ኮርሱ ከመጀመሩ በፊት አስደሳች ይዘት ያለው ትርጉም አዘጋጅተናል.
AIDE ማለት “የላቀ የጣልቃ መፈለጊያ አካባቢ” ማለት ሲሆን በሊኑክስ ላይ በተመሰረቱ ስርዓተ ክወናዎች ላይ ለውጦችን ለመቆጣጠር በጣም ታዋቂ ከሆኑ ስርዓቶች አንዱ ነው። AIDE ከማልዌር፣ ቫይረሶች ለመከላከል እና ያልተፈቀዱ እንቅስቃሴዎችን ለመለየት ይጠቅማል። የፋይል ታማኝነት ለማረጋገጥ እና ጣልቃ ገብነትን ለመለየት AIDE የፋይል መረጃ ዳታቤዝ ይፈጥራል እና የስርዓቱን ወቅታዊ ሁኔታ ከዚህ ዳታቤዝ ጋር ያወዳድራል። AIDE በተሻሻሉ ፋይሎች ላይ በማተኮር የአደጋ ምርመራ ጊዜን ለመቀነስ ይረዳል።
የ AIDE ባህሪዎች
- የፋይል አይነት፣ inode፣ uid፣ gid፣ ፍቃዶች፣ የአገናኞች ብዛት፣ mtime፣ ctime እና atime ጨምሮ የተለያዩ የፋይል ባህሪያትን ይደግፋል።
- ለ Gzip መጭመቂያ ፣ SELinux ፣ XAttrs ፣ Posix ACL እና የፋይል ስርዓት ባህሪዎች ድጋፍ።
- md5፣ sha1፣ sha256፣ sha512፣ rmd160፣ crc32፣ ወዘተ ጨምሮ የተለያዩ ስልተ ቀመሮችን ይደግፋል።
- ማሳወቂያዎችን በኢሜል በመላክ ላይ።
በዚህ ጽሁፍ በ CentOS 8 ላይ AIDE ን ለጣልቃ ገብነት እንዴት መጫን እና መጠቀም እንደሚቻል እንመለከታለን።
ቅድመ ሁኔታዎች
- CentOS 8ን የሚያስኬድ አገልጋይ፣ ቢያንስ 2 ጊባ ራም ያለው።
- ስርወ መዳረሻ
በመጀመር ላይ
መጀመሪያ ስርዓቱን ለማዘመን ይመከራል. ይህንን ለማድረግ የሚከተለውን ትዕዛዝ ያሂዱ.
dnf update -yካዘመኑ በኋላ ለውጦቹ ተግባራዊ እንዲሆኑ ስርዓትዎን እንደገና ያስጀምሩ።
AIDE ን በመጫን ላይ
AIDE በነባሪ CentOS 8 ማከማቻ ውስጥ ይገኛል። የሚከተለውን ትዕዛዝ በማሄድ በቀላሉ መጫን ይችላሉ።
dnf install aide -yመጫኑ ከተጠናቀቀ በኋላ የሚከተለውን ትዕዛዝ በመጠቀም የ AIDE ስሪቱን ማየት ይችላሉ.
aide --versionየሚከተለውን ማየት አለብዎት:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
የሚገኙ አማራጮች aide እንደሚከተለው ሊታይ ይችላል:
aide --help
የመረጃ ቋቱን መፍጠር እና ማስጀመር
AIDE ን ከጫኑ በኋላ ማድረግ ያለብዎት የመጀመሪያው ነገር እሱን ማስጀመር ነው። ጅምር በአገልጋዩ ላይ ያሉትን ሁሉንም ፋይሎች እና ማውጫዎች ዳታቤዝ መፍጠርን ያካትታል።
የውሂብ ጎታውን ለመጀመር የሚከተለውን ትዕዛዝ ያሂዱ፡-
aide --initየሚከተለውን ማየት አለብዎት:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
ከላይ ያለው ትዕዛዝ አዲስ የውሂብ ጎታ ይፈጥራል aide.db.new.gz በካታሎግ ውስጥ /var/lib/aide. የሚከተለውን ትዕዛዝ በመጠቀም ሊታይ ይችላል.
ls -l /var/lib/aideውጤት:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ይህን አዲስ የውሂብ ጎታ ፋይል ስሙ እስኪቀየር ድረስ አይጠቀምም። aide.db.gz. ይህ እንደሚከተለው ሊከናወን ይችላል.
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzለውጦቹ በትክክል ክትትል መደረጉን ለማረጋገጥ ይህንን ዳታቤዝ በየጊዜው እንዲያዘምኑ ይመከራል።
መለኪያውን በመቀየር የውሂብ ጎታውን ቦታ መቀየር ይችላሉ DBDIR በፋይል ውስጥ /etc/aide.conf.
ቅኝት በማሄድ ላይ
AIDE አሁን አዲሱን የውሂብ ጎታ ለመጠቀም ዝግጁ ነው። ምንም ለውጥ ሳታደርጉ የመጀመሪያውን AIDE ፍተሻ ያሂዱ፡-
aide --checkይህ ትዕዛዝ በፋይል ስርዓትዎ መጠን እና በአገልጋይዎ ላይ ባለው የ RAM መጠን ላይ በመመስረት ለማጠናቀቅ የተወሰነ ጊዜ ይወስዳል። ፍተሻው እንደተጠናቀቀ የሚከተሉትን ማየት አለብዎት:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!ከላይ ያለው ውጤት ሁሉም ፋይሎች እና ማውጫዎች ከ AIDE ዳታቤዝ ጋር ይዛመዳሉ ይላል።
AIDE በመሞከር ላይ
በነባሪ፣ AIDE ነባሪውን Apache root ማውጫ አይከታተልም። /var/www/html. እሱን ለማየት AIDEን እናዋቅር። ይህንን ለማድረግ ፋይሉን መለወጥ ያስፈልግዎታል /etc/aide.conf.
nano /etc/aide.conf
ከመስመር በላይ ያክሉ "/root/CONTENT_EX" በመከተል
/var/www/html/ CONTENT_EX
በመቀጠል, ፋይል ይፍጠሩ aide.txt በካታሎግ ውስጥ /var/www/html/የሚከተለውን ትዕዛዝ በመጠቀም:
echo "Test AIDE" > /var/www/html/aide.txtአሁን የ AIDE ፍተሻውን ያሂዱ እና የተፈጠረው ፋይል መገኘቱን ያረጋግጡ.
aide --checkየሚከተለውን ማየት አለብዎት:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
የተፈጠረው ፋይል እንደተገኘ እናያለን። aide.txt.
የተገኙትን ለውጦች ከመረመሩ በኋላ የ AIDE ዳታቤዝ አዘምን።
aide --updateከዝማኔው በኋላ የሚከተሉትን ያያሉ:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
ከላይ ያለው ትዕዛዝ አዲስ የውሂብ ጎታ ይፈጥራል aide.db.new.gz በካታሎግ ውስጥ
/var/lib/aide/በሚከተለው ትዕዛዝ ሊያዩት ይችላሉ:
ls -l /var/lib/aide/ውጤት:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzአሁን ተጨማሪ ለውጦችን ለመከታተል AIDE አዲሱን ዳታቤዝ እንዲጠቀም አዲሱን የውሂብ ጎታ እንደገና ይሰይሙ። በሚከተለው መልኩ እንደገና መሰየም ትችላለህ።
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzAIDE አዲሱን የውሂብ ጎታ እየተጠቀመ መሆኑን ለማረጋገጥ ቼኩን እንደገና ያሂዱ፡-
aide --checkየሚከተለውን ማየት አለብዎት:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!ቼኩን አውቶማቲክ እናደርጋለን
በየቀኑ የ AIDE ቼክ ማካሄድ እና ሪፖርቱን በፖስታ መላክ ጥሩ ሀሳብ ነው። ይህ ሂደት ክሮን በመጠቀም በራስ-ሰር ሊሠራ ይችላል.
nano /etc/crontabየAIDE ቼክን በየቀኑ በ10፡15 ለማስኬድ የሚከተለውን መስመር በፋይሉ መጨረሻ ላይ ያክሉ።
15 10 * * * root /usr/sbin/aide --checkAIDE አሁን በፖስታ ያሳውቅዎታል። በሚከተለው ትዕዛዝ ደብዳቤዎን ማረጋገጥ ይችላሉ፡-
tail -f /var/mail/rootየ AIDE ምዝግብ ማስታወሻ በሚከተለው ትዕዛዝ ሊታይ ይችላል:
tail -f /var/log/aide/aide.logመደምደሚያ
በዚህ ጽሑፍ ውስጥ የፋይል ለውጦችን ለማግኘት እና ያልተፈቀደ የአገልጋይ መዳረሻን ለመለየት AIDEን እንዴት መጠቀም እንደሚችሉ ተምረዋል። ለተጨማሪ ቅንጅቶች /etc/aide.conf ውቅር ፋይልን ማርትዕ ይችላሉ። ለደህንነት ሲባል የውሂብ ጎታውን እና የውቅረት ፋይሉን በተነባቢ-ብቻ ሚዲያ ላይ ማከማቸት ይመከራል። ተጨማሪ መረጃ በሰነዱ ውስጥ ሊገኝ ይችላል .
ምንጭ: hab.com