🥇كيفية تثبيت واستخدام بيئة الكشف المتقدم عن الاختراقات (AIDE) في CentOS 8

قبل بدء الدورة "المسؤول Linux» لقد أعددنا ترجمة للمواد المثيرة للاهتمام.

يرمز AIDE إلى "بيئة الكشف المتقدمة عن الاختراقات"، وهو أحد أكثر الأنظمة شيوعًا لمراقبة التغييرات في أنظمة التشغيل القائمة على Linuxيُستخدم نظام AIDE للحماية من البرامج الضارة والفيروسات، والكشف عن الأنشطة غير المصرح بها. وللتحقق من سلامة الملفات واكتشاف الاختراقات، يُنشئ AIDE قاعدة بيانات لمعلومات الملفات، ويقارن حالة النظام الحالية بهذه القاعدة. يُساعد AIDE في تقليل وقت التحقيق في الحوادث من خلال التركيز على الملفات التي تم تعديلها.

ميزات المساعد:

يدعم سمات الملف المختلفة، بما في ذلك: نوع الملف، inode، uid، gid، الأذونات، عدد الروابط، mtime، ctime وatime.
دعم ضغط Gzip و SELinux، XAttrs، وقوائم التحكم بالوصول Posix، وسمات نظام الملفات.
يدعم خوارزميات مختلفة بما في ذلك md5، sha1، sha256، sha512، rmd160، crc32، إلخ.
إرسال الإخطارات عن طريق البريد الإلكتروني.

سنتناول في هذه المقالة كيفية تثبيت واستخدام برنامج AIDE للكشف عن التسلل في CentOS 8.

المتطلبات الأساسية

الخادم قيد الإدارة CentOS 8، مع ذاكرة وصول عشوائي (RAM) لا تقل عن 2 جيجابايت.
الوصول إلى الجذر

الشروع في العمل

يوصى بتحديث النظام أولاً. للقيام بذلك، قم بتشغيل الأمر التالي.

dnf update -y

بعد التحديث، أعد تشغيل النظام لتصبح التغييرات سارية المفعول.

تثبيت مساعد

يتوفر برنامج AIDE في المستودع الافتراضي. CentOS 8. يمكنك تثبيته بسهولة عن طريق تشغيل الأمر التالي:

dnf install aide -y

بمجرد اكتمال التثبيت، يمكنك عرض إصدار AIDE باستخدام الأمر التالي:

aide --version

يجب أن ترى ما يلي:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

الخيارات المتاحة aide يمكن الاطلاع على النحو التالي:

aide --help

إنشاء وتهيئة قاعدة البيانات

أول شيء عليك القيام به بعد تثبيت AIDE هو تهيئته. تتكون التهيئة من إنشاء قاعدة بيانات (لقطة) لجميع الملفات والأدلة الموجودة على الخادم.

لتهيئة قاعدة البيانات، قم بتشغيل الأمر التالي:

aide --init

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

سيقوم الأمر أعلاه بإنشاء قاعدة بيانات جديدة aide.db.new.gz في الكتالوج /var/lib/aide. ويمكن رؤيته باستخدام الأمر التالي:

ls -l /var/lib/aide

النتيجة:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

لن يستخدم AIDE ملف قاعدة البيانات الجديد هذا حتى تتم إعادة تسميته إلى aide.db.gz. ويمكن القيام بذلك على النحو التالي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

يوصى بتحديث قاعدة البيانات هذه بشكل دوري لضمان مراقبة التغييرات بشكل صحيح.

يمكنك تغيير موقع قاعدة البيانات عن طريق تغيير المعلمة DBDIR في ملف /etc/aide.conf.

إجراء فحص

AIDE جاهز الآن لاستخدام قاعدة البيانات الجديدة. قم بإجراء فحص AIDE الأول دون إجراء أي تغييرات:

aide --check

سيستغرق هذا الأمر بعض الوقت حتى يكتمل اعتمادًا على حجم نظام الملفات الخاص بك وحجم ذاكرة الوصول العشوائي (RAM) على الخادم الخاص بك. بمجرد اكتمال الفحص، يجب أن تشاهد ما يلي:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

يشير الإخراج أعلاه إلى أن جميع الملفات والأدلة تطابق قاعدة بيانات AIDE.

مساعد الاختبار

افتراضيًا، لا يقوم AIDE بتتبع دليل جذر Apache الافتراضي /var/www/html. دعونا نقوم بتكوين AIDE لمشاهدته. للقيام بذلك تحتاج إلى تغيير الملف /etc/aide.conf.

nano /etc/aide.conf

أضف السطر أعلاه "/root/CONTENT_EX" ما يلي:

/var/www/html/ CONTENT_EX

بعد ذلك، قم بإنشاء ملف aide.txt في الكتالوج /var/www/html/باستخدام الأمر التالي:

echo "Test AIDE" > /var/www/html/aide.txt

قم الآن بإجراء فحص AIDE وتأكد من اكتشاف الملف الذي تم إنشاؤه.

aide --check

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

نرى أنه تم اكتشاف الملف الذي تم إنشاؤه aide.txt.
بعد تحليل التغييرات المكتشفة، قم بتحديث قاعدة بيانات AIDE.

aide --update

بعد التحديث سيظهر لك ما يلي:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

سيقوم الأمر أعلاه بإنشاء قاعدة بيانات جديدة aide.db.new.gz في الكتالوج

/var/lib/aide/

يمكنك رؤيته باستخدام الأمر التالي:

ls -l /var/lib/aide/

النتيجة:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

الآن قم بإعادة تسمية قاعدة البيانات الجديدة مرة أخرى بحيث يستخدم AIDE قاعدة البيانات الجديدة لتتبع المزيد من التغييرات. يمكنك إعادة تسميته على النحو التالي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

قم بإجراء الفحص مرة أخرى للتأكد من أن AIDE يستخدم قاعدة البيانات الجديدة:

aide --check

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

نحن أتمتة الاختيار

إنها لفكرة جيدة إجراء فحص AIDE كل يوم وإرسال التقرير بالبريد. يمكن أتمتة هذه العملية باستخدام cron.

nano /etc/crontab

لتشغيل فحص AIDE كل يوم في الساعة 10:15، أضف السطر التالي إلى نهاية الملف:

15 10 * * * root /usr/sbin/aide --check

سيقوم AIDE الآن بإخطارك عبر البريد. يمكنك التحقق من بريدك باستخدام الأمر التالي:

tail -f /var/mail/root

يمكن عرض سجل AIDE باستخدام الأمر التالي:

tail -f /var/log/aide/aide.log

اختتام

تعلمت في هذه المقالة كيفية استخدام AIDE لاكتشاف تغييرات الملفات وتحديد الوصول غير المصرح به إلى الخادم. للحصول على إعدادات إضافية، يمكنك تحرير ملف التكوين /etc/aide.conf. لأسباب أمنية، يوصى بتخزين قاعدة البيانات وملف التكوين على وسائط للقراءة فقط. يمكن العثور على مزيد من المعلومات في الوثائق وثيقة مساعد.

تعلم المزيد عن الدورة.

المصدر: www.habr.com