Cредства регламентного контроля целостности – afick
В качестве регламентного контроля целостности файлов ОС применяется набор ПС на основе программного пакета afick (Another File Integrity Checker).
Принцип функционирования заключается в ведении эталонной (и обновляемой) БД контрольных сумм помещенных под контроль файлов. Процесс проверки может быть запущен вручную либо с помощью системного планировщика заданий (cron). В ходе проверки производится вычисление контрольных сумм файлов с последующим сравнением вычисленных значений с эталонными.
Основные параметры функционирования средства регламентного контроля целостности указываются в конфигурационном файле по умолчанию (/etc/afick.conf), например, путь к файлу БД.
Для описания способа вычисления и контроля целостности отдельных путей и каталогов применяется система правил. Например, правило для каталогов может выглядеть следующим образом:
DIR = p+i+n+u+g
где перечисленные ключи задают контроль прав доступа, метаданных, количества ссылок и стандартных атрибутов. Список основных ключей контролируемых атрибутов приведен в таблице.
| Ключ | Описание |
|---|---|
| a | Метка времени последнего доступа файла (atime) |
| b | Размер в блоках (blocks) |
| c | Метка времени изменения inode (ctime) |
| d | Составной номер устройства или ФС (device number) |
| g | gid — группа |
| i | Номер inode |
| m | Метка времени последнего изменения файла (mtime) |
| md5 | Контрольная сумма MD5 (по умолчанию) |
| n | Число жестких ссылок |
| p | Права доступа (владелец, группа, другое) (permissions) |
| u | uid — владелец (user) |
| s | Размер файла (size) |
sha1 sha256 sha512 | Один из вариантов контрольной суммы SHA. Может быть задан только один из вариантов |
| t | Расширенные права доступа (ACL) |
z2 z5 | Один из вариантов контрольной суммы по алгоритму ГОСТ Р 34.10-2012 (z2 - с длиной хэш-суммы 256 бит, z5 - с длиной хэш-суммы 512 бит). |
| e | Контекст безопасности |
| all | b+c+d+g+i+m+md5+n+p+u+s |
| R | p+d+i+n+u+g+s+m+c+md5 |
| L | p+d+i+n+u+g |
| E | Пустой набор |
Дополнительно представлены специальные правила.
Правило NESS выглядит следующим образом:
NESS = p+d+i+n+u+g+s+b+md5+m+e+t
где p+d+i+n+u+g+s+b+md5+m означает слежение за всеми стандартными атрибутами файла и использование хэш-функции MD5-Digest для слежения за целостностью содержимого файлов;
+e+t означает контроль расширенных атрибутов: мандатной метки и флагов аудита, соответственно.
Контроль ACL осуществляется при установке флага +g.
Правило GOST выглядит следующим образом:
GOST = p+d+i+n+u+g+s+b+gost+m+e+t
где p+d+i+n+u+g+s+b+gost+m означает слежение за всеми стандартными атрибутами файла и использование хэш-функции ГОСТ Р 34.11-2012 с длиной хэш-кода 256 бит для слежения за целостностью содержимого файлов;
+e+t означает контроль расширенных атрибутов: мандатной метки и флагов аудита, соответственно.
Контроль ACL осуществляется при установке флага +g.
Контроль файлов и каталогов в файле конфигурации выполняется:
/boot GOST
/bin GOST
/etc/security NESS
/etc/pam.d NESS
/etc/fatab NESS
/lib/modules NESS
/lib64/security NESS
/lib/security NESS
/sbin NESS
/usr/bin NESS
/usr/lib NESS
/usr/sbin NESS
Создание БД эталонных значений контрольных сумм и атрибутов выполняется при помощи следующей команды:
При этом будет создан файл /var/lib/afick/afick в формате ndbm.
Пакет содержит конфигурацию по умолчанию для системного планировщика заданий cron.
Посмотреть видеоуроки: