Браун К. Безопасность [Текст] : Часть 5: Ищем лазутчиков / Крис Браун ; послесл. авт. "Мысли напоследок" // Linux Format. — 2007. — № 2 (89), февр.. — С. 66-69. — (Безопасность строгого режима. Учебник). — Прил.: "Свойства файла в Aide" [Таблица]. — С. 66 ; "Скорая помощь. Подход истинного параноика – запускать Aide с надежного CD, а файл .conf и базу данных моментальных снимков хранить на носителях в режиме «только для чтения»" ; "Польза от слежки" : [Можно не только обнаружить вторжения, а, например, в корпоративной сети можно обнаружить пользователей, устанавливающих неразрешенное ПО или обновляющих свой компьютер]. — С. 67 ; "Основные компоненты Tripwire" [Таблица]. — С. 68 ; "Скорая помощь. Для поучительного чтения попробуйте «Linux Server Security» Майкла Бауэра [Michael Bauer], опубликованную O’Reilly. Превосходная книга. Помимо вопросов, затронутых в настоящей серии, охватывает множество других. Настоятельно рекомендую". — С. 69.
Аннотация
Обнаружение вторжений с помощью Aide и Tripwire, созданных для отслеживания несанкционированных изменений файловой системы.
Tripwire и Aide делают "снимок" состояния файловой системы (по крайней мере, значимых ее частей) в тот момент, когда есть уверенность в ее нетронутом состоянии. Затем с регулярными интервалами программа запускается снова и состояние файловой системы сравнивается с исходным снимком. Каждый раз составляется отчет с описанием изменений, который должен изучаться, чтобы от инструментов обнаружения вторжений был прок.
Программа с открытым исходным кодом Aide (Automatic Intrusion Detection Environment — среда автоматического обнаружения вторжений). Программу написали Рами Лехти (Rami Lehti) и Пабло Виролайнен (Pablo Virolainen]. Отметим, что Лехти учился в технологическом университете Тампере (Финляндия) и копию учебника по Aide до сих пор можно найти на университетском сайте по адресу: www.cs.tut.fi/~rammer/Aide/manual.html. Позднее проект был подхвачен Ричардом ван ден Бергом (Richard van den Berg) и Майком Маркли (Mike Markley) и исходный код находится на http://sourceforge.net/projects/Aide. Крис Браун использует пакет из состава SUSE Linux Enterprise Desktop 10 и весьма подробно описывает работу Aide, особенно конфигурационный файл, указывая и на минусы программы.
Tripwire, принадлежащая на время написания статьи Tripwire Incorporation. Существует и свободная версия Tripwire по адресу: http://sourceforge.net/projects/Tripwire. Крис Браун использует ее в системе Fedora Core 5.
Концепция Tripwire во многом схожа с Aide, но административно она более сложна. Усложнение частично происходит из-за того, что Tripwire шифрует свои файлы и снабжает цифровыми подписями, что устраняет нужду в защищенных носителях. Поэтому существуют, например, текстовая и шифрованная версии конфигурационного файла, и такие же версии файла политики (в файле политики перечисляются файлы и директории для мониторинга, а также параметры проверки). Описан конкретный пример реакции программы на действие пользователя, который просто добавит новую учетную запись командой # useradd barney…
Очень интересны "Мысли напоследок" — послесловие к циклу статей по безопасности в Linux, где изложены 7 ключевых принципов безопасности системы.