ProHoster > Blog > administrasie > Hoe om AIDE (Gevorderde Intrusion Detection Environment) op CentOS 8 te installeer en te gebruik

Hoe om AIDE (Gevorderde Intrusion Detection Environment) op CentOS 8 te installeer en te gebruik

Voor die aanvang van die kursus "Linux Administrateur" Ons het 'n vertaling van interessante materiaal voorberei.

Hoe om AIDE (Gevorderde Intrusion Detection Environment) op CentOS 8 te installeer en te gebruik

AIDE staan ​​vir "Advanced Intrusion Detection Environment" en is een van die gewildste stelsels om veranderinge in Linux-gebaseerde bedryfstelsels te monitor. AIDE word gebruik om teen wanware, virusse te beskerm en ongemagtigde aktiwiteite op te spoor. Om lêerintegriteit te verifieer en indringers op te spoor, skep AIDE 'n databasis van lêerinligting en vergelyk die huidige toestand van die stelsel met hierdie databasis. AIDE help om insident-ondersoektyd te verminder deur te fokus op lêers wat gewysig is.

AIDE kenmerke:

  • Ondersteun verskeie lêerkenmerke, insluitend: lêertipe, inode, uid, gid, toestemmings, aantal skakels, mtime, ctime en atime.
  • Ondersteuning vir Gzip-kompressie, SELinux, XAttrs, Posix ACL en lêerstelselkenmerke.
  • Ondersteun verskeie algoritmes, insluitend md5, sha1, sha256, sha512, rmd160, crc32, ens.
  • Stuur kennisgewings per e-pos.

In hierdie artikel sal ons kyk hoe om AIDE te installeer en te gebruik vir inbraakopsporing op CentOS 8.

Voorvereistes

  • Bediener met CentOS 8, met ten minste 2 GB RAM.
  • wortel toegang

Aan die gang

Dit word aanbeveel om eers die stelsel op te dateer. Om dit te doen, voer die volgende opdrag uit.

dnf update -y

Na opdatering, herbegin jou stelsel sodat die veranderinge in werking tree.

Installeer AIDE

AIDE is beskikbaar in die verstek CentOS 8-bewaarplek. Jy kan dit maklik installeer deur die volgende opdrag uit te voer:

dnf install aide -y

Sodra die installasie voltooi is, kan u die AIDE-weergawe bekyk deur die volgende opdrag te gebruik:

aide --version

Jy behoort die volgende te sien:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Beskikbare opsies aide kan soos volg gesien word:

aide --help

Hoe om AIDE (Gevorderde Intrusion Detection Environment) op CentOS 8 te installeer en te gebruik

Skep en inisialiseer die databasis

Die eerste ding wat u moet doen nadat u AIDE geïnstalleer het, is om dit te inisialiseer. Inisialisering bestaan ​​uit die skep van 'n databasis (snapshot) van alle lêers en gidse op die bediener.

Om die databasis te inisialiseer, voer die volgende opdrag uit:

aide --init

Jy behoort die volgende te sien:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Die bogenoemde opdrag sal 'n nuwe databasis skep aide.db.new.gz in die katalogus /var/lib/aide. Dit kan gesien word met behulp van die volgende opdrag:

ls -l /var/lib/aide

Gevolg:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE sal nie hierdie nuwe databasislêer gebruik totdat dit hernoem is na aide.db.gz. Dit kan soos volg gedoen word:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Dit word aanbeveel dat u hierdie databasis gereeld bywerk om te verseker dat veranderinge behoorlik gemonitor word.

U kan die ligging van die databasis verander deur die parameter te verander DBDIR in lêer /etc/aide.conf.

Voer 'n skandering uit

AIDE is nou gereed om die nuwe databasis te gebruik. Voer die eerste AIDE-tjek uit sonder om enige veranderinge aan te bring:

aide --check

Hierdie opdrag sal 'n rukkie neem om te voltooi, afhangende van die grootte van jou lêerstelsel en die hoeveelheid RAM op jou bediener. Sodra die skandering voltooi is, behoort jy die volgende te sien:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Die bogenoemde uitvoer sê dat alle lêers en gidse ooreenstem met die AIDE-databasis.

Toets AIDE

By verstek spoor AIDE nie die standaard Apache-wortelgids na nie /var/www/html. Kom ons stel AIDE op om dit te sien. Om dit te doen, moet jy die lêer verander /etc/aide.conf.

nano /etc/aide.conf

Voeg bogenoemde reël by "/root/CONTENT_EX" Die volgende:

/var/www/html/ CONTENT_EX

Skep dan 'n lêer aide.txt in die katalogus /var/www/html/met behulp van die volgende opdrag:

echo "Test AIDE" > /var/www/html/aide.txt

Voer nou die AIDE-kontrole uit en maak seker dat die geskepde lêer opgespoor word.

aide --check

Jy behoort die volgende te sien:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Ons sien dat die geskepde lêer opgespoor word aide.txt.
Nadat u die bespeurde veranderinge ontleed het, moet u die AIDE-databasis opdateer.

aide --update

Na die opdatering sal jy die volgende sien:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Die bogenoemde opdrag sal 'n nuwe databasis skep aide.db.new.gz in die katalogus 

/var/lib/aide/

Jy kan dit sien met die volgende opdrag:

ls -l /var/lib/aide/

Gevolg:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Hernoem nou die nuwe databasis weer sodat AIDE die nuwe databasis gebruik om verdere veranderinge op te spoor. Jy kan dit soos volg hernoem:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Voer die kontrole weer uit om te verseker dat AIDE die nuwe databasis gebruik:

aide --check

Jy behoort die volgende te sien:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ons outomatiseer die tjek

Dit is 'n goeie idee om elke dag 'n AIDE-tjek uit te voer en die verslag te pos. Hierdie proses kan geoutomatiseer word met behulp van cron.

nano /etc/crontab

Om die AIDE-tjek elke dag om 10:15 uit te voer, voeg die volgende reël by die einde van die lêer:

15 10 * * * root /usr/sbin/aide --check

AIDE sal jou nou per pos in kennis stel. U kan u e-pos nagaan met die volgende opdrag:

tail -f /var/mail/root

Die AIDE-logboek kan bekyk word met die volgende opdrag:

tail -f /var/log/aide/aide.log

Gevolgtrekking

In hierdie artikel het jy geleer hoe om AIDE te gebruik om lêerveranderinge op te spoor en ongemagtigde bedienertoegang te identifiseer. Vir bykomende instellings, kan jy die /etc/aide.conf konfigurasielêer wysig. Om sekuriteitsredes word dit aanbeveel om die databasis en konfigurasielêer op leesalleen-media te stoor. Meer inligting kan in die dokumentasie gevind word AIDE Dok.

Kom meer te wete oor die kursus.

Bron: will.com

Voeg 'n opmerking