Antaŭ la komenco de la kurso
AIDE signifas "Advanced Intrusion Detection Environment" kaj estas unu el la plej popularaj sistemoj por monitorado de ŝanĝoj en Linukso-bazitaj operaciumoj. AIDE estas uzata por protekti kontraŭ malware, virusoj kaj detekti neaŭtorizitajn agadojn. Por kontroli dosierintegrecon kaj detekti entrudiĝojn, AIDE kreas datumbazon de dosieraj informoj kaj komparas la aktualan staton de la sistemo kun ĉi tiu datumbazo. AIDE helpas redukti okazaĵan enkettempon per fokuso sur dosieroj kiuj estis modifitaj.
Ecoj de AIDE:
- Subtenas diversajn dosierajn atributojn, inkluzive de: dosiertipo, inodo, uid, gid, permesoj, nombro da ligiloj, mtime, ctime kaj atime.
- Subteno por Gzip-kunpremado, SELinux, XAttrs, Posix ACL kaj dosiersistemaj atributoj.
- Subtenas diversajn algoritmojn inkluzive de md5, sha1, sha256, sha512, rmd160, crc32, ktp.
- Sendante sciigojn per retpoŝto.
En ĉi tiu artikolo, ni rigardos kiel instali kaj uzi AIDE por entrudiĝa detekto sur CentOS 8.
Antaŭkondiĉoj
- Servilo kurante CentOS 8, kun almenaŭ 2 GB da RAM.
- radika aliro
Komencante
Oni rekomendas unue ĝisdatigi la sistemon. Por fari tion, rulu la sekvan komandon.
dnf update -y
Post ĝisdatigo, rekomencu vian sistemon por ke la ŝanĝoj efektiviĝu.
Instalante AIDE
AIDE disponeblas en la defaŭlta deponejo de CentOS 8. Vi povas facile instali ĝin per la sekva komando:
dnf install aide -y
Post kiam la instalado estas kompleta, vi povas vidi la AIDE-version uzante la jenan komandon:
aide --version
Vi devus vidi la jenon:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Disponeblaj opcioj aide
povas esti rigardata jene:
aide --help
Krei kaj pravalorigi la datumbazon
La unua afero, kiun vi devas fari post instalo de AIDE, estas pravalorigi ĝin. Iniciatigo konsistas el kreado de datumbazo (momentfoto) de ĉiuj dosieroj kaj dosierujoj sur la servilo.
Por pravalorigi la datumbazon, rulu la sekvan komandon:
aide --init
Vi devus vidi la jenon:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
La supra komando kreos novan datumbazon aide.db.new.gz
en la katalogo /var/lib/aide
. Ĝi povas esti vidita uzante la sekvan komandon:
ls -l /var/lib/aide
Rezulto:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ne uzos ĉi tiun novan datumbazan dosieron ĝis ĝi estos renomita al aide.db.gz
. Ĉi tio povas esti farita jene:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Oni rekomendas, ke vi ĝisdatigas ĉi tiun datumbazon periode por certigi, ke ŝanĝoj estas ĝuste kontrolataj.
Vi povas ŝanĝi la lokon de la datumbazo ŝanĝante la parametron DBDIR
en dosiero /etc/aide.conf
.
Kurante skanadon
AIDE nun pretas uzi la novan datumbazon. Rulu la unuan AIDE-kontrolon sen fari ajnajn ŝanĝojn:
aide --check
Ĉi tiu komando daŭros iom da tempo por kompletigi depende de la grandeco de via dosiersistemo kaj la kvanto de RAM sur via servilo. Post kiam la skanado finiĝos, vi devus vidi la jenon:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
La supra eligo diras, ke ĉiuj dosieroj kaj dosierujoj kongruas kun la AIDE-datumbazo.
Testanta AIDE
Defaŭlte, AIDE ne spuras la defaŭltan radikan dosierujon de Apache /var/www/html.
Ni agordu AIDE por vidi ĝin. Por fari tion, vi devas ŝanĝi la dosieron /etc/aide.conf
.
nano /etc/aide.conf
Aldonu la supran linion "/root/CONTENT_EX"
jeno:
/var/www/html/ CONTENT_EX
Poste, kreu dosieron aide.txt
en la katalogo /var/www/html/
uzante la jenan komandon:
echo "Test AIDE" > /var/www/html/aide.txt
Nun rulu la AIDE-kontrolon kaj certigu, ke la kreita dosiero estas detektita.
aide --check
Vi devus vidi la jenon:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Ni vidas, ke la kreita dosiero estas detektita aide.txt
.
Post analizo de la detektitaj ŝanĝoj, ĝisdatigu la AIDE-datumbazon.
aide --update
Post la ĝisdatigo vi vidos la jenon:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
La supra komando kreos novan datumbazon aide.db.new.gz
en la katalogo
/var/lib/aide/
Vi povas vidi ĝin per la sekva komando:
ls -l /var/lib/aide/
Rezulto:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Nun denove renomu la novan datumbazon por ke AIDE uzu la novan datumbazon por spuri pliajn ŝanĝojn. Vi povas renomi ĝin jene:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Rulu la kontrolon denove por certigi, ke AIDE uzas la novan datumbazon:
aide --check
Vi devus vidi la jenon:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Ni aŭtomatigas la kontrolon
Estas bona ideo fari AIDE-kontrolon ĉiutage kaj sendi la raporton. Ĉi tiu procezo povas esti aŭtomatigita uzante cron.
nano /etc/crontab
Por ruli la AIDE-kontrolon ĉiutage je 10:15, aldonu la sekvan linion al la fino de la dosiero:
15 10 * * * root /usr/sbin/aide --check
AIDE nun sciigos vin per poŝto. Vi povas kontroli vian poŝton per la jena komando:
tail -f /var/mail/root
La AIDE-protokolo povas esti vidita per la sekva komando:
tail -f /var/log/aide/aide.log
konkludo
En ĉi tiu artikolo, vi lernis kiel uzi AIDE por detekti dosierŝanĝojn kaj identigi neaŭtorizitan servilan aliron. Por pliaj agordoj, vi povas redakti la agordan dosieron /etc/aide.conf. Pro sekurecaj kialoj, oni rekomendas konservi la datumbazon kaj agordan dosieron sur nurlegeblaj amaskomunikiloj. Pliaj informoj troveblas en la dokumentado
fonto: www.habr.com