ProHoster > Блог > Administrado > Kiel Instali kaj Uzi AIDE (Altnivela Intrusion Detection Environment) sur CentOS 8

Kiel Instali kaj Uzi AIDE (Altnivela Intrusion Detection Environment) sur CentOS 8

Antaŭ la komenco de la kurso "Linuksa Administranto" Ni preparis tradukon de interesa materialo.

Kiel Instali kaj Uzi AIDE (Altnivela Intrusion Detection Environment) sur CentOS 8

AIDE signifas "Advanced Intrusion Detection Environment" kaj estas unu el la plej popularaj sistemoj por monitorado de ŝanĝoj en Linukso-bazitaj operaciumoj. AIDE estas uzata por protekti kontraŭ malware, virusoj kaj detekti neaŭtorizitajn agadojn. Por kontroli dosierintegrecon kaj detekti entrudiĝojn, AIDE kreas datumbazon de dosieraj informoj kaj komparas la aktualan staton de la sistemo kun ĉi tiu datumbazo. AIDE helpas redukti okazaĵan enkettempon per fokuso sur dosieroj kiuj estis modifitaj.

Ecoj de AIDE:

  • Subtenas diversajn dosierajn atributojn, inkluzive de: dosiertipo, inodo, uid, gid, permesoj, nombro da ligiloj, mtime, ctime kaj atime.
  • Subteno por Gzip-kunpremado, SELinux, XAttrs, Posix ACL kaj dosiersistemaj atributoj.
  • Subtenas diversajn algoritmojn inkluzive de md5, sha1, sha256, sha512, rmd160, crc32, ktp.
  • Sendante sciigojn per retpoŝto.

En ĉi tiu artikolo, ni rigardos kiel instali kaj uzi AIDE por entrudiĝa detekto sur CentOS 8.

Antaŭkondiĉoj

  • Servilo kurante CentOS 8, kun almenaŭ 2 GB da RAM.
  • radika aliro

Komencante

Oni rekomendas unue ĝisdatigi la sistemon. Por fari tion, rulu la sekvan komandon.

dnf update -y

Post ĝisdatigo, rekomencu vian sistemon por ke la ŝanĝoj efektiviĝu.

Instalante AIDE

AIDE disponeblas en la defaŭlta deponejo de CentOS 8. Vi povas facile instali ĝin per la sekva komando:

dnf install aide -y

Post kiam la instalado estas kompleta, vi povas vidi la AIDE-version uzante la jenan komandon:

aide --version

Vi devus vidi la jenon:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Disponeblaj opcioj aide povas esti rigardata jene:

aide --help

Kiel Instali kaj Uzi AIDE (Altnivela Intrusion Detection Environment) sur CentOS 8

Krei kaj pravalorigi la datumbazon

La unua afero, kiun vi devas fari post instalo de AIDE, estas pravalorigi ĝin. Iniciatigo konsistas el kreado de datumbazo (momentfoto) de ĉiuj dosieroj kaj dosierujoj sur la servilo.

Por pravalorigi la datumbazon, rulu la sekvan komandon:

aide --init

Vi devus vidi la jenon:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

La supra komando kreos novan datumbazon aide.db.new.gz en la katalogo /var/lib/aide. Ĝi povas esti vidita uzante la sekvan komandon:

ls -l /var/lib/aide

Rezulto:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE ne uzos ĉi tiun novan datumbazan dosieron ĝis ĝi estos renomita al aide.db.gz. Ĉi tio povas esti farita jene:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Oni rekomendas, ke vi ĝisdatigas ĉi tiun datumbazon periode por certigi, ke ŝanĝoj estas ĝuste kontrolataj.

Vi povas ŝanĝi la lokon de la datumbazo ŝanĝante la parametron DBDIR en dosiero /etc/aide.conf.

Kurante skanadon

AIDE nun pretas uzi la novan datumbazon. Rulu la unuan AIDE-kontrolon sen fari ajnajn ŝanĝojn:

aide --check

Ĉi tiu komando daŭros iom da tempo por kompletigi depende de la grandeco de via dosiersistemo kaj la kvanto de RAM sur via servilo. Post kiam la skanado finiĝos, vi devus vidi la jenon:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

La supra eligo diras, ke ĉiuj dosieroj kaj dosierujoj kongruas kun la AIDE-datumbazo.

Testanta AIDE

Defaŭlte, AIDE ne spuras la defaŭltan radikan dosierujon de Apache /var/www/html. Ni agordu AIDE por vidi ĝin. Por fari tion, vi devas ŝanĝi la dosieron /etc/aide.conf.

nano /etc/aide.conf

Aldonu la supran linion "/root/CONTENT_EX" jeno:

/var/www/html/ CONTENT_EX

Poste, kreu dosieron aide.txt en la katalogo /var/www/html/uzante la jenan komandon:

echo "Test AIDE" > /var/www/html/aide.txt

Nun rulu la AIDE-kontrolon kaj certigu, ke la kreita dosiero estas detektita.

aide --check

Vi devus vidi la jenon:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Ni vidas, ke la kreita dosiero estas detektita aide.txt.
Post analizo de la detektitaj ŝanĝoj, ĝisdatigu la AIDE-datumbazon.

aide --update

Post la ĝisdatigo vi vidos la jenon:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

La supra komando kreos novan datumbazon aide.db.new.gz en la katalogo 

/var/lib/aide/

Vi povas vidi ĝin per la sekva komando:

ls -l /var/lib/aide/

Rezulto:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Nun denove renomu la novan datumbazon por ke AIDE uzu la novan datumbazon por spuri pliajn ŝanĝojn. Vi povas renomi ĝin jene:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Rulu la kontrolon denove por certigi, ke AIDE uzas la novan datumbazon:

aide --check

Vi devus vidi la jenon:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ni aŭtomatigas la kontrolon

Estas bona ideo fari AIDE-kontrolon ĉiutage kaj sendi la raporton. Ĉi tiu procezo povas esti aŭtomatigita uzante cron.

nano /etc/crontab

Por ruli la AIDE-kontrolon ĉiutage je 10:15, aldonu la sekvan linion al la fino de la dosiero:

15 10 * * * root /usr/sbin/aide --check

AIDE nun sciigos vin per poŝto. Vi povas kontroli vian poŝton per la jena komando:

tail -f /var/mail/root

La AIDE-protokolo povas esti vidita per la sekva komando:

tail -f /var/log/aide/aide.log

konkludo

En ĉi tiu artikolo, vi lernis kiel uzi AIDE por detekti dosierŝanĝojn kaj identigi neaŭtorizitan servilan aliron. Por pliaj agordoj, vi povas redakti la agordan dosieron /etc/aide.conf. Pro sekurecaj kialoj, oni rekomendas konservi la datumbazon kaj agordan dosieron sur nurlegeblaj amaskomunikiloj. Pliaj informoj troveblas en la dokumentado AIDE Doc.

Lernu pli pri la kurso.

fonto: www.habr.com

Aldoni komenton