Расширение Aide для Cockpit

Введение

AIDE (Advanced Intrusion Detection Environment) — это инструмент для обнаружения вторжений на основе анализа изменений в файловой системе. Он работает по принципу системы обнаружения вторжений на основе хоста (HIDS) и помогает администраторам выявлять несанкционированные изменения в файлах и каталогах.

Установка расширения для Cockpit

Установите соответствующее расширение для панели управления Cockpit с помощью следующей команды:

$ sudo dnf install cockpit-msvsphere-security-audit

Настройка

Для использования расширения требуются привилегии администратора:

  • войдите в панель управления Cockpit, на странице «Обзор» нажмите кнопку «Включить доступ с правами администратора» или кнопку «Ограниченный доступ», которая также доступна на других страницах системы управления. На приведённом ниже снимке экрана эти кнопки обозначены красным прямоугольником.

    Cockpit: страница «Обзор»

  • В открывшейся форме укажите свой пароль и нажмите на кнопку «Проверка подлинности».

    Cockpit: кнопка "Проверка подлинности"

  • После этого в левой панели откройте вкладку «Расширенные настройки», там перейдите по ссылке «Виртуальные терминалы».

    Cockpit: страница "Расширенные настройки"

Вкладка «Aide»

После первоначальной установки необходимо инициализировать базу данных Aide. Инициализация заключается в создании базы данных (снимка) всех файлов и каталогов сервера. Для этого нажмите на кнопку «Обновить БД».

Cockpit: вкладка "Aide", инициализация бд

После инициализации базы данных появится возможность запустить проверку, для этого нажмите на соответсвующую кнопку.

Cockpit: вкладка "Aide", после инициализации бд

В случае, если в системе произошли изменения по сравнению со «снимком» системы, будет выведен соответствующий результат в виде таблицы. В таблице будут указаны следующие данные:

  • Файл — путь к файлу/каталогу.

  • Состояние — добавлен/изменен/удалён.

  • Тип — файл или каталог.

  • Флаги — при наведении курсора на столбец будет показана детальная информация.

  • Детали — дополнительная информация.

Cockpit: вкладка "Aide", отчет

Список флагов:

  • p — права доступа;

  • i — номер inode;

  • n — имя ссылки;

  • u — владелец файла;

  • g — группа файла;

  • s — размер файла;

  • b — количество блоков;

  • m — время изменения (mtime);

  • a — время доступа (atime);

  • c — изменение inode (ctime).

Настройки Aide

Вы можете настроить вывод требуемым образом. Для этого перейдите в «Настройки Aide», нажав на иконку «Шестеренка».

Здесь вы можете настроить следующие параметры вывода:

  • Исключения — можно указать путь или наименование файла, который будет отфильтровываться в итоговой таблице.

  • Количество строк, выводимых на странице.

Настройки применяются после сохранения.

Cockpit: вкладка "Aide", настройки

Вкладка «Rpm»

На данной вкладке вы можете запустить проверку целостности системы или просмотреть результат последней проверки. При нажатии на кнопку «Обновить отчёт» будет выполнена команда rpm --all --verify.

Cockpit: вкладка "Rpm", обновить отчет

После окончания выполнения команды результат будет выведен в таблице. Будут указаны следующие данные:

  • Файл — полный путь к файлу.

  • Тип — тип файла (если известен).

  • Флаги — при наведении на столбец будет показана детальная информация.

Cockpit: вкладка "Rpm", отчет

Список флагов:

  • S — размер изменён;

  • M — время модификации изменено;

  • 5 — контрольная сумма изменена;

  • D — номера major/minor изменены;

  • L — символическая ссылка изменилась;

  • U — пользователь изменён;

  • G — группа изменена;

  • T — время доступа (mtime) изменилось.