Kursun başlamazdan əvvəl Maraqlı materialın tərcüməsini hazırlamışıq.
AIDE “Advanced Intrusion Detection Environment” mənasını verir və Linux əsaslı əməliyyat sistemlərində dəyişiklikləri izləmək üçün ən populyar sistemlərdən biridir. AIDE zərərli proqramlardan, viruslardan qorunmaq və icazəsiz fəaliyyətləri aşkar etmək üçün istifadə olunur. Faylın bütövlüyünü yoxlamaq və müdaxilələri aşkar etmək üçün AIDE fayl məlumat bazası yaradır və sistemin cari vəziyyətini bu verilənlər bazası ilə müqayisə edir. AIDE, dəyişdirilmiş fayllara diqqət yetirməklə hadisənin araşdırılması vaxtını azaltmağa kömək edir.
AIDE xüsusiyyətləri:
- Müxtəlif fayl atributlarını dəstəkləyir, o cümlədən: fayl növü, inode, uid, gid, icazələr, keçidlərin sayı, mtime, ctime və atime.
- Gzip sıxılma, SELinux, XAttrs, Posix ACL və fayl sistemi atributları üçün dəstək.
- Md5, sha1, sha256, sha512, rmd160, crc32 və s. daxil olmaqla müxtəlif alqoritmləri dəstəkləyir.
- E-poçt vasitəsilə bildirişlərin göndərilməsi.
Bu yazıda biz CentOS 8-də müdaxilənin aşkarlanması üçün AIDE-nin necə qurulacağına və istifadəsinə baxacağıq.
Ön şərtlər
- Ən azı 8 GB RAM ilə CentOS 2 ilə işləyən server.
- kök girişi
Başlanğıc
Əvvəlcə sistemi yeniləmək tövsiyə olunur. Bunu etmək üçün aşağıdakı əmri yerinə yetirin.
dnf update -yYenilədikdən sonra dəyişikliklərin qüvvəyə minməsi üçün sisteminizi yenidən başladın.
AIDE quraşdırılması
AIDE standart CentOS 8 repozitoriyada mövcuddur. Siz onu aşağıdakı əmri işlətməklə asanlıqla quraşdıra bilərsiniz:
dnf install aide -yQuraşdırma tamamlandıqdan sonra aşağıdakı əmrdən istifadə edərək AIDE versiyasına baxa bilərsiniz:
aide --versionAşağıdakıları görməlisiniz:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Mövcud variantlar aide aşağıdakı kimi baxmaq olar:
aide --help
Verilənlər bazasının yaradılması və işə salınması
AIDE-ni quraşdırdıqdan sonra etməli olduğunuz ilk şey onu işə salmaqdır. İnisiallaşdırma serverdəki bütün faylların və qovluqların verilənlər bazasının (snapshot) yaradılmasından ibarətdir.
Verilənlər bazasını işə salmaq üçün aşağıdakı əmri yerinə yetirin:
aide --initAşağıdakıları görməlisiniz:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Yuxarıdakı əmr yeni verilənlər bazası yaradacaq aide.db.new.gz kataloqda /var/lib/aide. Bunu aşağıdakı əmrdən istifadə etməklə görmək olar:
ls -l /var/lib/aideNəticə:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE bu yeni verilənlər bazası faylının adı dəyişdirilənə qədər istifadə etməyəcək aide.db.gz. Bu aşağıdakı kimi edilə bilər:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzDəyişikliklərin düzgün izlənilməsini təmin etmək üçün bu verilənlər bazasını vaxtaşırı yeniləməyiniz tövsiyə olunur.
Parametri dəyişdirərək verilənlər bazasının yerini dəyişə bilərsiniz DBDIR faylda /etc/aide.conf.
Skan aparılır
AIDE indi yeni verilənlər bazasından istifadə etməyə hazırdır. Heç bir dəyişiklik etmədən ilk AIDE yoxlamasını həyata keçirin:
aide --checkBu əmrin yerinə yetirilməsi fayl sisteminizin ölçüsündən və serverinizdəki RAM miqdarından asılı olaraq bir qədər vaxt aparacaq. Skan tamamlandıqdan sonra aşağıdakıları görməlisiniz:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Yuxarıdakı çıxış bütün faylların və qovluqların AIDE verilənlər bazasına uyğun olduğunu bildirir.
AIDE sınaqdan keçirilir
Varsayılan olaraq, AIDE standart Apache kök kataloqunu izləmir /var/www/html. Baxmaq üçün AIDE-i konfiqurasiya edək. Bunu etmək üçün faylı dəyişdirməlisiniz /etc/aide.conf.
nano /etc/aide.conf
Yuxarıdakı sətir əlavə edin "/root/CONTENT_EX" aşağıdakılar:
/var/www/html/ CONTENT_EX
Sonra, bir fayl yaradın aide.txt kataloqda /var/www/html/aşağıdakı əmrdən istifadə edərək:
echo "Test AIDE" > /var/www/html/aide.txtİndi AIDE yoxlamasını işə salın və yaradılmış faylın aşkarlandığına əmin olun.
aide --checkAşağıdakıları görməlisiniz:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yaradılan faylın aşkar edildiyini görürük aide.txt.
Aşkar edilmiş dəyişiklikləri təhlil etdikdən sonra AIDE verilənlər bazasını yeniləyin.
aide --updateYeniləmədən sonra aşağıdakıları görəcəksiniz:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yuxarıdakı əmr yeni verilənlər bazası yaradacaq aide.db.new.gz kataloqda
/var/lib/aide/Bunu aşağıdakı əmrlə görə bilərsiniz:
ls -l /var/lib/aide/Nəticə:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzİndi yeni verilənlər bazasının adını yenidən dəyişdirin ki, AIDE gələcək dəyişiklikləri izləmək üçün yeni verilənlər bazasından istifadə etsin. Onun adını aşağıdakı kimi dəyişə bilərsiniz:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzAIDE-nin yeni verilənlər bazasından istifadə etdiyinə əmin olmaq üçün yoxlamanı yenidən həyata keçirin:
aide --checkAşağıdakıları görməlisiniz:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Biz çeki avtomatlaşdırırıq
Hər gün AIDE yoxlaması aparmaq və hesabatı poçtla göndərmək yaxşı fikirdir. Bu proses cron istifadə edərək avtomatlaşdırıla bilər.
nano /etc/crontabAIDE yoxlamasını hər gün saat 10:15-də yerinə yetirmək üçün faylın sonuna aşağıdakı sətri əlavə edin:
15 10 * * * root /usr/sbin/aide --checkAIDE indi sizi poçtla xəbərdar edəcək. Aşağıdakı əmrlə poçtunuzu yoxlaya bilərsiniz:
tail -f /var/mail/rootAIDE jurnalına aşağıdakı əmrdən istifadə etməklə baxmaq olar:
tail -f /var/log/aide/aide.logNəticə
Bu yazıda siz fayl dəyişikliklərini aşkar etmək və icazəsiz serverə girişi müəyyən etmək üçün AIDE-dən necə istifadə edəcəyinizi öyrəndiniz. Əlavə parametrlər üçün siz /etc/aide.conf konfiqurasiya faylını redaktə edə bilərsiniz. Təhlükəsizlik baxımından verilənlər bazası və konfiqurasiya faylını yalnız oxuna bilən mediada saxlamaq tövsiyə olunur. Ətraflı məlumatı sənədlərdə tapa bilərsiniz .
Mənbə: www.habr.com