration|konfiguriert]] werden!
 </WRAP>
@@ Zeile 1583: / Zeile 1583: @@
 So können wir später leichter Änderungen mit Hilfe von **''vimdiff''** vergleichen!
-Anpassungen und Änderungen an der Konfiguration nehmen mit mit dem Editor unserer Wahl , wie z.B. **''vim''** vor.
+Anpassungen und Änderungen an der Konfiguration nehmen mit mit dem Editor unserer Wahl, wie z.B. **''vim''** vor.
    # sudo vim /etc/aide/aide.conf
-<file bash /etc/aide/aide.conf># Example configuration file for AIDE.
+<file bash /etc/aide/aide.conf># BEGIN ANSIBLE MANAGED - DO NOT EDIT BLOCK
-# More information about configuration options available in the aide.conf manpage.
+# Ansible managed configuration file, do not modify manually!
-# Inspired from https://src.fedoraproject.org/rpms/aide/raw/rawhide/f/aide.conf
+#
+# ┌──────────────────────────────────────────────────────────────────────┐
-# ┌───────────────────────────────────────────────────────────────┐
+# │ Contents of configuration file aide.conf                             │
-# │ CONTENTS OF aide.conf                                         │
+# ├──────────────────────────────────────────────────────────────────────┤
-# ├───────────────────────────────────────────────────────────────┘
+# │                                                                      │
-# │
+# ├──┬───── 1.    VARIABLES                                              │
-# ├──┐VARIABLES
+# │  ├───── 1.1   DATABASE                                               │
-# │  ├── DATABASE
+# │  └───── 1.2   REPORT                                                 │
-# │  └── REPORT
+# │                                                                      │
-# ├──┐RULES
+# ├──┬───── 2.    RULES                                                  │
-# │  ├── LIST OF ATTRIBUTES
+# │  ├───── 2.1   LIST OF ATTRIBUTES                                     │
-# │  ├── LIST OF CHECKSUMS
+# │  ├───── 2.2   LIST OF CHECKSUMS                                      │
-# │  └── AVAILABLE RULES
+# │  └───── 2.3   AVAILABLE RULES                                        │
-# ├──┐PATHS
+# │                                                                      │
-# │  ├──┐EXCLUDED
+# ├──┬───── 3.    PATHS                                                  │
-# │  │  ├── ETC
+# │  ├──┬── 3.1   EXCLUDED                                               │
-# │  │  ├── USR
+# │  │  ├── 3.1.1 ETC                                                    │
-# │  │  └── VAR
+# │  │  ├── 3.1.2 USR                                                    │
-# │  └──┐INCLUDED
+# │  │  ├── 3.1.3 VAR                                                    │
-# │     ├── ETC
+# │  │  └── 3.1.4 OTHERS                                                 │
-# │     ├── USR
+# │  └──┬── 3.2.  INCLUDED                                               │
-# │     ├── VAR
+# │     ├── 3.2.1 ETC                                                    │
-# │     └── OTHERS
+# │     ├── 3.2.2 USR                                                    │
-# │
+# │     ├── 3.2.3 VAR                                                    │
-# └───────────────────────────────────────────────────────────────
+# │     └── 3.2.4 OTHERS                                                 │
+# │                                                                      │
-# ################################################################ VARIABLES
+# └──────────────────────────────────────────────────────────────────────┘
+#
-# ################################ DATABASE
+## 1.  VARIABLES
+## 1.1 DATABASE
 @@define DBDIR /var/lib/aide
@@ Zeile 1622: / Zeile 1623: @@
 # The location of the database to be read.
-database_in=file:@@{DBDIR}/aide.db.gz
+database_in = http://10.0.0.40/local/pml010074.aide-database
 # The location of the database to be written.
-#database_out=sql:host:port:database:login_name:passwd:table
+database_out = file:@@{DBDIR}/pml010074.aide-database
-#database_out=file:aide.db.new
-database_out=file:@@{DBDIR}/aide.db.new.gz
-# Whether to gzip the output to database
+# Whether to gzip the output to database.
-gzip_dbout=yes
+gzip_dbout = no
-# ################################ REPORT
+## 1.2 REPORT
-# Default.
+# Default
 log_level=warning
 report_level=changed_attributes
-report_url=file:@@{LOGDIR}/aide.log
 report_url=stdout
-#report_url=stderr
+report_url=syslog:LOG_AUTH
-#NOT IMPLEMENTED report_url=mailto:root@foo.com
-#NOT IMPLEMENTED report_url=syslog:LOG_AUTH
-# ################################################################ RULES
-# ################################ LIST OF ATTRIBUTES
+## 2.  RULES
+## 2.1 LIST OF ATTRIBUTES
 # These are the default parameters we can check against.
-#p:             permissions
+# p:            permissions
-#i:             inode:
+# i:            inode
-#n:             number of links
+# n:            number of links
-#u:             user
+# u:            user
-#g:             group
+# g:            group
-#s:             size
+# s:            size
-#b:             block count
+# b:            block count
-#m:             mtime
+# m:            mtime
-#a:             atime
+# a:            atime
-#c:             ctime
+# c:            ctime
-#S:             check for growing size
+# S:            check for growing size
-#acl:           Access Control Lists
+# acl:          Access Control Lists
-#selinux        SELinux security context (must be enabled at compilation time)
+# selinux       SELinux security context
-#xattrs:        Extended file attributes
+#               (must be enabled at compilation time)
+# xattrs:       Extended file attributes
-# ################################ LIST OF CHECKSUMS
+# 2.2 LIST OF CHECKSUMS
-#md5:           md5 checksum
+# md5:          md5 checksum
-#sha1:          sha1 checksum
+# sha1:         sha1 checksum
-#sha256:        sha256 checksum
+# sha256:       sha256 checksum
-#sha512:        sha512 checksum
+# sha512:       sha512 checksum
-#rmd160:        rmd160 checksum
+# rmd160:       rmd160 checksum
-#tiger:         tiger checksum
+# tiger:        tiger checksum
-#haval:         haval checksum (MHASH only)
+# haval:        haval checksum (MHASH only)
-#gost:          gost checksum (MHASH only)
+# gost:         gost checksum (MHASH only)
-#crc32:         crc32 checksum (MHASH only)
+# crc32:        crc32 checksum (MHASH only)
-#whirlpool:     whirlpool checksum (MHASH only)
+# whirlpool:    whirlpool checksum (MHASH only)
-# ################################ AVAILABLE RULES
+# 2.3 AVAILABLE RULES
 # These are the default rules
-#R:             p+i+l+n+u+g+s+m+c+md5
+# R:            p+i+l+n+u+g+s+m+c+md5
-#L:             p+i+l+n+u+g
+# L:            p+i+l+n+u+g
-#E:             Empty group
+# E:            Empty group
-#>:             Growing logfile p+l+u+g+i+n+S
+# >:            Growing logfile p+l+u+g+i+n+S
+# Default compound groups:
+# R:            l+p+u+g+s+c+m+i+n+md5+acl+xattrs+ftype+e2fsattrs
+# L:            l+p+u+g+i+n+acl+xattrs+ftype+e2fsattrs
+# >:            l+p+u+g+s+i+n+acl+xattrs+ftype+e2fsattrs+growing
+# H:            md5+sha1+rmd160+tiger+crc32+gost+sha256+sha512+whirlpool
+#                  +stribog256+stribog512
+# X:            acl+xattrs+e2fsattrs
+# You can create custom rules - my home made rule definition goes like this
+# ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
-# You can create custom rules - my home made rule definition goes like this
-ALLXTRAHASHES = sha1+rmd160+sha256+sha512+whirlpool+tiger+haval+gost+crc32
-ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
 # Everything but access time (Ie. all changes)
-EVERYTHING = R+ALLXTRAHASHES
+EVERYTHING = R+sha256+sha512
 # Sane, with multiple hashes
@@ Zeile 1713: / Zeile 1716: @@
 DATAONLY = p+n+u+g+s+acl+xattrs+sha256
-# ################################################################ PATHS
+## 3. PATHS
+#
+# Here we define which directories and files we want to view or not view
+# when monitoring with AIDE.
+#
+## 3.1 EXCLUDED
+## 3.1.1 ETC
-# Next decide what directories/files you want in the database.
+# Ignore root cache files
+!/root/.*
-# ################################ EXCLUDED
-# ################ ETC
 # Ignore backup files
@@ Zeile 1727: / Zeile 1733: @@
 !/etc/mtab
-# ################ USR
+## 3.1.2 USR
 # These are too volatile
@@ Zeile 1733: / Zeile 1739: @@
 !/usr/tmp
-# ################ VAR
+## 3.1.3 VAR
 # Ignore logs
 !/var/lib/pacman/.*
 !/var/cache/.*
 !/var/log/.*
-!/var/log/aide.log
+!/var/run/.*
-!/var/run/.*
 !/var/spool/.*
-# ################################ INCLUDED
+## 3.1.4 OTHERS
+# Ignore cups
+!/etc/cups
-# ################ ETC
+# Ignore backup files
+!/root/.*
+## 3.2 INCLUDED
+## 3.2.1 ETC
-# Check only permissions, inode, user and group for /etc, but cover some important files closely.
+# Check only permissions, inode, user and group for /etc, but cover some
+# important files closely.
 /etc                               PERMS
 /etc/aliases                       FIPSR
@@ Zeile 1810: / Zeile 1823: @@
 /etc/zshrc                         NORMAL
-# ################ USR
+## 3.2.2 USR
 /usr                               NORMAL
 /usr/sbin/stunnel                  FIPSR
-# ################ VAR
+## 3.2.3 VAR
 /var/log/faillog                   FIPSR
@@ Zeile 1822: / Zeile 1835: @@
 /var/spool/cron/root               FIPSR
-# ################ OTHERS
+## 3.2.4 OTHERS
 /boot                              NORMAL
@@ Zeile 1830: / Zeile 1843: @@
 /opt                               NORMAL
 /root                              NORMAL
-</file>
-Wie eigentlich immer bei der Konfiguration von neuen Programmen lohnt es sich die zugehörige Konfigurationsdatei - in unserem Falle von **AIDE** die **''/etc/aide.conf''** einmal komplett zu lesen! So erhält man einen  Überblick welche Einstellungsoptionen uns AIDE grundsätzlich bietet.
-  * Die ersten Einstellungen die man sich überlegen sollte, wären wo die Datenbanken erstellt und vorgehalten werden sollen und ob diese gepackt werden sollen.
+# Host based OTHERS
+# local user scripts
+/usr/local/bin/                    FIPSR
+# local scripts with root rights
+/usr/local/sbin/                   FIPSR
+#
+# END ANSIBLE MANAGED - DO NOT EDIT BLOCK</file>
+Wie eigentlich immer bei der Konfiguration von neuen Programmen lohnt es sich die zugehörige Konfigurationsdatei - in unserem Falle von **AIDE** die **''/etc/aide.conf''** einmal komplett zu lesen! So erhält man einen Überblick welche Einstellungsoptionen uns AIDE grundsätzlich bietet.
+  * Die ersten Einstellungen die man sich überlegen sollte, wären wo die Datenbanken erstellt und vorgehalten werden sollen und ob diese gepackt werden sollen.\\ Die Erstellung der AIDE-Datenbank erfolgt lokal. **''database_in''** hingegen wäheln wir rmote, da wir so sicherstellen können, dass ein lokaler Angreifer dieser nir **ro**-beziehbaren Daten nicht manipulieren kann und somit aufwändiges digitales Signieren bzw. verwenden von **ro**-Filesystemen und oder Geräten nicht nötig ist. <WRAP center round tip 100%>
+Leider existiert aktuell((Stand: März 2025)) ein **[[https://github.com/aide/aide/issues/184|AIDE does not decompress remote databases]]** so dass wir aktuell auf die Kompremmierung der Datenbank verzichten und die Option entsprechend einstellen müsssen (**''gzip_dbout = no''**).
+</WRAP>
   * Anschließend sollte man sich Gedanken machen, welche Hashingalgorithmen verwendet werden sollen. In den Standardeinstellungen bildet AIDE sieben verschiedene Checksummen für jede überwachte Datei. Zu beachten ist hierbei ggf. ob der bei der Erzeugung der Hash-Werte benötige Rechenaufwand gerechtfertigt ist, oder ob man auf einige davon aus Performancegründen besser verzichtet! In der Regel solten eigentlich zwei verschiedene Hash-Werte Pro Datei ausreichen.
   * Ferner kann über Regelsätze definiert werden welche Eigenschaften (Parameter) von Verzeichnissen und/oder Dateien überwacht werden sollen. Hier können entsprechende Vorgaben in der Default-Konfigurationsdatei übernommen bzw. auch ganz eigene individiuelle Rule-Sets definiert werden. Folgende Parameter können dabei bei der Bewertung und Überwachung herangezogen werden:
@@ Zeile 2325: / Zeile 2351: @@
 ++++
-Die Installation von AIDE wird in der ersten Task-Gruppe mit dem tag **''install''** vorgenommen. In den Variablen der Gruppe **''arch''** sind hierbei die Versionsnummer **''aide_version''** wie auch Ort und Stelle **''aide_repo''** definiert von welchem interen Repo-Server wir uns das aide-Paket zum Installieren holen wollen.
+Die Installation von AIDE wird in der ersten Task-Gruppe mit dem tag **''install''** vorgenommen. In den Variablen der Gruppe **''arch''** sind hierbei die Versionsnummer **''aide_version''** wie auch Ort und Stelle **''aide_repo''** definiert von welchem internen Repository/Spiegel-Server wir uns das aide-Paket zum Installieren holen wollen.
    $ vim roles/hids/tasks/install.yml
 ++++ roles/hids/tasks/install.yml |
@@ Zeile 2331: / Zeile 2357: @@
 ++++
-Die eigentliche Installation Konfiguration sowie das erstellen der initialen AIDE-Datenbank erfolgt im anschließenden Task **''config''**.
+Die eigentliche Installation Konfiguration sowie das erstellen der initialen AIDE-Datenbank erfolgt im anschliessenden Task **''config''**.
    $ vim roles/hids/tasks/config.yml
 ++++ roles/hids/tasks/config.yml |