Inden kursusstart
AIDE står for "Advanced Intrusion Detection Environment" og er et af de mest populære systemer til overvågning af ændringer i Linux-baserede operativsystemer. AIDE bruges til at beskytte mod malware, vira og opdage uautoriserede aktiviteter. For at verificere filintegritet og opdage indtrængen opretter AIDE en database med filoplysninger og sammenligner systemets aktuelle tilstand med denne database. AIDE hjælper med at reducere hændelsesundersøgelsestiden ved at fokusere på filer, der er blevet ændret.
AIDE funktioner:
- Understøtter forskellige filattributter, herunder: filtype, inode, uid, gid, tilladelser, antal links, mtime, ctime og atime.
- Understøttelse af Gzip-komprimering, SELinux, XAttrs, Posix ACL og filsystemattributter.
- Understøtter forskellige algoritmer, herunder md5, sha1, sha256, sha512, rmd160, crc32 osv.
- Afsendelse af meddelelser via e-mail.
I denne artikel vil vi se på, hvordan du installerer og bruger AIDE til indtrængningsdetektion på CentOS 8.
Forudsætninger
- Server, der kører CentOS 8, med mindst 2 GB RAM.
- root adgang
Kom i gang
Det anbefales at opdatere systemet først. For at gøre dette skal du køre følgende kommando.
dnf update -y
Efter opdatering skal du genstarte dit system for at ændringerne træder i kraft.
Installation af AIDE
AIDE er tilgængelig i standardlageret CentOS 8. Du kan nemt installere det ved at køre følgende kommando:
dnf install aide -y
Når installationen er fuldført, kan du se AIDE-versionen ved hjælp af følgende kommando:
aide --version
Du bør se følgende:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Tilgængelige muligheder aide
kan ses som følger:
aide --help
Oprettelse og initialisering af databasen
Den første ting du skal gøre efter installation af AIDE er at initialisere den. Initialisering består i at oprette en database (snapshot) af alle filer og mapper på serveren.
For at initialisere databasen skal du køre følgende kommando:
aide --init
Du bør se følgende:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Ovenstående kommando vil oprette en ny database aide.db.new.gz
i kataloget /var/lib/aide
. Det kan ses ved hjælp af følgende kommando:
ls -l /var/lib/aide
Resultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE vil ikke bruge denne nye databasefil, før den er omdøbt til aide.db.gz
. Dette kan gøres på følgende måde:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Det anbefales, at du opdaterer denne database med jævne mellemrum for at sikre, at ændringer overvåges korrekt.
Du kan ændre placeringen af databasen ved at ændre parameteren DBDIR
i fil /etc/aide.conf
.
Kører en check
AIDE er nu klar til at bruge den nye database. Kør det første AIDE-tjek uden at foretage ændringer:
aide --check
Denne kommando vil tage noget tid at fuldføre afhængigt af størrelsen på dit filsystem og mængden af RAM på din server. Når scanningen er færdig, bør du se følgende:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Ovenstående output siger, at alle filer og mapper matcher AIDE-databasen.
Test af AIDE
Som standard sporer AIDE ikke standard Apache-rodmappen /var/www/html.
Lad os konfigurere AIDE til at se det. For at gøre dette skal du ændre filen /etc/aide.conf
.
nano /etc/aide.conf
Tilføj ovenstående linje "/root/CONTENT_EX"
følgende:
/var/www/html/ CONTENT_EX
Opret derefter en fil aide.txt
i kataloget /var/www/html/
ved hjælp af følgende kommando:
echo "Test AIDE" > /var/www/html/aide.txt
Kør nu AIDE-kontrollen og sørg for, at den oprettede fil er fundet.
aide --check
Du bør se følgende:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Vi ser, at den oprettede fil er registreret aide.txt
.
Efter at have analyseret de opdagede ændringer, skal du opdatere AIDE-databasen.
aide --update
Efter opdateringen vil du se følgende:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Ovenstående kommando vil oprette en ny database aide.db.new.gz
i kataloget
/var/lib/aide/
Du kan se det med følgende kommando:
ls -l /var/lib/aide/
Resultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Omdøb nu den nye database igen, så AIDE bruger den nye database til at spore yderligere ændringer. Du kan omdøbe den som følger:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Kør kontrollen igen for at sikre, at AIDE bruger den nye database:
aide --check
Du bør se følgende:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Vi automatiserer kontrollen
Det er en god idé at køre et AIDE-tjek hver dag og sende rapporten. Denne proces kan automatiseres ved hjælp af cron.
nano /etc/crontab
For at køre AIDE-kontrollen hver dag kl. 10:15 skal du tilføje følgende linje til slutningen af filen:
15 10 * * * root /usr/sbin/aide --check
AIDE vil nu give dig besked via mail. Du kan tjekke din mail med følgende kommando:
tail -f /var/mail/root
AIDE-loggen kan ses ved hjælp af følgende kommando:
tail -f /var/log/aide/aide.log
Konklusion
I denne artikel lærte du, hvordan du bruger AIDE til at opdage filændringer og identificere uautoriseret serveradgang. For yderligere indstillinger kan du redigere /etc/aide.conf-konfigurationsfilen. Af sikkerhedsmæssige årsager anbefales det at gemme databasen og konfigurationsfilen på skrivebeskyttede medier. Yderligere information kan findes i dokumentationen
Kilde: www.habr.com