ProHoster > Blogi > Haldamine > Kuidas installida ja kasutada CentOS 8-s AIDE-d (täiustatud sissetungimise tuvastamise keskkond).

Kuidas installida ja kasutada CentOS 8-s AIDE-d (täiustatud sissetungimise tuvastamise keskkond).

Enne kursuse algust "Linuxi administraator" Oleme koostanud huvitava materjali tõlke.

Kuidas installida ja kasutada CentOS 8-s AIDE-d (täiustatud sissetungimise tuvastamise keskkond).

AIDE tähistab "Advanced Intrusion Detection Environment" ja on üks populaarsemaid süsteeme Linuxi-põhiste operatsioonisüsteemide muutuste jälgimiseks. AIDE-d kasutatakse pahavara ja viiruste eest kaitsmiseks ning volitamata tegevuste tuvastamiseks. Failide terviklikkuse kontrollimiseks ja sissetungimiste tuvastamiseks loob AIDE failiteabe andmebaasi ja võrdleb süsteemi hetkeseisu selle andmebaasiga. AIDE aitab vähendada intsidendi uurimise aega, keskendudes muudetud failidele.

AIDE funktsioonid:

  • Toetab erinevaid failiatribuute, sealhulgas: failitüüp, inode, uid, gid, õigused, linkide arv, mtime, ctime ja atime.
  • Gzipi tihendamise, SELinuxi, XAttrsi, Posixi ACL-i ja failisüsteemi atribuutide tugi.
  • Toetab erinevaid algoritme, sealhulgas md5, sha1, sha256, sha512, rmd160, crc32 jne.
  • Teadete saatmine meili teel.

Selles artiklis vaatleme, kuidas installida ja kasutada AIDE-d CentOS 8 sissetungi tuvastamiseks.

Eeldused

  • Server, kus töötab CentOS 8, vähemalt 2 GB muutmäluga.
  • juurjuurdepääs

Alustamine

Soovitatav on esmalt süsteemi värskendada. Selleks käivitage järgmine käsk.

dnf update -y

Pärast värskendamist taaskäivitage süsteem muudatuste jõustumiseks.

AIDE installimine

AIDE on saadaval vaikehoidlas CentOS 8. Saate selle hõlpsalt installida, käivitades järgmise käsu:

dnf install aide -y

Kui installimine on lõppenud, saate vaadata AIDE versiooni järgmise käsu abil:

aide --version

Peaksite nägema järgmist.

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Saadaolevad valikud aide saab vaadata järgmiselt:

aide --help

Kuidas installida ja kasutada CentOS 8-s AIDE-d (täiustatud sissetungimise tuvastamise keskkond).

Andmebaasi loomine ja initsialiseerimine

Esimene asi, mida peate pärast AIDE installimist tegema, on selle lähtestamine. Initsialiseerimine seisneb kõigi serveris olevate failide ja kataloogide andmebaasi (hetktõmmise) loomises.

Andmebaasi lähtestamiseks käivitage järgmine käsk:

aide --init

Peaksite nägema järgmist.

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Ülaltoodud käsk loob uue andmebaasi aide.db.new.gz kataloogis /var/lib/aide. Seda saab näha järgmise käsu abil:

ls -l /var/lib/aide

Tulemus:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE ei kasuta seda uut andmebaasifaili enne, kui see on ümber nimetatud aide.db.gz. Seda saab teha järgmiselt.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Soovitatav on seda andmebaasi perioodiliselt värskendada, et tagada muudatuste nõuetekohane jälgimine.

Andmebaasi asukohta saab muuta parameetrit muutes DBDIR failis /etc/aide.conf.

Kontrolli läbiviimine

AIDE on nüüd valmis uut andmebaasi kasutama. Käivitage esimene AIDE kontroll ilma muudatusi tegemata:

aide --check

Selle käsu täitmine võtab veidi aega, sõltuvalt teie failisüsteemi suurusest ja serveri RAM-i hulgast. Kui skannimine on lõppenud, peaksite nägema järgmist.

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ülaltoodud väljund ütleb, et kõik failid ja kataloogid vastavad AIDE andmebaasile.

AIDE testimine

Vaikimisi ei jälgi AIDE vaikimisi Apache juurkataloogi /var/www/html. Seadistame AIDE selle vaatamiseks. Selleks peate faili muutma /etc/aide.conf.

nano /etc/aide.conf

Lisa ülemine rida "/root/CONTENT_EX" järgmine:

/var/www/html/ CONTENT_EX

Järgmisena looge fail aide.txt kataloogis /var/www/html/kasutades järgmist käsku:

echo "Test AIDE" > /var/www/html/aide.txt

Nüüd käivitage AIDE kontroll ja veenduge, et loodud fail tuvastatakse.

aide --check

Peaksite nägema järgmist.

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Näeme, et loodud fail tuvastati aide.txt.
Pärast tuvastatud muudatuste analüüsimist värskendage AIDE andmebaasi.

aide --update

Pärast värskendamist näete järgmist:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Ülaltoodud käsk loob uue andmebaasi aide.db.new.gz kataloogis 

/var/lib/aide/

Näete seda järgmise käsuga:

ls -l /var/lib/aide/

Tulemus:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Nüüd nimetab uus andmebaas uuesti ümber, nii et AIDE kasutab uut andmebaasi edasiste muudatuste jälgimiseks. Saate selle ümber nimetada järgmiselt:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Käivitage kontroll uuesti veendumaks, et AIDE kasutab uut andmebaasi:

aide --check

Peaksite nägema järgmist.

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Automatiseerime kontrolli

AIDE-kontroll on hea mõte iga päev läbi viia ja aruanne postiga saata. Seda protsessi saab automatiseerida kasutades cron.

nano /etc/crontab

AIDE kontrolli käivitamiseks iga päev kell 10:15 lisage faili lõppu järgmine rida:

15 10 * * * root /usr/sbin/aide --check

AIDE teavitab teid nüüd posti teel. Saate oma e-kirju kontrollida järgmise käsuga:

tail -f /var/mail/root

AIDE logi saab vaadata järgmise käsuga:

tail -f /var/log/aide/aide.log

Järeldus

Sellest artiklist õppisite, kuidas kasutada AIDE-d failimuudatuste tuvastamiseks ja volitamata serverijuurdepääsu tuvastamiseks. Täiendavate sätete jaoks saate redigeerida konfiguratsioonifaili /etc/aide.conf. Turvalisuse huvides on soovitatav salvestada andmebaas ja konfiguratsioonifail kirjutuskaitstud meediumile. Lisateavet leiate dokumentatsioonist AIDE Doc.

Lisateavet kursuse kohta.

Allikas: www.habr.com

Lisa kommentaar