Cyn dechrau'r cwrs
Mae AIDE yn sefyll am “Advanced Intrusion Detection Environment” ac mae'n un o'r systemau mwyaf poblogaidd ar gyfer monitro newidiadau mewn systemau gweithredu sy'n seiliedig ar Linux. Defnyddir AIDE i amddiffyn rhag malware, firysau a chanfod gweithgareddau anawdurdodedig. I wirio cywirdeb ffeil a chanfod ymwthiadau, mae AIDE yn creu cronfa ddata o wybodaeth ffeil ac yn cymharu cyflwr presennol y system â'r gronfa ddata hon. Mae AIDE yn helpu i leihau amser ymchwilio i ddigwyddiadau trwy ganolbwyntio ar ffeiliau sydd wedi'u haddasu.
Nodweddion AIDE:
- Yn cefnogi nodweddion ffeil amrywiol, gan gynnwys: math o ffeil, inod, uid, gid, caniatadau, nifer o ddolenni, mtime, ctime ac atime.
- Cefnogaeth ar gyfer cywasgiad Gzip, SELinux, XAttrs, Posix ACL a phriodoleddau system ffeiliau.
- Yn cefnogi amrywiol algorithmau gan gynnwys md5, sha1, sha256, sha512, rmd160, crc32, ac ati.
- Anfon hysbysiadau trwy e-bost.
Yn yr erthygl hon, byddwn yn edrych ar sut i osod a defnyddio AIDE ar gyfer canfod ymyrraeth ar CentOS 8.
Rhagofynion
- Gweinydd yn rhedeg CentOS 8, gydag o leiaf 2 GB o RAM.
- mynediad gwraidd
Dechrau arni
Argymhellir diweddaru'r system yn gyntaf. I wneud hyn, rhedeg y gorchymyn canlynol.
dnf update -y
Ar ôl diweddaru, ailgychwynwch eich system er mwyn i'r newidiadau ddod i rym.
Gosod AIDE
Mae AIDE ar gael yn y storfa CentOS 8 rhagosodedig. Gallwch chi ei osod yn hawdd trwy redeg y gorchymyn canlynol:
dnf install aide -y
Unwaith y bydd y gosodiad wedi'i gwblhau, gallwch weld y fersiwn AIDE gan ddefnyddio'r gorchymyn canlynol:
aide --version
Dylech weld y canlynol:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Opsiynau sydd ar gael aide
gellir ei weld fel a ganlyn:
aide --help
Creu a chychwyn y gronfa ddata
Y peth cyntaf y mae angen i chi ei wneud ar ôl gosod AIDE yw ei gychwyn. Mae cychwyniad yn cynnwys creu cronfa ddata (ciplun) o'r holl ffeiliau a chyfeiriaduron ar y gweinydd.
I gychwyn y gronfa ddata, rhedwch y gorchymyn canlynol:
aide --init
Dylech weld y canlynol:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Bydd y gorchymyn uchod yn creu cronfa ddata newydd aide.db.new.gz
yn y catalog /var/lib/aide
. Gellir ei weld gan ddefnyddio'r gorchymyn canlynol:
ls -l /var/lib/aide
Canlyniad:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
Ni fydd AIDE yn defnyddio'r ffeil cronfa ddata newydd hon nes iddi gael ei hailenwi aide.db.gz
. Gellir gwneud hyn fel a ganlyn:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Argymhellir eich bod yn diweddaru'r gronfa ddata hon o bryd i'w gilydd i sicrhau bod newidiadau'n cael eu monitro'n gywir.
Gallwch newid lleoliad y gronfa ddata trwy newid y paramedr DBDIR
mewn ffeil /etc/aide.conf
.
Yn rhedeg sgan
Mae AIDE bellach yn barod i ddefnyddio'r gronfa ddata newydd. Rhedeg y gwiriad AIDE cyntaf heb wneud unrhyw newidiadau:
aide --check
Bydd y gorchymyn hwn yn cymryd peth amser i'w gwblhau yn dibynnu ar faint eich system ffeiliau a faint o RAM ar eich gweinydd. Unwaith y bydd y sgan wedi'i gwblhau dylech weld y canlynol:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Mae'r allbwn uchod yn dweud bod yr holl ffeiliau a chyfeiriaduron yn cyd-fynd â chronfa ddata AIDE.
Profi AIDE
Yn ddiofyn, nid yw AIDE yn olrhain cyfeiriadur gwraidd diofyn Apache /var/www/html.
Gadewch i ni ffurfweddu AIDE i'w weld. I wneud hyn mae angen i chi newid y ffeil /etc/aide.conf
.
nano /etc/aide.conf
Ychwanegwch y llinell uchod "/root/CONTENT_EX"
canlynol:
/var/www/html/ CONTENT_EX
Nesaf, creu ffeil aide.txt
yn y catalog /var/www/html/
gan ddefnyddio'r gorchymyn canlynol:
echo "Test AIDE" > /var/www/html/aide.txt
Nawr rhedwch y gwiriad AIDE a gwnewch yn siŵr bod y ffeil a grëwyd yn cael ei chanfod.
aide --check
Dylech weld y canlynol:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Rydym yn gweld bod y ffeil a grëwyd yn cael ei ganfod aide.txt
.
Ar ôl dadansoddi'r newidiadau a ganfuwyd, diweddarwch y gronfa ddata AIDE.
aide --update
Ar ôl y diweddariad fe welwch y canlynol:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Bydd y gorchymyn uchod yn creu cronfa ddata newydd aide.db.new.gz
yn y catalog
/var/lib/aide/
Gallwch ei weld gyda'r gorchymyn canlynol:
ls -l /var/lib/aide/
Canlyniad:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Nawr ailenwi'r gronfa ddata newydd eto fel bod AIDE yn defnyddio'r gronfa ddata newydd i olrhain newidiadau pellach. Gallwch ei ailenwi fel a ganlyn:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Rhedeg y siec eto i sicrhau bod AIDE yn defnyddio'r gronfa ddata newydd:
aide --check
Dylech weld y canlynol:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Rydym yn awtomeiddio'r siec
Mae'n syniad da cynnal gwiriad AIDE bob dydd a phostio'r adroddiad. Gellir awtomeiddio'r broses hon gan ddefnyddio cron.
nano /etc/crontab
I redeg y gwiriad AIDE bob dydd am 10:15, ychwanegwch y llinell ganlynol at ddiwedd y ffeil:
15 10 * * * root /usr/sbin/aide --check
Bydd AIDE nawr yn eich hysbysu trwy'r post. Gallwch wirio'ch post gyda'r gorchymyn canlynol:
tail -f /var/mail/root
Gellir gweld y log AIDE gan ddefnyddio'r gorchymyn canlynol:
tail -f /var/log/aide/aide.log
Casgliad
Yn yr erthygl hon, fe wnaethoch chi ddysgu sut i ddefnyddio AIDE i ganfod newidiadau ffeil a nodi mynediad gweinydd heb awdurdod. Ar gyfer gosodiadau ychwanegol, gallwch olygu'r ffeil ffurfweddu /etc/aide.conf. Am resymau diogelwch, argymhellir storio'r gronfa ddata a'r ffeil ffurfweddu ar gyfryngau darllen yn unig. Ceir rhagor o wybodaeth yn y ddogfennaeth
Ffynhonnell: hab.com