🥇 কিভাবে CentOS 8 এ AIDE (Advanced Intrusion Detection Environment) ইনস্টল এবং ব্যবহার করবেন

কোর্স শুরুর আগে "লিনাক্স প্রশাসক" আমরা আকর্ষণীয় উপাদানের একটি অনুবাদ প্রস্তুত করেছি।

AIDE এর অর্থ হল "অ্যাডভান্সড ইনট্রুশন ডিটেকশন এনভায়রনমেন্ট" এবং এটি লিনাক্স-ভিত্তিক অপারেটিং সিস্টেমের পরিবর্তনগুলি পর্যবেক্ষণ করার জন্য সবচেয়ে জনপ্রিয় সিস্টেমগুলির মধ্যে একটি। AIDE ম্যালওয়্যার, ভাইরাস থেকে রক্ষা করতে এবং অননুমোদিত কার্যকলাপ সনাক্ত করতে ব্যবহৃত হয়। ফাইলের অখণ্ডতা যাচাই করতে এবং অনুপ্রবেশ সনাক্ত করতে, AIDE ফাইল তথ্যের একটি ডাটাবেস তৈরি করে এবং এই ডাটাবেসের সাথে সিস্টেমের বর্তমান অবস্থার তুলনা করে। AIDE সংশোধিত ফাইলগুলিতে ফোকাস করে ঘটনার তদন্তের সময় কমাতে সাহায্য করে।

AIDE বৈশিষ্ট্য:

ফাইলের ধরন, ইনোড, uid, gid, অনুমতি, লিঙ্কের সংখ্যা, mtime, ctime এবং atime সহ বিভিন্ন ফাইল বৈশিষ্ট্য সমর্থন করে।
Gzip কম্প্রেশন, SELinux, XAttrs, Posix ACL এবং ফাইল সিস্টেম বৈশিষ্ট্যগুলির জন্য সমর্থন।
md5, sha1, sha256, sha512, rmd160, crc32, ইত্যাদি সহ বিভিন্ন অ্যালগরিদম সমর্থন করে।
ইমেলের মাধ্যমে বিজ্ঞপ্তি পাঠানো হচ্ছে।

এই নিবন্ধে, আমরা CentOS 8 এ অনুপ্রবেশ সনাক্তকরণের জন্য AIDE কীভাবে ইনস্টল এবং ব্যবহার করব তা দেখব।

পূর্বশর্ত

কমপক্ষে 8 GB RAM সহ CentOS 2 চলমান সার্ভার।
মূল গমন

শুরু করা

প্রথমে সিস্টেম আপডেট করার পরামর্শ দেওয়া হয়। এটি করতে, নিম্নলিখিত কমান্ডটি চালান।

dnf update -y

আপডেট করার পরে, পরিবর্তনগুলি কার্যকর হওয়ার জন্য আপনার সিস্টেম পুনরায় চালু করুন৷

AIDE ইনস্টল করা হচ্ছে

AIDE ডিফল্ট CentOS 8 সংগ্রহস্থলে উপলব্ধ। আপনি নিম্নলিখিত কমান্ডটি চালিয়ে এটি সহজেই ইনস্টল করতে পারেন:

dnf install aide -y

ইনস্টলেশন সম্পূর্ণ হলে, আপনি নিম্নলিখিত কমান্ড ব্যবহার করে AIDE সংস্করণ দেখতে পারেন:

aide --version

আপনি নিম্নলিখিত দেখতে হবে:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

উপলব্ধ বিকল্প aide নিম্নলিখিত হিসাবে দেখা যেতে পারে:

aide --help

ডাটাবেস তৈরি এবং শুরু করা

AIDE ইন্সটল করার পর আপনাকে প্রথমে যা করতে হবে তা হল এটিকে আরম্ভ করা। প্রারম্ভিকতা সার্ভারে সমস্ত ফাইল এবং ডিরেক্টরিগুলির একটি ডাটাবেস (স্ন্যাপশট) তৈরি করে।

ডাটাবেস শুরু করতে, নিম্নলিখিত কমান্ডটি চালান:

aide --init

আপনি নিম্নলিখিত দেখতে হবে:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

উপরের কমান্ডটি একটি নতুন ডাটাবেস তৈরি করবে aide.db.new.gz ক্যাটালগে /var/lib/aide. এটি নিম্নলিখিত কমান্ড ব্যবহার করে দেখা যেতে পারে:

ls -l /var/lib/aide

ফলাফল:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE এই নতুন ডাটাবেস ফাইলটি ব্যবহার করবে না যতক্ষণ না এটির নাম পরিবর্তন করা হয় aide.db.gz. ইহা এভাবে করা যাবে:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

এটি সুপারিশ করা হয় যে পরিবর্তনগুলি সঠিকভাবে পর্যবেক্ষণ করা হয়েছে তা নিশ্চিত করতে আপনি এই ডাটাবেসটি পর্যায়ক্রমে আপডেট করুন৷

আপনি প্যারামিটার পরিবর্তন করে ডাটাবেসের অবস্থান পরিবর্তন করতে পারেন DBDIR ফাইলে /etc/aide.conf.

একটি স্ক্যান চলমান

AIDE এখন নতুন ডাটাবেস ব্যবহার করার জন্য প্রস্তুত। কোনো পরিবর্তন না করেই প্রথম AIDE চেক চালান:

aide --check

আপনার ফাইল সিস্টেমের আকার এবং আপনার সার্ভারে RAM এর পরিমাণের উপর নির্ভর করে এই কমান্ডটি সম্পূর্ণ হতে কিছু সময় নেবে। একবার স্ক্যান সম্পূর্ণ হলে আপনাকে নিম্নলিখিতগুলি দেখতে হবে:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

উপরের আউটপুট বলে যে সমস্ত ফাইল এবং ডিরেক্টরি AIDE ডাটাবেসের সাথে মেলে।

পরীক্ষা AIDE

ডিফল্টরূপে, AIDE ডিফল্ট Apache রুট ডিরেক্টরি ট্র্যাক করে না /var/www/html. এটি দেখতে AIDE কনফিগার করা যাক। এটি করার জন্য আপনাকে ফাইলটি পরিবর্তন করতে হবে /etc/aide.conf.

nano /etc/aide.conf

উপরের লাইন যোগ করুন "/root/CONTENT_EX" নিম্নলিখিত:

/var/www/html/ CONTENT_EX

পরবর্তী, একটি ফাইল তৈরি করুন aide.txt ক্যাটালগে /var/www/html/নিম্নলিখিত কমান্ড ব্যবহার করে:

echo "Test AIDE" > /var/www/html/aide.txt

এখন AIDE চেকটি চালান এবং নিশ্চিত করুন যে তৈরি করা ফাইলটি সনাক্ত করা হয়েছে।

aide --check

আপনি নিম্নলিখিত দেখতে হবে:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

আমরা দেখি যে তৈরি করা ফাইলটি সনাক্ত করা হয়েছে aide.txt.
সনাক্ত করা পরিবর্তনগুলি বিশ্লেষণ করার পরে, AIDE ডাটাবেস আপডেট করুন।

aide --update

আপডেটের পরে আপনি নিম্নলিখিত দেখতে পাবেন:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

উপরের কমান্ডটি একটি নতুন ডাটাবেস তৈরি করবে aide.db.new.gz ক্যাটালগে

/var/lib/aide/

আপনি নিম্নলিখিত কমান্ড দিয়ে এটি দেখতে পারেন:

ls -l /var/lib/aide/

ফলাফল:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

এখন নতুন ডাটাবেসের নাম পরিবর্তন করুন যাতে AIDE আরও পরিবর্তনগুলি ট্র্যাক করতে নতুন ডাটাবেস ব্যবহার করে। আপনি এটির নাম পরিবর্তন করতে পারেন:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE নতুন ডাটাবেস ব্যবহার করছে তা নিশ্চিত করতে আবার চেক চালান:

aide --check

আপনি নিম্নলিখিত দেখতে হবে:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

আমরা চেক স্বয়ংক্রিয়

প্রতিদিন একটি AIDE চেক চালানো এবং প্রতিবেদনটি মেল করা একটি ভাল ধারণা। এই প্রক্রিয়াটি ক্রোন ব্যবহার করে স্বয়ংক্রিয় হতে পারে।

nano /etc/crontab

প্রতিদিন 10:15 এ AIDE চেক চালানোর জন্য, ফাইলের শেষে নিম্নলিখিত লাইনটি যোগ করুন:

15 10 * * * root /usr/sbin/aide --check

AIDE এখন আপনাকে মেইলের মাধ্যমে অবহিত করবে। আপনি নিম্নলিখিত কমান্ড দিয়ে আপনার মেল চেক করতে পারেন:

tail -f /var/mail/root

AIDE লগ নিম্নলিখিত কমান্ড ব্যবহার করে দেখা যেতে পারে:

tail -f /var/log/aide/aide.log

উপসংহার

এই নিবন্ধে, আপনি শিখেছেন কীভাবে ফাইলের পরিবর্তনগুলি সনাক্ত করতে এবং অননুমোদিত সার্ভার অ্যাক্সেস সনাক্ত করতে AIDE ব্যবহার করতে হয়৷ অতিরিক্ত সেটিংসের জন্য, আপনি /etc/aide.conf কনফিগারেশন ফাইল সম্পাদনা করতে পারেন। নিরাপত্তার কারণে, ডাটাবেস এবং কনফিগারেশন ফাইল শুধুমাত্র পঠনযোগ্য মিডিয়াতে সংরক্ষণ করার সুপারিশ করা হয়। আরও তথ্য ডকুমেন্টেশন পাওয়া যাবে AIDE ডক.

কোর্স সম্পর্কে আরও জানুন.

উত্স: www.habr.com

CentOS 8 এ AIDE (অ্যাডভান্সড ইনট্রুশন ডিটেকশন এনভায়রনমেন্ট) কিভাবে ইনস্টল ও ব্যবহার করবেন

পূর্বশর্ত

শুরু করা

AIDE ইনস্টল করা হচ্ছে

ডাটাবেস তৈরি এবং শুরু করা

একটি স্ক্যান চলমান

পরীক্ষা AIDE

আমরা চেক স্বয়ংক্রিয়

উপসংহার

একটি মন্তব্য জুড়ুন উত্তর বাতিল