Prije početka kursa
AIDE je skraćenica za “Advanced Intrusion Detection Environment” i jedan je od najpopularnijih sistema za praćenje promjena u operativnim sistemima baziranim na Linuxu. AIDE se koristi za zaštitu od zlonamjernog softvera, virusa i otkrivanje neovlaštenih aktivnosti. Za provjeru integriteta datoteke i otkrivanje upada, AIDE kreira bazu podataka o datotekama i upoređuje trenutno stanje sistema sa ovom bazom podataka. AIDE pomaže u smanjenju vremena istrage incidenta fokusirajući se na fajlove koji su izmijenjeni.
AIDE karakteristike:
- Podržava različite atribute datoteke, uključujući: tip datoteke, inode, uid, gid, dozvole, broj veza, mtime, ctime i atime.
- Podrška za Gzip kompresiju, SELinux, XAttrs, Posix ACL i atribute sistema datoteka.
- Podržava različite algoritme uključujući md5, sha1, sha256, sha512, rmd160, crc32, itd.
- Slanje obavještenja putem e-pošte.
U ovom članku ćemo pogledati kako instalirati i koristiti AIDE za otkrivanje upada na CentOS 8.
Preduslovi
- Server koji pokreće CentOS 8, sa najmanje 2 GB RAM-a.
- root pristup
Getting started
Preporučuje se prvo ažuriranje sistema. Da biste to učinili, pokrenite sljedeću naredbu.
dnf update -y
Nakon ažuriranja, ponovo pokrenite sistem kako bi promjene stupile na snagu.
Instaliranje AIDE
AIDE je dostupan u zadanom spremištu CentOS 8. Možete ga jednostavno instalirati pokretanjem sljedeće naredbe:
dnf install aide -y
Kada se instalacija završi, možete pogledati AIDE verziju koristeći sljedeću naredbu:
aide --version
Trebali biste vidjeti sljedeće:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Dostupne opcije aide
može se posmatrati na sledeći način:
aide --help
Kreiranje i inicijalizacija baze podataka
Prva stvar koju trebate učiniti nakon instaliranja AIDE je da ga inicijalizirate. Inicijalizacija se sastoji od kreiranja baze podataka (snimka) svih datoteka i direktorija na serveru.
Da biste inicijalizirali bazu podataka, pokrenite sljedeću naredbu:
aide --init
Trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Gornja komanda će kreirati novu bazu podataka aide.db.new.gz
u katalogu /var/lib/aide
. To se može vidjeti korištenjem sljedeće naredbe:
ls -l /var/lib/aide
Rezultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE neće koristiti ovu novu datoteku baze podataka dok se ne preimenuje u aide.db.gz
. To se može uraditi na sljedeći način:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Preporučuje se da povremeno ažurirate ovu bazu podataka kako biste osigurali da se promjene pravilno prate.
Možete promijeniti lokaciju baze podataka promjenom parametra DBDIR
u fajlu /etc/aide.conf
.
Pokretanje skeniranja
AIDE je sada spreman za korištenje nove baze podataka. Pokrenite prvu AIDE provjeru bez ikakvih promjena:
aide --check
Za dovršenje ove naredbe trebat će neko vrijeme u zavisnosti od veličine vašeg sistema datoteka i količine RAM-a na vašem serveru. Kada se skeniranje završi, trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Gornji izlaz kaže da sve datoteke i direktoriji odgovaraju AIDE bazi podataka.
Testing AIDE
Po defaultu, AIDE ne prati zadani korijenski direktorij Apachea /var/www/html.
Konfigurirajmo AIDE da ga vidi. Da biste to učinili, morate promijeniti datoteku /etc/aide.conf
.
nano /etc/aide.conf
Dodajte gornji red "/root/CONTENT_EX"
sledeće:
/var/www/html/ CONTENT_EX
Zatim kreirajte datoteku aide.txt
u katalogu /var/www/html/
koristeći sljedeću naredbu:
echo "Test AIDE" > /var/www/html/aide.txt
Sada pokrenite AIDE provjeru i uvjerite se da je kreirana datoteka otkrivena.
aide --check
Trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Vidimo da je kreirana datoteka otkrivena aide.txt
.
Nakon analize otkrivenih promjena, ažurirajte AIDE bazu podataka.
aide --update
Nakon ažuriranja vidjet ćete sljedeće:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Gornja komanda će kreirati novu bazu podataka aide.db.new.gz
u katalogu
/var/lib/aide/
Možete ga vidjeti sljedećom komandom:
ls -l /var/lib/aide/
Rezultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Sada ponovo preimenujte novu bazu podataka tako da AIDE koristi novu bazu podataka za praćenje daljih promjena. Možete ga preimenovati na sljedeći način:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Ponovo pokrenite provjeru kako biste bili sigurni da AIDE koristi novu bazu podataka:
aide --check
Trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Automatiziramo provjeru
Dobra je ideja pokrenuti AIDE provjeru svaki dan i poslati izvještaj poštom. Ovaj proces se može automatizirati korištenjem cron-a.
nano /etc/crontab
Da biste pokrenuli AIDE provjeru svaki dan u 10:15, dodajte sljedeći red na kraj datoteke:
15 10 * * * root /usr/sbin/aide --check
AIDE će vas sada obavijestiti poštom. Svoju poštu možete provjeriti sljedećom komandom:
tail -f /var/mail/root
AIDE dnevnik se može pogledati pomoću sljedeće naredbe:
tail -f /var/log/aide/aide.log
zaključak
U ovom članku naučili ste kako koristiti AIDE za otkrivanje promjena datoteka i identificiranje neovlaštenog pristupa serveru. Za dodatna podešavanja, možete urediti /etc/aide.conf konfiguracioni fajl. Iz sigurnosnih razloga, preporučuje se pohranjivanje baze podataka i konfiguracijske datoteke na mediju samo za čitanje. Više informacija možete pronaći u dokumentaciji
izvor: www.habr.com