ProHoster > Блог > Administracija > Kako instalirati i koristiti AIDE (Napredno okruženje za detekciju upada) u CentOS 8

Kako instalirati i koristiti AIDE (Napredno okruženje za detekciju upada) u CentOS 8

Prije početka kursa „Administrator Linux» Pripremili smo prijevod zanimljivog materijala.

Kako instalirati i koristiti AIDE (Napredno okruženje za detekciju upada) u CentOS 8

AIDE расшифровывается как “Advanced Intrusion Detection Environment” (усовершенствованная система обнаружения вторжений) — это одна из самых популярных систем для мониторинга изменений в операционных системах на базе Linux. AIDE используется для защиты от вредоносных программ, вирусов и обнаружения несанкционированных действий. Для проверки целостности файлов и обнаружения вторжений AIDE создает базу данных с информацией о файлах и сравнивает текущее состояние системы с этой базой. AIDE помогает сократить время расследования инцидентов, сосредоточившись на файлах, которые были изменены.

AIDE karakteristike:

  • Podržava različite atribute datoteke, uključujući: tip datoteke, inode, uid, gid, dozvole, broj veza, mtime, ctime i atime.
  • Поддержка сжатия Gzip, SELinux, XAttrs, Posix ACL и атрибутов файловой системы.
  • Podržava različite algoritme uključujući md5, sha1, sha256, sha512, rmd160, crc32, itd.
  • Slanje obavještenja putem e-pošte.

В этой статье мы рассмотрим, как установить и использовать AIDE для обнаружения вторжений в CentOS 8.

Preduslovi

  • Сервер под управлением CentOS 8, минимум с 2 ГБ оперативной памяти.
  • root pristup

Getting started

Preporučuje se prvo ažuriranje sistema. Da biste to učinili, pokrenite sljedeću naredbu.

dnf update -y

Nakon ažuriranja, ponovo pokrenite sistem kako bi promjene stupile na snagu.

Instaliranje AIDE

AIDE доступен в дефолтном репозитории CentOS 8. Вы можете ее легко установить, выполнив следующую команду:

dnf install aide -y

Kada se instalacija završi, možete pogledati AIDE verziju koristeći sljedeću naredbu:

aide --version

Trebali biste vidjeti sljedeće:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Dostupne opcije aide može se posmatrati na sledeći način:

aide --help

Kako instalirati i koristiti AIDE (Napredno okruženje za detekciju upada) u CentOS 8

Kreiranje i inicijalizacija baze podataka

Prva stvar koju trebate učiniti nakon instaliranja AIDE je da ga inicijalizirate. Inicijalizacija se sastoji od kreiranja baze podataka (snimka) svih datoteka i direktorija na serveru.

Da biste inicijalizirali bazu podataka, pokrenite sljedeću naredbu:

aide --init

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Gornja komanda će kreirati novu bazu podataka aide.db.new.gz u katalogu /var/lib/aide. To se može vidjeti korištenjem sljedeće naredbe:

ls -l /var/lib/aide

Rezultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE neće koristiti ovu novu datoteku baze podataka dok se ne preimenuje u aide.db.gz. To se može uraditi na sljedeći način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Preporučuje se da povremeno ažurirate ovu bazu podataka kako biste osigurali da se promjene pravilno prate.

Možete promijeniti lokaciju baze podataka promjenom parametra DBDIR u fajlu /etc/aide.conf.

Pokretanje skeniranja

AIDE je sada spreman za korištenje nove baze podataka. Pokrenite prvu AIDE provjeru bez ikakvih promjena:

aide --check

Za dovršenje ove naredbe trebat će neko vrijeme u zavisnosti od veličine vašeg sistema datoteka i količine RAM-a na vašem serveru. Kada se skeniranje završi, trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Gornji izlaz kaže da sve datoteke i direktoriji odgovaraju AIDE bazi podataka.

Testing AIDE

Po defaultu, AIDE ne prati zadani korijenski direktorij Apachea /var/www/html. Konfigurirajmo AIDE da ga vidi. Da biste to učinili, morate promijeniti datoteku /etc/aide.conf.

nano /etc/aide.conf

Dodajte gornji red "/root/CONTENT_EX" sledeće:

/var/www/html/ CONTENT_EX

Zatim kreirajte datoteku aide.txt u katalogu /var/www/html/koristeći sljedeću naredbu:

echo "Test AIDE" > /var/www/html/aide.txt

Sada pokrenite AIDE provjeru i uvjerite se da je kreirana datoteka otkrivena.

aide --check

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vidimo da je kreirana datoteka otkrivena aide.txt.
Nakon analize otkrivenih promjena, ažurirajte AIDE bazu podataka.

aide --update

Nakon ažuriranja vidjet ćete sljedeće:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Gornja komanda će kreirati novu bazu podataka aide.db.new.gz u katalogu

/var/lib/aide/

Možete ga vidjeti sljedećom komandom:

ls -l /var/lib/aide/

Rezultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sada ponovo preimenujte novu bazu podataka tako da AIDE koristi novu bazu podataka za praćenje daljih promjena. Možete ga preimenovati na sljedeći način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ponovo pokrenite provjeru kako biste bili sigurni da AIDE koristi novu bazu podataka:

aide --check

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Automatiziramo provjeru

Dobra je ideja pokrenuti AIDE provjeru svaki dan i poslati izvještaj poštom. Ovaj proces se može automatizirati korištenjem cron-a.

nano /etc/crontab

Da biste pokrenuli AIDE provjeru svaki dan u 10:15, dodajte sljedeći red na kraj datoteke:

15 10 * * * root /usr/sbin/aide --check

AIDE će vas sada obavijestiti poštom. Svoju poštu možete provjeriti sljedećom komandom:

tail -f /var/mail/root

AIDE dnevnik se može pogledati pomoću sljedeće naredbe:

tail -f /var/log/aide/aide.log

zaključak

U ovom članku naučili ste kako koristiti AIDE za otkrivanje promjena datoteka i identificiranje neovlaštenog pristupa serveru. Za dodatna podešavanja, možete urediti /etc/aide.conf konfiguracioni fajl. Iz sigurnosnih razloga, preporučuje se pohranjivanje baze podataka i konfiguracijske datoteke na mediju samo za čitanje. Više informacija možete pronaći u dokumentaciji AIDEDoc.

Saznajte više o kursu.

izvor: www.habr.com

Kupite pouzdan hosting za sajtove sa DDoS zaštitom, VPS VDS servere 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster