Abans de l'inici del curs Hem preparat una traducció de material interessant.
AIDE significa "Advanced Intrusion Detection Environment" i és un dels sistemes més populars per supervisar els canvis en sistemes operatius basats en Linux. AIDE s'utilitza per protegir contra programari maliciós, virus i detectar activitats no autoritzades. Per verificar la integritat del fitxer i detectar intrusions, AIDE crea una base de dades d'informació del fitxer i compara l'estat actual del sistema amb aquesta base de dades. AIDE ajuda a reduir el temps d'investigació d'incidències centrant-se en els fitxers que s'han modificat.
Característiques d'AIDE:
- Admet diversos atributs de fitxer, com ara: tipus de fitxer, inode, uid, gid, permisos, nombre d'enllaços, mtime, ctime i atime.
- Suport per a la compressió Gzip, SELinux, XAttrs, Posix ACL i els atributs del sistema de fitxers.
- Admet diversos algorismes com md5, sha1, sha256, sha512, rmd160, crc32, etc.
- Enviament de notificacions per correu electrònic.
En aquest article, veurem com instal·lar i utilitzar AIDE per a la detecció d'intrusions a CentOS 8.
Requisits previs
- Servidor amb CentOS 8, amb almenys 2 GB de RAM.
- accés root
Introducció
Es recomana actualitzar primer el sistema. Per fer-ho, executeu l'ordre següent.
dnf update -yDesprés de l'actualització, reinicieu el sistema perquè els canvis tinguin efecte.
Instal·lació d'AIDE
AIDE està disponible al repositori predeterminat de CentOS 8. Podeu instal·lar-lo fàcilment executant l'ordre següent:
dnf install aide -yUn cop finalitzada la instal·lació, podeu veure la versió d'AIDE mitjançant l'ordre següent:
aide --versionHauríeu de veure el següent:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Opcions disponibles aide es pot veure de la següent manera:
aide --help
Creació i inicialització de la base de dades
El primer que heu de fer després d'instal·lar AIDE és inicialitzar-lo. La inicialització consisteix a crear una base de dades (snapshot) de tots els fitxers i directoris del servidor.
Per inicialitzar la base de dades, executeu l'ordre següent:
aide --initHauríeu de veure el següent:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
L'ordre anterior crearà una nova base de dades aide.db.new.gz al catàleg /var/lib/aide. Es pot veure amb la següent comanda:
ls -l /var/lib/aideResultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE no utilitzarà aquest nou fitxer de base de dades fins que se li canviï el nom aide.db.gz. Això es pot fer de la següent manera:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzEs recomana que actualitzeu aquesta base de dades periòdicament per assegurar-vos que els canvis es supervisen correctament.
Podeu canviar la ubicació de la base de dades canviant el paràmetre DBDIR a l'arxiu /etc/aide.conf.
Execució d'una exploració
AIDE ja està llest per utilitzar la nova base de dades. Executeu la primera comprovació AIDE sense fer cap canvi:
aide --checkAquesta ordre trigarà un temps a completar-se depenent de la mida del vostre sistema de fitxers i de la quantitat de memòria RAM del vostre servidor. Un cop finalitzada l'escaneig, hauríeu de veure el següent:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!La sortida anterior diu que tots els fitxers i directoris coincideixen amb la base de dades AIDE.
Prova AIDE
Per defecte, AIDE no fa un seguiment del directori arrel d'Apache per defecte /var/www/html. Configurem AIDE per veure'l. Per fer-ho, cal canviar el fitxer /etc/aide.conf.
nano /etc/aide.conf
Afegeix la línia superior "/root/CONTENT_EX" el següent:
/var/www/html/ CONTENT_EX
A continuació, creeu un fitxer aide.txt al catàleg /var/www/html/utilitzant la següent comanda:
echo "Test AIDE" > /var/www/html/aide.txtAra executeu la comprovació AIDE i assegureu-vos que es detecti el fitxer creat.
aide --checkHauríeu de veure el següent:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Veiem que es detecta el fitxer creat aide.txt.
Després d'analitzar els canvis detectats, actualitzeu la base de dades AIDE.
aide --updateDesprés de l'actualització, veureu el següent:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
L'ordre anterior crearà una nova base de dades aide.db.new.gz al catàleg
/var/lib/aide/Podeu veure-ho amb la següent comanda:
ls -l /var/lib/aide/Resultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzAra canvieu el nom de la nova base de dades de nou perquè AIDE utilitzi la nova base de dades per fer un seguiment dels canvis posteriors. Podeu canviar-li el nom de la següent manera:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzTorna a executar la comprovació per assegurar-te que AIDE està utilitzant la nova base de dades:
aide --checkHauríeu de veure el següent:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Automatitzem el control
És una bona idea fer una comprovació AIDE cada dia i enviar l'informe per correu. Aquest procés es pot automatitzar mitjançant cron.
nano /etc/crontabPer executar la comprovació AIDE cada dia a les 10:15, afegiu la línia següent al final del fitxer:
15 10 * * * root /usr/sbin/aide --checkAra AIDE us notificarà per correu. Podeu comprovar el vostre correu amb l'ordre següent:
tail -f /var/mail/rootEl registre d'AIDE es pot veure amb l'ordre següent:
tail -f /var/log/aide/aide.logConclusió
En aquest article, heu après com utilitzar AIDE per detectar canvis de fitxers i identificar l'accés no autoritzat al servidor. Per a opcions addicionals, podeu editar el fitxer de configuració /etc/aide.conf. Per motius de seguretat, es recomana emmagatzemar la base de dades i el fitxer de configuració en suports de només lectura. Podeu trobar més informació a la documentació .
Font: www.habr.com