ProHoster > Blog > Administrazioa > Nola instalatu eta erabili AIDE (Advanced Intrusion Detection Environment) CentOS 8-n

Nola instalatu eta erabili AIDE (Advanced Intrusion Detection Environment) CentOS 8-n

Ikastaroa hasi baino lehen "Linux administratzailea" Material interesgarriaren itzulpena prestatu dugu.

Nola instalatu eta erabili AIDE (Advanced Intrusion Detection Environment) CentOS 8-n

AIDE "Advanced Intrusion Detection Environment" esan nahi du eta Linux-en oinarritutako sistema eragileen aldaketak kontrolatzeko sistema ezagunenetako bat da. AIDE malware, birusetatik babesteko eta baimenik gabeko jarduerak detektatzeko erabiltzen da. Fitxategien osotasuna egiaztatzeko eta intrusioak detektatzeko, AIDEk fitxategien informazioaren datu-base bat sortzen du eta sistemaren uneko egoera datu-base honekin konparatzen du. AIDEk gertakariak ikertzeko denbora murrizten laguntzen du, aldatu diren fitxategietan arreta jarriz.

AIDE ezaugarriak:

  • Hainbat fitxategi-atributu onartzen ditu, besteak beste: fitxategi mota, inodoa, uid, gid, baimenak, esteka kopurua, mtime, ctime eta atime.
  • Gzip konpresioa, SELinux, XAttrs, Posix ACL eta fitxategi sistemaren atributuetarako laguntza.
  • Hainbat algoritmo onartzen ditu md5, sha1, sha256, sha512, rmd160, crc32, etab.
  • Jakinarazpenak posta elektronikoz bidaltzea.

Artikulu honetan, CentOS 8-n AIDE nola instalatu eta nola erabili aztertuko dugu intrusioak detektatzeko.

Aurrebaldintzak

  • CentOS 8 exekutatzen duen zerbitzaria, gutxienez 2 GB RAMarekin.
  • root sarbidea

Lehen urratsak

Lehenengo sistema eguneratzea gomendatzen da. Horretarako, exekutatu komando hau.

dnf update -y

Eguneratu ondoren, berrabiarazi zure sistema aldaketak indarrean egon daitezen.

AIDE instalatzen

AIDE CentOS 8 biltegi lehenetsian dago eskuragarri. Erraz instala dezakezu komando hau exekutatuz:

dnf install aide -y

Instalazioa amaitutakoan, AIDE bertsioa ikus dezakezu komando hau erabiliz:

aide --version

Honako hau ikusi beharko zenuke:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Eskuragarri dauden aukerak aide honela ikus daiteke:

aide --help

Nola instalatu eta erabili AIDE (Advanced Intrusion Detection Environment) CentOS 8-n

Datu-basea sortzea eta hasieratzea

AIDE instalatu ondoren egin behar duzun lehenengo gauza hasieratzea da. Hasieratzea zerbitzariko fitxategi eta direktorio guztien datu-base bat (instantanea) sortzean datza.

Datu-basea hasieratzeko, exekutatu komando hau:

aide --init

Honako hau ikusi beharko zenuke:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Goiko komandoak datu-base berri bat sortuko du aide.db.new.gz katalogoan /var/lib/aide. Komando hau erabiliz ikus daiteke:

ls -l /var/lib/aide

Emaitza:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDEk ez du erabiliko datu-base fitxategi berri hau izena aldatu arte aide.db.gz. Hau honela egin daiteke:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Datu-base hau aldian-aldian eguneratzea gomendatzen da aldaketak behar bezala kontrolatzen direla ziurtatzeko.

Datu-basearen kokapena alda dezakezu parametroa aldatuz DBDIR fitxategian /etc/aide.conf.

Eskaneatu bat egiten

AIDE datu-base berria erabiltzeko prest dago. Exekutatu lehen AIDE egiaztapena aldaketarik egin gabe:

aide --check

Komando honek denbora pixka bat beharko du osatzeko zure fitxategi-sistemaren tamainaren eta zerbitzariaren RAM kopuruaren arabera. Eskaneatzea amaitutakoan, honako hau ikusi beharko zenuke:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Goiko irteerak dio fitxategi eta direktorio guztiak AIDE datu-basearekin bat datozela.

AIDE probak

Lehenespenez, AIDEk ez du Apache erroko direktorio lehenetsiaren jarraipena egiten /var/www/html. Konfigura dezagun AIDE ikusteko. Horretarako fitxategia aldatu behar duzu /etc/aide.conf.

nano /etc/aide.conf

Gehitu goiko lerroa "/root/CONTENT_EX" honako hau:

/var/www/html/ CONTENT_EX

Ondoren, sortu fitxategi bat aide.txt katalogoan /var/www/html/komando hau erabiliz:

echo "Test AIDE" > /var/www/html/aide.txt

Orain exekutatu AIDE egiaztapena eta ziurtatu sortutako fitxategia detektatzen dela.

aide --check

Honako hau ikusi beharko zenuke:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Sortutako fitxategia detektatzen dela ikusten dugu aide.txt.
Detektatu diren aldaketak aztertu ondoren, eguneratu AIDE datu-basea.

aide --update

Eguneratu ondoren, honako hau ikusiko duzu:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Goiko komandoak datu-base berri bat sortuko du aide.db.new.gz katalogoan 

/var/lib/aide/

Komando honekin ikus dezakezu:

ls -l /var/lib/aide/

Emaitza:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Orain berriro izena aldatu datu-base berriari, AIDEk datu-base berria erabil dezan aldaketa gehiago jarraitzeko. Honela aldatu dezakezu izena:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Exekutatu egiaztapena berriro AIDE datu-base berria erabiltzen ari dela ziurtatzeko:

aide --check

Honako hau ikusi beharko zenuke:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Egiaztapena automatizatzen dugu

Ideia ona da egunero AIDE egiaztapena egitea eta txostena bidaltzea. Prozesu hau cron erabiliz automatizatu daiteke.

nano /etc/crontab

AIDE egiaztapena egunero 10:15ean exekutatzeko, gehitu lerro hau fitxategiaren amaieran:

15 10 * * * root /usr/sbin/aide --check

AIDEk posta bidez jakinaraziko dizu orain. Zure posta egiaztatu dezakezu komando honekin:

tail -f /var/mail/root

AIDE erregistroa komando hau erabiliz ikus daiteke:

tail -f /var/log/aide/aide.log

Ondorioa

Artikulu honetan, AIDE fitxategien aldaketak detektatzeko eta baimenik gabeko zerbitzarirako sarbidea identifikatzeko AIDE erabiltzen ikasi duzu. Ezarpen gehigarrietarako, /etc/aide.conf konfigurazio fitxategia edita dezakezu. Segurtasun arrazoiengatik, datu-basea eta konfigurazio fitxategia irakurtzeko soilik den euskarri batean gordetzea gomendatzen da. Informazio gehiago dokumentazioan aurki daiteke AIDE Dok.

Ikastaroari buruzko informazio gehiago.

Iturria: www.habr.com

Gehitu iruzkin berria