Abans de l'inici del curs
AIDE significa "Advanced Intrusion Detection Environment" i és un dels sistemes més populars per supervisar els canvis en sistemes operatius basats en Linux. AIDE s'utilitza per protegir contra programari maliciós, virus i detectar activitats no autoritzades. Per verificar la integritat del fitxer i detectar intrusions, AIDE crea una base de dades d'informació del fitxer i compara l'estat actual del sistema amb aquesta base de dades. AIDE ajuda a reduir el temps d'investigació d'incidències centrant-se en els fitxers que s'han modificat.
Característiques d'AIDE:
- Admet diversos atributs de fitxer, com ara: tipus de fitxer, inode, uid, gid, permisos, nombre d'enllaços, mtime, ctime i atime.
- Suport per a la compressió Gzip, SELinux, XAttrs, Posix ACL i els atributs del sistema de fitxers.
- Admet diversos algorismes com md5, sha1, sha256, sha512, rmd160, crc32, etc.
- Enviament de notificacions per correu electrònic.
En aquest article, veurem com instal·lar i utilitzar AIDE per a la detecció d'intrusions a CentOS 8.
Requisits previs
- Servidor amb CentOS 8, amb almenys 2 GB de RAM.
- accés root
Introducció
Es recomana actualitzar primer el sistema. Per fer-ho, executeu l'ordre següent.
dnf update -y
Després de l'actualització, reinicieu el sistema perquè els canvis tinguin efecte.
Instal·lació d'AIDE
AIDE està disponible al repositori predeterminat de CentOS 8. Podeu instal·lar-lo fàcilment executant l'ordre següent:
dnf install aide -y
Un cop finalitzada la instal·lació, podeu veure la versió d'AIDE mitjançant l'ordre següent:
aide --version
Hauríeu de veure el següent:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Opcions disponibles aide
es pot veure de la següent manera:
aide --help
Creació i inicialització de la base de dades
El primer que heu de fer després d'instal·lar AIDE és inicialitzar-lo. La inicialització consisteix a crear una base de dades (snapshot) de tots els fitxers i directoris del servidor.
Per inicialitzar la base de dades, executeu l'ordre següent:
aide --init
Hauríeu de veure el següent:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
L'ordre anterior crearà una nova base de dades aide.db.new.gz
al catàleg /var/lib/aide
. Es pot veure amb la següent comanda:
ls -l /var/lib/aide
Resultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE no utilitzarà aquest nou fitxer de base de dades fins que se li canviï el nom aide.db.gz
. Això es pot fer de la següent manera:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Es recomana que actualitzeu aquesta base de dades periòdicament per assegurar-vos que els canvis es supervisen correctament.
Podeu canviar la ubicació de la base de dades canviant el paràmetre DBDIR
a l'arxiu /etc/aide.conf
.
Execució d'una exploració
AIDE ja està llest per utilitzar la nova base de dades. Executeu la primera comprovació AIDE sense fer cap canvi:
aide --check
Aquesta ordre trigarà un temps a completar-se depenent de la mida del vostre sistema de fitxers i de la quantitat de memòria RAM del vostre servidor. Un cop finalitzada l'escaneig, hauríeu de veure el següent:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
La sortida anterior diu que tots els fitxers i directoris coincideixen amb la base de dades AIDE.
Prova AIDE
Per defecte, AIDE no fa un seguiment del directori arrel d'Apache per defecte /var/www/html.
Configurem AIDE per veure'l. Per fer-ho, cal canviar el fitxer /etc/aide.conf
.
nano /etc/aide.conf
Afegeix la línia superior "/root/CONTENT_EX"
el següent:
/var/www/html/ CONTENT_EX
A continuació, creeu un fitxer aide.txt
al catàleg /var/www/html/
utilitzant la següent comanda:
echo "Test AIDE" > /var/www/html/aide.txt
Ara executeu la comprovació AIDE i assegureu-vos que es detecti el fitxer creat.
aide --check
Hauríeu de veure el següent:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Veiem que es detecta el fitxer creat aide.txt
.
Després d'analitzar els canvis detectats, actualitzeu la base de dades AIDE.
aide --update
Després de l'actualització, veureu el següent:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
L'ordre anterior crearà una nova base de dades aide.db.new.gz
al catàleg
/var/lib/aide/
Podeu veure-ho amb la següent comanda:
ls -l /var/lib/aide/
Resultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Ara canvieu el nom de la nova base de dades de nou perquè AIDE utilitzi la nova base de dades per fer un seguiment dels canvis posteriors. Podeu canviar-li el nom de la següent manera:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Torna a executar la comprovació per assegurar-te que AIDE està utilitzant la nova base de dades:
aide --check
Hauríeu de veure el següent:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Automatitzem el control
És una bona idea fer una comprovació AIDE cada dia i enviar l'informe per correu. Aquest procés es pot automatitzar mitjançant cron.
nano /etc/crontab
Per executar la comprovació AIDE cada dia a les 10:15, afegiu la línia següent al final del fitxer:
15 10 * * * root /usr/sbin/aide --check
Ara AIDE us notificarà per correu. Podeu comprovar el vostre correu amb l'ordre següent:
tail -f /var/mail/root
El registre d'AIDE es pot veure amb l'ordre següent:
tail -f /var/log/aide/aide.log
Conclusió
En aquest article, heu après com utilitzar AIDE per detectar canvis de fitxers i identificar l'accés no autoritzat al servidor. Per a opcions addicionals, podeu editar el fitxer de configuració /etc/aide.conf. Per motius de seguretat, es recomana emmagatzemar la base de dades i el fitxer de configuració en suports de només lectura. Podeu trobar més informació a la documentació
Font: www.habr.com