Sa wala pa magsugod ang kurso Nag-andam kami ug usa ka hubad sa makaiikag nga materyal.
Ang AIDE nagpasabot og "Advanced Intrusion Detection Environment" ug usa sa pinakasikat nga sistema para sa pagmonitor sa mga pagbag-o sa mga operating system base sa LinuxAng AIDE gigamit aron mapanalipdan batok sa malware ug mga virus ug makamatikod sa mga wala gitugutan nga aksyon. Aron mapamatud-an ang integridad sa file ug makamatikod sa mga pagpanghilabot, ang AIDE naghimo og database sa impormasyon sa file ug gitandi ang kasamtangang kahimtang sa sistema niini nga database. Ang AIDE makatabang sa pagpakunhod sa oras sa imbestigasyon sa insidente pinaagi sa pag-focus sa mga file nga giusab.
Mga bahin sa AIDE:
- Nagsuporta sa lainlaing mga hiyas sa file, lakip ang: tipo sa file, inode, uid, gid, pagtugot, gidaghanon sa mga link, mtime, ctime ug oras.
- Suporta para sa Gzip, SE compressionLinux, XAttrs, Posix ACLs ug mga hiyas sa file system.
- Nagsuporta sa lainlaing mga algorithm lakip ang md5, sha1, sha256, sha512, rmd160, crc32, ug uban pa.
- Pagpadala mga pahibalo pinaagi sa email.
Niini nga artikulo, atong tan-awon kon unsaon pag-install ug paggamit sa AIDE para sa intrusion detection sa... CentOS 8.
Mga kinahanglanon
- Server ubos sa pagdumala CentOS 8, nga adunay labing menos 2GB nga RAM.
- pag-access sa gamut
Pagsugod
Girekomenda nga i-update una ang sistema. Aron mahimo kini, pagdagan ang mosunud nga mando.
dnf update -yPagkahuman sa pag-update, i-restart ang imong sistema aron ma-epekto ang mga pagbag-o.
Pag-instalar sa AIDE
Ang AIDE anaa sa default nga repository. CentOS 8. Dali ra nimo kining ma-install pinaagi sa pagpadagan sa mosunod nga sugo:
dnf install aide -yKung kompleto na ang pag-install, mahimo nimong tan-awon ang bersyon sa AIDE gamit ang mosunud nga mando:
aide --versionKinahanglan nimong makita ang mosunod:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf" Anaa nga mga kapilian aide mahimong tan-awon sama sa mosunod:
aide --help 
Paghimo ug pagsugod sa database
Ang unang butang nga kinahanglan nimong buhaton human ma-install ang AIDE mao ang pagsugod niini. Ang pagsugod naglangkob sa paghimo sa usa ka database (snapshot) sa tanan nga mga file ug mga direktoryo sa server.
Aron masugdan ang database, pagdagan ang mosunud nga mando:
aide --initKinahanglan nimong makita ang mosunod:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s) Ang sugo sa ibabaw maghimo og bag-ong database aide.db.new.gz sa katalogo /var/lib/aide. Kini makita gamit ang mosunod nga sugo:
ls -l /var/lib/aideResulta:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz Dili gamiton sa AIDE kining bag-ong file sa database hangtod nga mabag-o kini sa ngalan aide.db.gz. Mahimo kini sama sa mosunod:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzGirekomenda nga imong i-update kini nga database matag karon ug unya aron masiguro nga ang mga pagbag-o mabantayan sa husto.
Mahimo nimong usbon ang lokasyon sa database pinaagi sa pagbag-o sa parameter DBDIR sa file /etc/aide.conf.
Nagdagan sa usa ka scan
Andam na ang AIDE sa paggamit sa bag-ong database. Pagdalagan ang unang pagsusi sa AIDE nga walay pagbag-o:
aide --checkKini nga sugo magkinahanglan og pipila ka panahon aron makompleto depende sa gidak-on sa imong file system ug sa gidaghanon sa RAM sa imong server. Kung nahuman na ang pag-scan kinahanglan nimo nga makita ang mosunod:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Ang output sa ibabaw nag-ingon nga ang tanan nga mga file ug mga direktoryo motakdo sa AIDE database.
Pagsulay sa AIDE
Sa kasagaran, ang AIDE wala magsubay sa default Apache root directory /var/www/html. Atong i-configure ang AIDE aron makita kini. Aron mahimo kini kinahanglan nimo nga usbon ang file /etc/aide.conf.
nano /etc/aide.conf Idugang sa ibabaw nga linya "/root/CONTENT_EX" nagsunod:
/var/www/html/ CONTENT_EX Sunod, paghimo og file aide.txt sa katalogo /var/www/html/gamit ang mosunod nga sugo:
echo "Test AIDE" > /var/www/html/aide.txtKaron padagana ang tseke sa AIDE ug siguroha nga ang gibuhat nga file makita.
aide --checkKinahanglan nimong makita ang mosunod:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt Nakita namon nga ang gibuhat nga file nakit-an aide.txt.
Human sa pag-analisar sa nakita nga mga kausaban, i-update ang AIDE database.
aide --updateHuman sa pag-update imong makita ang mosunod:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt Ang sugo sa ibabaw maghimo og bag-ong database aide.db.new.gz sa katalogo
/var/lib/aide/Imong makita kini sa mosunod nga sugo:
ls -l /var/lib/aide/Resulta:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzKaron usba pag-usab ang bag-ong database aron ang AIDE mogamit sa bag-ong database aron masubay ang dugang nga mga pagbag-o. Mahimo nimong ilisan ang ngalan niini sa mosunod:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzDagan pag-usab ang tseke aron masiguro nga ang AIDE naggamit sa bag-ong database:
aide --checkKinahanglan nimong makita ang mosunod:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Gi-automate namo ang tseke
Maayo nga ideya nga magpadagan ug AIDE check kada adlaw ug ipadala ang taho. Kini nga proseso mahimong awtomatiko gamit ang cron.
nano /etc/crontabAron ipadagan ang AIDE check kada adlaw sa 10:15, idugang ang mosunod nga linya sa katapusan sa file:
15 10 * * * root /usr/sbin/aide --checkAng AIDE karon magpahibalo kanimo pinaagi sa koreo. Mahimo nimong susihon ang imong mail gamit ang mosunod nga sugo:
tail -f /var/mail/rootAng AIDE log mahimong tan-awon gamit ang mosunod nga sugo:
tail -f /var/log/aide/aide.logkonklusyon
Sa kini nga artikulo, nahibal-an nimo kung giunsa ang paggamit sa AIDE aron mahibal-an ang mga pagbag-o sa file ug mahibal-an ang dili awtorisado nga pag-access sa server. Alang sa dugang nga mga setting, mahimo nimong usbon ang /etc/aide.conf configuration file. Alang sa mga hinungdan sa seguridad, girekomenda nga tipigan ang database ug configuration file sa read-only nga media. Dugang nga impormasyon makita sa dokumentasyon .
Source: www.habr.com
