ProHoster > Блог > Administracija > Kako instalirati i koristiti AIDE (Advanced Intrusion Detection Environment) na CentOS 8

Kako instalirati i koristiti AIDE (Advanced Intrusion Detection Environment) na CentOS 8

Prije početka kursa "Linux administrator" Pripremili smo prijevod zanimljivog materijala.

Kako instalirati i koristiti AIDE (Advanced Intrusion Detection Environment) na CentOS 8

AIDE je skraćenica za “Advanced Intrusion Detection Environment” i jedan je od najpopularnijih sistema za praćenje promjena u operativnim sistemima baziranim na Linuxu. AIDE se koristi za zaštitu od zlonamjernog softvera, virusa i otkrivanje neovlaštenih aktivnosti. Za provjeru integriteta datoteke i otkrivanje upada, AIDE kreira bazu podataka o datotekama i upoređuje trenutno stanje sistema sa ovom bazom podataka. AIDE pomaže u smanjenju vremena istrage incidenta fokusirajući se na fajlove koji su izmijenjeni.

AIDE karakteristike:

  • Podržava različite atribute datoteke, uključujući: tip datoteke, inode, uid, gid, dozvole, broj veza, mtime, ctime i atime.
  • Podrška za Gzip kompresiju, SELinux, XAttrs, Posix ACL i atribute sistema datoteka.
  • Podržava različite algoritme uključujući md5, sha1, sha256, sha512, rmd160, crc32, itd.
  • Slanje obavještenja putem e-pošte.

U ovom članku ćemo pogledati kako instalirati i koristiti AIDE za otkrivanje upada na CentOS 8.

Preduslovi

  • Server koji pokreće CentOS 8, sa najmanje 2 GB RAM-a.
  • root pristup

Getting started

Preporučuje se prvo ažuriranje sistema. Da biste to učinili, pokrenite sljedeću naredbu.

dnf update -y

Nakon ažuriranja, ponovo pokrenite sistem kako bi promjene stupile na snagu.

Instaliranje AIDE

AIDE je dostupan u zadanom spremištu CentOS 8. Možete ga jednostavno instalirati pokretanjem sljedeće naredbe:

dnf install aide -y

Kada se instalacija završi, možete pogledati AIDE verziju koristeći sljedeću naredbu:

aide --version

Trebali biste vidjeti sljedeće:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Dostupne opcije aide može se posmatrati na sledeći način:

aide --help

Kako instalirati i koristiti AIDE (Advanced Intrusion Detection Environment) na CentOS 8

Kreiranje i inicijalizacija baze podataka

Prva stvar koju trebate učiniti nakon instaliranja AIDE je da ga inicijalizirate. Inicijalizacija se sastoji od kreiranja baze podataka (snimka) svih datoteka i direktorija na serveru.

Da biste inicijalizirali bazu podataka, pokrenite sljedeću naredbu:

aide --init

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Gornja komanda će kreirati novu bazu podataka aide.db.new.gz u katalogu /var/lib/aide. To se može vidjeti korištenjem sljedeće naredbe:

ls -l /var/lib/aide

Rezultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE neće koristiti ovu novu datoteku baze podataka dok se ne preimenuje u aide.db.gz. To se može uraditi na sljedeći način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Preporučuje se da povremeno ažurirate ovu bazu podataka kako biste osigurali da se promjene pravilno prate.

Možete promijeniti lokaciju baze podataka promjenom parametra DBDIR u fajlu /etc/aide.conf.

Pokretanje skeniranja

AIDE je sada spreman za korištenje nove baze podataka. Pokrenite prvu AIDE provjeru bez ikakvih promjena:

aide --check

Za dovršenje ove naredbe trebat će neko vrijeme u zavisnosti od veličine vašeg sistema datoteka i količine RAM-a na vašem serveru. Kada se skeniranje završi, trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Gornji izlaz kaže da sve datoteke i direktoriji odgovaraju AIDE bazi podataka.

Testing AIDE

Po defaultu, AIDE ne prati zadani korijenski direktorij Apachea /var/www/html. Konfigurirajmo AIDE da ga vidi. Da biste to učinili, morate promijeniti datoteku /etc/aide.conf.

nano /etc/aide.conf

Dodajte gornji red "/root/CONTENT_EX" sledeće:

/var/www/html/ CONTENT_EX

Zatim kreirajte datoteku aide.txt u katalogu /var/www/html/koristeći sljedeću naredbu:

echo "Test AIDE" > /var/www/html/aide.txt

Sada pokrenite AIDE provjeru i uvjerite se da je kreirana datoteka otkrivena.

aide --check

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vidimo da je kreirana datoteka otkrivena aide.txt.
Nakon analize otkrivenih promjena, ažurirajte AIDE bazu podataka.

aide --update

Nakon ažuriranja vidjet ćete sljedeće:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Gornja komanda će kreirati novu bazu podataka aide.db.new.gz u katalogu 

/var/lib/aide/

Možete ga vidjeti sljedećom komandom:

ls -l /var/lib/aide/

Rezultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sada ponovo preimenujte novu bazu podataka tako da AIDE koristi novu bazu podataka za praćenje daljih promjena. Možete ga preimenovati na sljedeći način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ponovo pokrenite provjeru kako biste bili sigurni da AIDE koristi novu bazu podataka:

aide --check

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Automatiziramo provjeru

Dobra je ideja pokrenuti AIDE provjeru svaki dan i poslati izvještaj poštom. Ovaj proces se može automatizirati korištenjem cron-a.

nano /etc/crontab

Da biste pokrenuli AIDE provjeru svaki dan u 10:15, dodajte sljedeći red na kraj datoteke:

15 10 * * * root /usr/sbin/aide --check

AIDE će vas sada obavijestiti poštom. Svoju poštu možete provjeriti sljedećom komandom:

tail -f /var/mail/root

AIDE dnevnik se može pogledati pomoću sljedeće naredbe:

tail -f /var/log/aide/aide.log

zaključak

U ovom članku naučili ste kako koristiti AIDE za otkrivanje promjena datoteka i identificiranje neovlaštenog pristupa serveru. Za dodatna podešavanja, možete urediti /etc/aide.conf konfiguracioni fajl. Iz sigurnosnih razloga, preporučuje se pohranjivanje baze podataka i konfiguracijske datoteke na mediju samo za čitanje. Više informacija možete pronaći u dokumentaciji AIDE Doc.

Saznajte više o kursu.

izvor: www.habr.com

Dodajte komentar