ProHoster > بلوق > إدارة > كيفية تثبيت واستخدام AIDE (بيئة كشف التسلل المتقدمة) على CentOS 8

كيفية تثبيت واستخدام AIDE (بيئة كشف التسلل المتقدمة) على CentOS 8

قبل بدء الدورة "مسؤول Linux" لقد أعددنا ترجمة للمواد المثيرة للاهتمام.

كيفية تثبيت واستخدام AIDE (بيئة كشف التسلل المتقدمة) على CentOS 8

يرمز AIDE إلى "بيئة كشف التسلل المتقدمة" وهو أحد أكثر الأنظمة شيوعًا لمراقبة التغييرات في أنظمة التشغيل المستندة إلى Linux. يتم استخدام AIDE للحماية من البرامج الضارة والفيروسات واكتشاف الأنشطة غير المصرح بها. للتحقق من سلامة الملف واكتشاف عمليات التطفل، يقوم AIDE بإنشاء قاعدة بيانات لمعلومات الملف ويقارن الحالة الحالية للنظام مع قاعدة البيانات هذه. يساعد AIDE على تقليل وقت التحقيق في الحادث من خلال التركيز على الملفات التي تم تعديلها.

ميزات المساعد:

  • يدعم سمات الملف المختلفة، بما في ذلك: نوع الملف، inode، uid، gid، الأذونات، عدد الروابط، mtime، ctime وatime.
  • دعم ضغط Gzip وSELinux وXAttrs وPosix ACL وسمات نظام الملفات.
  • يدعم خوارزميات مختلفة بما في ذلك md5، sha1، sha256، sha512، rmd160، crc32، إلخ.
  • إرسال الإخطارات عن طريق البريد الإلكتروني.

في هذه المقالة، سنلقي نظرة على كيفية تثبيت واستخدام AIDE لكشف التسلل على CentOS 8.

المتطلبات الأساسية

  • خادم يعمل بنظام التشغيل CentOS 8، مع ذاكرة وصول عشوائي (RAM) لا تقل عن 2 جيجابايت.
  • الوصول إلى الجذر

الشروع في العمل

يوصى بتحديث النظام أولاً. للقيام بذلك، قم بتشغيل الأمر التالي.

dnf update -y

بعد التحديث، أعد تشغيل النظام لتصبح التغييرات سارية المفعول.

تثبيت مساعد

يتوفر AIDE في مستودع CentOS 8 الافتراضي. ويمكنك تثبيته بسهولة عن طريق تشغيل الأمر التالي:

dnf install aide -y

بمجرد اكتمال التثبيت، يمكنك عرض إصدار AIDE باستخدام الأمر التالي:

aide --version

يجب أن ترى ما يلي:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

الخيارات المتاحة aide يمكن الاطلاع على النحو التالي:

aide --help

كيفية تثبيت واستخدام AIDE (بيئة كشف التسلل المتقدمة) على CentOS 8

إنشاء وتهيئة قاعدة البيانات

أول شيء عليك القيام به بعد تثبيت AIDE هو تهيئته. تتكون التهيئة من إنشاء قاعدة بيانات (لقطة) لجميع الملفات والأدلة الموجودة على الخادم.

لتهيئة قاعدة البيانات، قم بتشغيل الأمر التالي:

aide --init

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

سيقوم الأمر أعلاه بإنشاء قاعدة بيانات جديدة aide.db.new.gz في الكتالوج /var/lib/aide. ويمكن رؤيته باستخدام الأمر التالي:

ls -l /var/lib/aide

النتيجة:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

لن يستخدم AIDE ملف قاعدة البيانات الجديد هذا حتى تتم إعادة تسميته إلى aide.db.gz. ويمكن القيام بذلك على النحو التالي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

يوصى بتحديث قاعدة البيانات هذه بشكل دوري لضمان مراقبة التغييرات بشكل صحيح.

يمكنك تغيير موقع قاعدة البيانات عن طريق تغيير المعلمة DBDIR في ملف /etc/aide.conf.

إجراء فحص

AIDE جاهز الآن لاستخدام قاعدة البيانات الجديدة. قم بإجراء فحص AIDE الأول دون إجراء أي تغييرات:

aide --check

سيستغرق هذا الأمر بعض الوقت حتى يكتمل اعتمادًا على حجم نظام الملفات الخاص بك وحجم ذاكرة الوصول العشوائي (RAM) على الخادم الخاص بك. بمجرد اكتمال الفحص، يجب أن تشاهد ما يلي:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

يشير الإخراج أعلاه إلى أن جميع الملفات والأدلة تطابق قاعدة بيانات AIDE.

مساعد الاختبار

افتراضيًا، لا يقوم AIDE بتتبع دليل جذر Apache الافتراضي /var/www/html. دعونا نقوم بتكوين AIDE لمشاهدته. للقيام بذلك تحتاج إلى تغيير الملف /etc/aide.conf.

nano /etc/aide.conf

أضف السطر أعلاه "/root/CONTENT_EX" ما يلي:

/var/www/html/ CONTENT_EX

بعد ذلك، قم بإنشاء ملف aide.txt في الكتالوج /var/www/html/باستخدام الأمر التالي:

echo "Test AIDE" > /var/www/html/aide.txt

قم الآن بإجراء فحص AIDE وتأكد من اكتشاف الملف الذي تم إنشاؤه.

aide --check

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

نرى أنه تم اكتشاف الملف الذي تم إنشاؤه aide.txt.
بعد تحليل التغييرات المكتشفة، قم بتحديث قاعدة بيانات AIDE.

aide --update

بعد التحديث سيظهر لك ما يلي:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

سيقوم الأمر أعلاه بإنشاء قاعدة بيانات جديدة aide.db.new.gz في الكتالوج 

/var/lib/aide/

يمكنك رؤيته باستخدام الأمر التالي:

ls -l /var/lib/aide/

النتيجة:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

الآن قم بإعادة تسمية قاعدة البيانات الجديدة مرة أخرى بحيث يستخدم AIDE قاعدة البيانات الجديدة لتتبع المزيد من التغييرات. يمكنك إعادة تسميته على النحو التالي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

قم بإجراء الفحص مرة أخرى للتأكد من أن AIDE يستخدم قاعدة البيانات الجديدة:

aide --check

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

نحن أتمتة الاختيار

إنها لفكرة جيدة إجراء فحص AIDE كل يوم وإرسال التقرير بالبريد. يمكن أتمتة هذه العملية باستخدام cron.

nano /etc/crontab

لتشغيل فحص AIDE كل يوم في الساعة 10:15، أضف السطر التالي إلى نهاية الملف:

15 10 * * * root /usr/sbin/aide --check

سيقوم AIDE الآن بإخطارك عبر البريد. يمكنك التحقق من بريدك باستخدام الأمر التالي:

tail -f /var/mail/root

يمكن عرض سجل AIDE باستخدام الأمر التالي:

tail -f /var/log/aide/aide.log

اختتام

تعلمت في هذه المقالة كيفية استخدام AIDE لاكتشاف تغييرات الملفات وتحديد الوصول غير المصرح به إلى الخادم. للحصول على إعدادات إضافية، يمكنك تحرير ملف التكوين /etc/aide.conf. لأسباب أمنية، يوصى بتخزين قاعدة البيانات وملف التكوين على وسائط للقراءة فقط. يمكن العثور على مزيد من المعلومات في الوثائق وثيقة مساعد.

تعلم المزيد عن الدورة.

المصدر: www.habr.com

إضافة تعليق