Sunucuda Dosya Bütünlüğü Kontrolü: AIDE Kurulumu
Sunucularınızda dosya bütünlüğünü korumak, güvenlik stratejilerinizin temel taşlarından biridir.
Sunucularınızda dosya bütünlüğünü korumak, güvenlik stratejilerinizin temel taşlarından biridir. AIDE (Advanced Intrusion Detection Environment), Linux tabanlı sistemlerde dosya ve dizin değişikliklerini izleyerek yetkisiz müdahaleleri tespit eden güçlü bir araçtır. Bu makalede, AIDE’nin kurulumunu adım adım ele alacak, yapılandırmasını ve günlük kullanımını detaylandıracağız. Özellikle kurumsal ortamlar için ideal olan AIDE, sistem yöneticilerine proaktif bir savunma katmanı sunar ve olası ihlalleri erken aşamada belirlemenizi sağlar.
AIDE Nedir ve Neden Sunucularda Kullanılmalıdır?
AIDE, dosya izinleri, sahiplikleri, boyutları ve içeriklerini kriptografik hash algoritmalarıyla (SHA-256 gibi) kaydederek bir veritabanı oluşturur. Sistemde yapılan herhangi bir değişiklik, bu veritabanıyla karşılaştırılır ve raporlanır. Bu sayede, kötü amaçlı yazılımlar, yetkisiz kullanıcı müdahaleleri veya yanlış yapılandırmalar hızlıca tespit edilebilir. Kurumsal sunucularda, kritik dosyaların (örneğin /etc, /bin, /sbin dizinleri) bütünlüğünü korumak için vazgeçilmezdir.
AIDE’nin avantajları arasında düşük kaynak tüketimi ve esnek yapılandırma seçenekleri yer alır. Örneğin, belirli dizinleri hariç tutabilir veya sadece belirli öznitelikleri izleyebilirsiniz. Düzenli kontrollerle, uyumluluk standartlarına (örneğin PCI-DSS veya ISO 27001) katkı sağlar. Pratikte, AIDE’yi diğer araçlarla (örneğin Tripwire veya OSSEC) entegre ederek katmanlı güvenlik elde edebilirsiniz, ancak tek başına bile etkili bir izleme sağlar.
AIDE Kurulumu ve Temel Yapılandırma
Sistem Hazırlığı ve Paket Kurulumu
Debian/Ubuntu tabanlı bir sunucuda AIDE kurulumuna başlamadan önce sistemi güncelleyin. Terminalde şu komutları çalıştırın: sudo apt update && sudo apt upgrade -y. Ardından AIDE paketini yükleyin: sudo apt install aide aide-common -y. Bu işlem, AIDE’nin çekirdek bileşenlerini ve örnek konfigürasyon dosyalarını getirir. Kurulum tamamlandıktan sonra, /etc/aide/ dizininde aide.conf dosyasını göreceksiniz. Bu dosya, izlenecek kuralları tanımlar ve varsayılan olarak yaygın sistem dosyalarını kapsar.
Kurulum sonrası ilk veritabanını oluşturmak kritik öneme sahiptir. sudo aideinit komutuyla taban veritabanı (/var/lib/aide/aide.db.new.gz) oluşturulur. Bu veritabanı, mevcut dosya durumunu kaydeder. Oluşturma işlemi uzun sürebilir (sistem boyutuna göre dakikalar alır), bu yüzden düşük yükte çalıştırın. Tamamlandıktan sonra, veritabanını aktif hale getirin: sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz.
AIDE Konfigürasyon Dosyasının Düzenlenmesi
/etc/aide/aide.conf dosyasını nano veya vim ile açın: sudo nano /etc/aide/aide.conf. Varsayılan kurallar (örneğin RKH: izinler, sahiplik, hash) yeterli olsa da, özelleştirin. Örneğin, /home dizinini hariç tutmak için @@if /home @@endif ekleyin. İzleme kurallarını tanımlayın: /bin +p+u+g+s+m+c+i+n+S gibi öznitelikler ekleyin. Değişiklikleri kaydedin ve test edin: sudo aide --check. Bu komut, değişiklik raporu üretir ve e-posta bildirimi için /etc/default/aide dosyasını ayarlayabilirsiniz (AIDE_CHECK_ARGS değişkeni).
Konfigürasyon testinde hata alırsanız, sözdizimini doğrulayın. AIDE, esnek grup tanımlamalarıyla (örn. CONTENT = sha256) hassasiyeti artırır. Kurumsal kullanımda, bu dosyayı yedekleyin ve versiyon kontrolü altında tutun.
AIDE ile Düzenli Kontroller ve Bakım
Kurulum tamamlandıktan sonra, AIDE’yi cron ile otomatikleştirmek esastır. /etc/cron.daily/ dizinine bir betik oluşturun: sudo nano /etc/cron.daily/aide-check ve içeriğe #!/bin/bash ekleyin. İzin verin:
/usr/bin/aide --check | mail -s "AIDE Günlük Kontrol" [email protected]sudo chmod +x /etc/cron.daily/aide-check. Bu, her gün otomatik tarama yapar ve değişiklikleri bildirir.
Bakım için, veritabanını haftalık güncelleyin: sudo aide --update ile yeni veritabanı oluşturun ve sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz ile değiştirin. Değişiklik raporlarını inceleyin (/var/log/aide/aide.log). Örnek rapor: “changed: /etc/passwd p+i+u+g” gibi satırlar, izin değişikliklerini gösterir. Bu adımlarla, AIDE’yi etkin bir izleme aracına dönüştürürsünüz.
Özetle, AIDE kurulumu ve kullanımı, sunucu güvenliğinizi önemli ölçüde güçlendirir. Düzenli bakım ve özelleştirme ile maksimum fayda sağlayın. Bu rehberi takip ederek, sistemlerinizi proaktif olarak koruyabilir ve olası tehditlere karşı hazırlıklı olabilirsiniz. Uygulamaya hemen başlayın ve raporları düzenli inceleyin.