Prima di u principiu di u corsu Avemu preparatu una traduzzione di materiale interessante.
AIDE significa "Ambiente di Rilevazione di Intrusioni Avanzate" è hè unu di i sistemi più populari per monitorà i cambiamenti in i sistemi operativi basati in Linux. AIDE hè aduprata per prutegge contra malware, virus è detectà attività micca autorizate. Per verificà l'integrità di u fugliale è detectà intrusioni, AIDE crea una basa di dati di l'infurmazioni di u schedariu è compara u statu attuale di u sistema cù sta basa di dati. AIDE aiuta à riduce u tempu d'investigazione di l'incidentu cuncentrandu nantu à i fugliali chì sò stati mudificati.
Caratteristiche di AIDE:
- Supporta diversi attributi di fugliale, cumprese: tipu di schedariu, inode, uid, gid, permessi, numeru di ligami, mtime, ctime è atime.
- Supportu per a compressione Gzip, SELinux, XAttrs, Posix ACL è attributi di sistema di fugliale.
- Supporta diversi algoritmi cumpresi md5, sha1, sha256, sha512, rmd160, crc32, etc.
- Mandendu notificazioni per email.
In questu articulu, guardemu cumu installà è aduprà AIDE per a rilevazione di intrusioni in CentOS 8.
Prerequisiti
- Servitore chì esegue CentOS 8, cù almenu 2 GB di RAM.
- accessu root
Cumminciate
Hè cunsigliatu di aghjurnà u sistema prima. Per fà questu, eseguite u cumandimu seguitu.
dnf update -yDopu l'aghjurnà, riavvia u vostru sistema per chì i cambiamenti entranu in vigore.
Installazione di AIDE
AIDE hè dispunibule in u repositoriu predeterminatu di CentOS 8. Pudete facilmente installà cù u cumandimu seguente:
dnf install aide -yQuandu a stallazione hè cumpleta, pudete vede a versione AIDE cù u cumandimu seguitu:
aide --versionDuvete vede i seguenti:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Opzioni dispunibili aide pò esse vistu cusì:
aide --help
Creazione è inizializazione di a basa di dati
A prima cosa chì duvete fà dopu avè installatu AIDE hè di inizializzallu. L'inizializazione cunsiste in a creazione di una basa di dati (snapshot) di tutti i fugliali è cartulari in u servitore.
Per inizializà a basa di dati, eseguite u cumandimu seguente:
aide --initDuvete vede i seguenti:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
U cumandamentu di sopra creà una nova basa di dati aide.db.new.gz in u catalogu /var/lib/aide. Pò esse vistu cù u cumandimu seguitu:
ls -l /var/lib/aideRisultatu:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ùn aduprà micca stu novu schedariu di basa di dati finu à ch'ellu hè rinominatu aide.db.gz. Questu pò esse fattu cusì:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzHè cunsigliatu di aghjurnà sta basa di dati periodicamente per assicurà chì i cambiamenti sò monitorati bè.
Pudete cambià u locu di a basa di dati cambiendu u paràmetru DBDIR in u schedariu /etc/aide.conf.
Esegue una scansione
AIDE hè avà pronta à aduprà a nova basa di dati. Eseguite u primu cuntrollu AIDE senza fà cambiamenti:
aide --checkStu cumandimu pigghia un pocu di tempu per compie secondu a dimensione di u vostru sistema di fugliale è a quantità di RAM in u vostru servitore. Una volta a scansione hè cumpleta, duvete vede i seguenti:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!L'output sopra dice chì tutti i schedari è i cartulari currispondenu à a basa di dati AIDE.
Testing AIDE
Per automaticamente, AIDE ùn traccia micca u repertoriu ràdica Apache predeterminatu /var/www/html. Cunfiguremu AIDE per vede. Per fà questu, avete bisognu di cambià u schedariu /etc/aide.conf.
nano /etc/aide.conf
Aghjunghjite a linea sopra "/root/CONTENT_EX" i seguenti:
/var/www/html/ CONTENT_EX
Dopu, crea un schedariu aide.txt in u catalogu /var/www/html/usendu u cumandimu seguitu:
echo "Test AIDE" > /var/www/html/aide.txtAvà eseguite a verificazione AIDE è assicuratevi chì u schedariu generatu hè rilevatu.
aide --checkDuvete vede i seguenti:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Avemu vistu chì u schedariu creatu hè rilevatu aide.txt.
Dopu avè analizatu i cambiamenti rilevati, aghjurnà a basa di dati AIDE.
aide --updateDopu l'aghjurnamentu, vi vede i seguenti:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
U cumandamentu di sopra creà una nova basa di dati aide.db.new.gz in u catalogu
/var/lib/aide/Pudete vede cù u cumandimu seguitu:
ls -l /var/lib/aide/Risultatu:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzAvà rinominate a nova basa di dati per chì AIDE utilizeghja a nova basa di dati per seguità più cambiamenti. Pudete rinominà cusì:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzEseguite a verificazione di novu per assicurà chì AIDE utilizeghja a nova basa di dati:
aide --checkDuvete vede i seguenti:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Avemu automatizatu u cuntrollu
Hè una bona idea di eseguisce un cuntrollu AIDE ogni ghjornu è mail u rapportu. Stu prucessu pò esse automatizatu cù cron.
nano /etc/crontabPer eseguisce a verificazione AIDE ogni ghjornu à 10:15, aghjunghje a seguente linea à a fine di u schedariu:
15 10 * * * root /usr/sbin/aide --checkAIDE vi avviserà avà per mail. Pudete cuntrollà u vostru mail cù u cumandimu seguente:
tail -f /var/mail/rootU logu AIDE pò esse vistu cù u cumandimu seguitu:
tail -f /var/log/aide/aide.logcunchiusioni
In questu articulu, avete amparatu à utilizà AIDE per detectà i cambiamenti di u schedariu è identificà l'accessu à u servitore micca autorizatu. Per paràmetri supplementari, pudete edità u schedariu di cunfigurazione /etc/aide.conf. Per ragioni di sicurità, hè cunsigliatu di almacenà a basa di dati è u schedariu di cunfigurazione nantu à i media di sola lettura. Più infurmazione pò esse truvata in a documentazione .
Source: www.habr.com