ProHoster > blog > Gweinyddiaeth > Sut i Osod a Defnyddio AIDE (Amgylchedd Canfod Ymyrraeth Uwch) ar CentOS 8

Sut i Osod a Defnyddio AIDE (Amgylchedd Canfod Ymyrraeth Uwch) ar CentOS 8

Cyn dechrau'r cwrs "Gweinyddwr Linux" Rydym wedi paratoi cyfieithiad o ddeunydd diddorol.

Sut i Osod a Defnyddio AIDE (Amgylchedd Canfod Ymyrraeth Uwch) ar CentOS 8

Mae AIDE yn sefyll am “Advanced Intrusion Detection Environment” ac mae'n un o'r systemau mwyaf poblogaidd ar gyfer monitro newidiadau mewn systemau gweithredu sy'n seiliedig ar Linux. Defnyddir AIDE i amddiffyn rhag malware, firysau a chanfod gweithgareddau anawdurdodedig. I wirio cywirdeb ffeil a chanfod ymwthiadau, mae AIDE yn creu cronfa ddata o wybodaeth ffeil ac yn cymharu cyflwr presennol y system â'r gronfa ddata hon. Mae AIDE yn helpu i leihau amser ymchwilio i ddigwyddiadau trwy ganolbwyntio ar ffeiliau sydd wedi'u haddasu.

Nodweddion AIDE:

  • Yn cefnogi nodweddion ffeil amrywiol, gan gynnwys: math o ffeil, inod, uid, gid, caniatadau, nifer o ddolenni, mtime, ctime ac atime.
  • Cefnogaeth ar gyfer cywasgiad Gzip, SELinux, XAttrs, Posix ACL a phriodoleddau system ffeiliau.
  • Yn cefnogi amrywiol algorithmau gan gynnwys md5, sha1, sha256, sha512, rmd160, crc32, ac ati.
  • Anfon hysbysiadau trwy e-bost.

Yn yr erthygl hon, byddwn yn edrych ar sut i osod a defnyddio AIDE ar gyfer canfod ymyrraeth ar CentOS 8.

Rhagofynion

  • Gweinydd yn rhedeg CentOS 8, gydag o leiaf 2 GB o RAM.
  • mynediad gwraidd

Dechrau arni

Argymhellir diweddaru'r system yn gyntaf. I wneud hyn, rhedeg y gorchymyn canlynol.

dnf update -y

Ar ôl diweddaru, ailgychwynwch eich system er mwyn i'r newidiadau ddod i rym.

Gosod AIDE

Mae AIDE ar gael yn y storfa CentOS 8 rhagosodedig. Gallwch chi ei osod yn hawdd trwy redeg y gorchymyn canlynol:

dnf install aide -y

Unwaith y bydd y gosodiad wedi'i gwblhau, gallwch weld y fersiwn AIDE gan ddefnyddio'r gorchymyn canlynol:

aide --version

Dylech weld y canlynol:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Opsiynau sydd ar gael aide gellir ei weld fel a ganlyn:

aide --help

Sut i Osod a Defnyddio AIDE (Amgylchedd Canfod Ymyrraeth Uwch) ar CentOS 8

Creu a chychwyn y gronfa ddata

Y peth cyntaf y mae angen i chi ei wneud ar ôl gosod AIDE yw ei gychwyn. Mae cychwyniad yn cynnwys creu cronfa ddata (ciplun) o'r holl ffeiliau a chyfeiriaduron ar y gweinydd.

I gychwyn y gronfa ddata, rhedwch y gorchymyn canlynol:

aide --init

Dylech weld y canlynol:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Bydd y gorchymyn uchod yn creu cronfa ddata newydd aide.db.new.gz yn y catalog /var/lib/aide. Gellir ei weld gan ddefnyddio'r gorchymyn canlynol:

ls -l /var/lib/aide

Canlyniad:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

Ni fydd AIDE yn defnyddio'r ffeil cronfa ddata newydd hon nes iddi gael ei hailenwi aide.db.gz. Gellir gwneud hyn fel a ganlyn:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Argymhellir eich bod yn diweddaru'r gronfa ddata hon o bryd i'w gilydd i sicrhau bod newidiadau'n cael eu monitro'n gywir.

Gallwch newid lleoliad y gronfa ddata trwy newid y paramedr DBDIR mewn ffeil /etc/aide.conf.

Yn rhedeg sgan

Mae AIDE bellach yn barod i ddefnyddio'r gronfa ddata newydd. Rhedeg y gwiriad AIDE cyntaf heb wneud unrhyw newidiadau:

aide --check

Bydd y gorchymyn hwn yn cymryd peth amser i'w gwblhau yn dibynnu ar faint eich system ffeiliau a faint o RAM ar eich gweinydd. Unwaith y bydd y sgan wedi'i gwblhau dylech weld y canlynol:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Mae'r allbwn uchod yn dweud bod yr holl ffeiliau a chyfeiriaduron yn cyd-fynd â chronfa ddata AIDE.

Profi AIDE

Yn ddiofyn, nid yw AIDE yn olrhain cyfeiriadur gwraidd diofyn Apache /var/www/html. Gadewch i ni ffurfweddu AIDE i'w weld. I wneud hyn mae angen i chi newid y ffeil /etc/aide.conf.

nano /etc/aide.conf

Ychwanegwch y llinell uchod "/root/CONTENT_EX" canlynol:

/var/www/html/ CONTENT_EX

Nesaf, creu ffeil aide.txt yn y catalog /var/www/html/gan ddefnyddio'r gorchymyn canlynol:

echo "Test AIDE" > /var/www/html/aide.txt

Nawr rhedwch y gwiriad AIDE a gwnewch yn siŵr bod y ffeil a grëwyd yn cael ei chanfod.

aide --check

Dylech weld y canlynol:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Rydym yn gweld bod y ffeil a grëwyd yn cael ei ganfod aide.txt.
Ar ôl dadansoddi'r newidiadau a ganfuwyd, diweddarwch y gronfa ddata AIDE.

aide --update

Ar ôl y diweddariad fe welwch y canlynol:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Bydd y gorchymyn uchod yn creu cronfa ddata newydd aide.db.new.gz yn y catalog 

/var/lib/aide/

Gallwch ei weld gyda'r gorchymyn canlynol:

ls -l /var/lib/aide/

Canlyniad:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Nawr ailenwi'r gronfa ddata newydd eto fel bod AIDE yn defnyddio'r gronfa ddata newydd i olrhain newidiadau pellach. Gallwch ei ailenwi fel a ganlyn:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Rhedeg y siec eto i sicrhau bod AIDE yn defnyddio'r gronfa ddata newydd:

aide --check

Dylech weld y canlynol:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Rydym yn awtomeiddio'r siec

Mae'n syniad da cynnal gwiriad AIDE bob dydd a phostio'r adroddiad. Gellir awtomeiddio'r broses hon gan ddefnyddio cron.

nano /etc/crontab

I redeg y gwiriad AIDE bob dydd am 10:15, ychwanegwch y llinell ganlynol at ddiwedd y ffeil:

15 10 * * * root /usr/sbin/aide --check

Bydd AIDE nawr yn eich hysbysu trwy'r post. Gallwch wirio'ch post gyda'r gorchymyn canlynol:

tail -f /var/mail/root

Gellir gweld y log AIDE gan ddefnyddio'r gorchymyn canlynol:

tail -f /var/log/aide/aide.log

Casgliad

Yn yr erthygl hon, fe wnaethoch chi ddysgu sut i ddefnyddio AIDE i ganfod newidiadau ffeil a nodi mynediad gweinydd heb awdurdod. Ar gyfer gosodiadau ychwanegol, gallwch olygu'r ffeil ffurfweddu /etc/aide.conf. Am resymau diogelwch, argymhellir storio'r gronfa ddata a'r ffeil ffurfweddu ar gyfryngau darllen yn unig. Ceir rhagor o wybodaeth yn y ddogfennaeth AIDE Doc.

Dysgwch fwy am y cwrs.

Ffynhonnell: hab.com

Ychwanegu sylw