序章
SysAdminsは、DigitalOceanVPSで実行されるWebサイトを含むWebサイトをサポートするソフトウェアのインストールと構成を担当します。 残念ながら、Webサイトがインターネット上で利用可能になるとすぐに、1人以上の悪意のあるハッカーが、不正アクセスを取得してシステムに影響を与える可能性のある変更を加えるために、システムの脆弱性を見つけるために多大な時間と労力を費やす可能性があります。完全にダウンします。 極端な場合、これらの個人は実際にWebサイトを使用して他のシステムを攻撃しようとする可能性があり、IPが別の、おそらくより安全なシステムへの攻撃のソースとしてどのように追跡されたかを説明する必要があります。
良いニュースは、液滴へのすべての変更を検出および追跡できることを保証するソフトウェア構成ベースラインの確立を含む、業界のベストプラクティスを使用してVPSを保護できることです。 UnixまたはLinuxシステムへの変更を監視するための最も一般的なツールの1つは、1999年にRamiLehtiとPabloVirolainenによって最初に作成されたAdvancedIntrusion Detection Environment(AIDE)として知られています。 この記事は、Aideを効果的にインストール、構成、および使用する方法を説明することから始めるのに役立ちます。
安全な信頼できる基盤の作成
DigitalOcean VPSを含むUnixおよびLinuxサーバーは、インターネット上で利用可能なWebサイトを強化するソフトウェアをインストール、構成、および実行するための堅牢なプラットフォームを提供します。 IEEE828構成管理標準やitSMFITILv3フレームワークなどの業界標準は、安定したオペレーティングシステムとアプリケーションベースラインを記録および維持する方法について、これらのシステムの安全性と信頼性を確保するために不可欠な、評判の高い業界ガイドラインを提供します。
大手銀行を含む金融サービス会社、商社、および取引所自体は、金融業界規制当局(Finra)、通貨監督庁(OCC)、および連邦準備制度(Fed)を含む連邦規制当局によって実装を義務付けられています。これらのベストプラクティス。 SysAdminとして、これらの同じ手順を使用してDigitalOcean VPSを保護し、DevOpsのベストプラクティスを使用して安全な信頼できるアプリケーションベースを作成できます。 新しいLinuxまたはUnixVPSを作成するときは、常にAideやTripwireなどのツールをインストールすることから始めます。
ステップ1-yumを使用してAideをインストールします
最初のステップは、コマンドを実行することです yum install aide 図1.0に示すように、依存関係をチェックし、aideをインストールできることを確認します。
[root@myserver ~]# yum install aide
インストールを続行するには、入力する必要があります。
Is this ok [y/N]: y
ステップ2-aidehelpを実行し、aideバージョンを確認します
インストールが完了したら、aide –help画面を実行し、以下に示すようにaideのバージョンを確認する必要があります。
[root @myserver 〜]#aide –help
次に、実行している補佐官のバージョンを確認する必要があります。 このテクニカルノートの最後で説明する/etc/aide.confの場所をメモします。 [root @myserver 〜]#aide -v
Aide 0.13.1
Compiled with the following options:
WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE "/etc/aide.conf"
Aideがインストールされていることを確認したので、最初のAideデータベースを作成します。
ステップ3-ファーストエイドデータベースを初期化する
図のようにコマンド「aideinit」を発行して、最初のaideデータベースを初期化します。
[root@myserver ~]# aide --init
新しい補佐官データベースが作成されたことを確認します
[root@myserver ~]# cd /var/lib/aide
[root@myserver aide]# ls -lt
total 1488
-rw------- 1 root root 1520639 Dec 8 16:57 aide.db.new.gz
aideを正常に機能させるには、最初のaideデータベース(aide.db.new.gz)の名前を(aide.db.gz)に変更する必要があります。
ステップ4-unixmvコマンドを使用してaideデータベースの名前を変更し、使用できるようにします
[root@myserver aide]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@myserver aide]# ls -lt
total 1488
-rw------- 1 root root 1520639 Dec 8 16:57 aide.db.gz
次に、変更が発生していないことを示すために、補助チェックを実行します。
ステップ5-最初の補佐官を実行します-変更を加えずにチェックします
[root@myserver aide]# aide --check
次に、/ usr / sbinディレクトリにファイルを作成して、補佐官が変更を検出して報告できることをテストします。
ステップ6-テストとして新しいファイルを作成する
次に、unix touchコマンドを使用して新しいファイルを作成します。このファイルを使用して、aideをテストし、新しく作成されたファイルがaideチェックによって検出されることを確認します。
[root@myserver aide]# touch /usr/sbin/mytestfile.txt
ステップ7-aidecheckを実行して新しいファイルを検出します
[root @myserver aide]#aide –check
補佐官チェックによって検出された変更を確認した後、これらの報告は非常に長くなる可能性があるため、補佐官がそれらを再度報告することを望まない可能性があります。 実際のアプローチは、変更を確認してから、補佐官データベースを更新して、次の補佐官チェックの実行時にそれらが再度報告されないようにすることです。
ステップ8-以前の変更を無視するために更新された補佐官データベースを作成する
次に、以前に行われた(およびレビューされた)すべての変更を無視する更新された補佐官データベースを作成します。
[root@myserver aide]# aide --update
以下の図11に示すように、新しいaideデータベースはaide.db.new.gzと呼ばれます。
[root@myserver aide]# ls -lt
total 2976
-rw------- 1 root root 1520708 Dec 8 17:13 aide.db.new.gz
-rw------- 1 root root 1520639 Dec 8 16:57 aide.db.gz
次のステップは、aideデータベースの名前を再度変更して、新しいバージョンのaideデータベースを使用して、この時点以降に発生した変更のみを報告するようにすることです。
ステップ9-更新された補佐官データベースを使用する
通常、古い補佐官データベースを図12に示すように日付で名前を変更して保存し、変更を追跡できるようにすることをお勧めします(必要な場合)。 最終的に、古いバージョンのaideデータベースをアーカイブして削除することができます。 また、unix mvコマンドを使用して、新しく作成されたaideデータベースの名前を変更して、今後使用できるようにする必要があります。
`[root@myserver aide]# mv aide.db.gz aide.db.gz-Dec082013`
`[root@myserver aide]# mv aide.db.new.gz aide.db.gz`
これらの手順は簡単ですが、面倒で時間がかかる可能性があります。 データベースを更新するスクリプトを作成し、変更を自動的に報告するために補助チェックレポートを実行することも不可欠です。
ステップ10。 cronとsendmailを使用して自動化する
私は通常、実行するcrontabエントリを作成します aide --check ハンドヘルドデバイスに便利に表示される毎日のレポート。 これにより、aideを使用してファイルシステムを監視することがはるかに簡単で実用的になります。
`06 01 * * 0-6 /var/log/aide/chkaide.sh`
これは、crontabから実行して自動化できるスクリプトの簡単な例です。 aide check レポートの最後の20行を電子メールで送信します。これは通常、毎日の要約に十分な情報です。
[root@myserver ~]# cat /var/log/aide/chaide.sh
#! /bin/sh
#chkaide.sh - Bob Aiello
MYDATE`date +%Y-%m-%d`
MYFILENAME"Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/sbin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME
/bin/mail -s"$MYFILENAME `date`" bob.aiello@ieee.org < /tmp/$MYFILENAME
最終ステップ
/etc/aide.confを変更して、特定のディレクトリの包含や除外などの詳細設定を構成することもできます。 自動的にインストールされる/etc/aide.confのバージョンには最も一般的な設定があるため、SysAdminsがこのファイルを変更することは比較的まれです。
概要
DigitalOcean VPSを使用して安全で堅牢なWebサイトを作成するには、システムおよびアプリケーションのベースラインへの変更の追跡を含む、情報セキュリティへの包括的なアプローチが必要です。 Aideの使用は優れた最初のステップであり、システムに加えられた変更を理解し、悪意や人為的エラーによって発生した不正な変更を特定するのに役立ちます。 今後の記事では、安全な信頼できる基盤を作成するために実行できる追加の手順について説明します。 aideをインストールして毎日使用すると、DigitalOceanVPSの管理を開始するのに役立ちます。
追加リソース
[補佐官]( http://aide.sourceforge.net/ )
