ProHoster > Blog > administration > Sådan installeres og bruges AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Sådan installeres og bruges AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Inden kursusstart "Linux-administrator" Vi har udarbejdet en oversættelse af interessant materiale.

Sådan installeres og bruges AIDE (Advanced Intrusion Detection Environment) på CentOS 8

AIDE står for "Advanced Intrusion Detection Environment" og er et af de mest populære systemer til overvågning af ændringer i Linux-baserede operativsystemer. AIDE bruges til at beskytte mod malware, vira og opdage uautoriserede aktiviteter. For at verificere filintegritet og opdage indtrængen opretter AIDE en database med filoplysninger og sammenligner systemets aktuelle tilstand med denne database. AIDE hjælper med at reducere hændelsesundersøgelsestiden ved at fokusere på filer, der er blevet ændret.

AIDE funktioner:

  • Understøtter forskellige filattributter, herunder: filtype, inode, uid, gid, tilladelser, antal links, mtime, ctime og atime.
  • Understøttelse af Gzip-komprimering, SELinux, XAttrs, Posix ACL og filsystemattributter.
  • Understøtter forskellige algoritmer, herunder md5, sha1, sha256, sha512, rmd160, crc32 osv.
  • Afsendelse af meddelelser via e-mail.

I denne artikel vil vi se på, hvordan du installerer og bruger AIDE til indtrængningsdetektion på CentOS 8.

Forudsætninger

  • Server, der kører CentOS 8, med mindst 2 GB RAM.
  • root adgang

Kom i gang

Det anbefales at opdatere systemet først. For at gøre dette skal du køre følgende kommando.

dnf update -y

Efter opdatering skal du genstarte dit system for at ændringerne træder i kraft.

Installation af AIDE

AIDE er tilgængelig i standardlageret CentOS 8. Du kan nemt installere det ved at køre følgende kommando:

dnf install aide -y

Når installationen er fuldført, kan du se AIDE-versionen ved hjælp af følgende kommando:

aide --version

Du bør se følgende:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Tilgængelige muligheder aide kan ses som følger:

aide --help

Sådan installeres og bruges AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Oprettelse og initialisering af databasen

Den første ting du skal gøre efter installation af AIDE er at initialisere den. Initialisering består i at oprette en database (snapshot) af alle filer og mapper på serveren.

For at initialisere databasen skal du køre følgende kommando:

aide --init

Du bør se følgende:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Ovenstående kommando vil oprette en ny database aide.db.new.gz i kataloget /var/lib/aide. Det kan ses ved hjælp af følgende kommando:

ls -l /var/lib/aide

Resultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE vil ikke bruge denne nye databasefil, før den er omdøbt til aide.db.gz. Dette kan gøres på følgende måde:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Det anbefales, at du opdaterer denne database med jævne mellemrum for at sikre, at ændringer overvåges korrekt.

Du kan ændre placeringen af ​​databasen ved at ændre parameteren DBDIR i fil /etc/aide.conf.

Kører en check

AIDE er nu klar til at bruge den nye database. Kør det første AIDE-tjek uden at foretage ændringer:

aide --check

Denne kommando vil tage noget tid at fuldføre afhængigt af størrelsen på dit filsystem og mængden af ​​RAM på din server. Når scanningen er færdig, bør du se følgende:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ovenstående output siger, at alle filer og mapper matcher AIDE-databasen.

Test af AIDE

Som standard sporer AIDE ikke standard Apache-rodmappen /var/www/html. Lad os konfigurere AIDE til at se det. For at gøre dette skal du ændre filen /etc/aide.conf.

nano /etc/aide.conf

Tilføj ovenstående linje "/root/CONTENT_EX" følgende:

/var/www/html/ CONTENT_EX

Opret derefter en fil aide.txt i kataloget /var/www/html/ved hjælp af følgende kommando:

echo "Test AIDE" > /var/www/html/aide.txt

Kør nu AIDE-kontrollen og sørg for, at den oprettede fil er fundet.

aide --check

Du bør se følgende:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vi ser, at den oprettede fil er registreret aide.txt.
Efter at have analyseret de opdagede ændringer, skal du opdatere AIDE-databasen.

aide --update

Efter opdateringen vil du se følgende:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Ovenstående kommando vil oprette en ny database aide.db.new.gz i kataloget 

/var/lib/aide/

Du kan se det med følgende kommando:

ls -l /var/lib/aide/

Resultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Omdøb nu den nye database igen, så AIDE bruger den nye database til at spore yderligere ændringer. Du kan omdøbe den som følger:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Kør kontrollen igen for at sikre, at AIDE bruger den nye database:

aide --check

Du bør se følgende:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Vi automatiserer kontrollen

Det er en god idé at køre et AIDE-tjek hver dag og sende rapporten. Denne proces kan automatiseres ved hjælp af cron.

nano /etc/crontab

For at køre AIDE-kontrollen hver dag kl. 10:15 skal du tilføje følgende linje til slutningen af ​​filen:

15 10 * * * root /usr/sbin/aide --check

AIDE vil nu give dig besked via mail. Du kan tjekke din mail med følgende kommando:

tail -f /var/mail/root

AIDE-loggen kan ses ved hjælp af følgende kommando:

tail -f /var/log/aide/aide.log

Konklusion

I denne artikel lærte du, hvordan du bruger AIDE til at opdage filændringer og identificere uautoriseret serveradgang. For yderligere indstillinger kan du redigere /etc/aide.conf-konfigurationsfilen. Af sikkerhedsmæssige årsager anbefales det at gemme databasen og konfigurationsfilen på skrivebeskyttede medier. Yderligere information kan findes i dokumentationen AIDE Doc.

Lær mere om kurset.

Kilde: www.habr.com

Tilføj en kommentar