ProHoster > Blogi > antaminen > Kuinka asentaa ja käyttää AIDE (Advanced Intrusion Detection Environment) CentOS 8:ssa

Kuinka asentaa ja käyttää AIDE (Advanced Intrusion Detection Environment) CentOS 8:ssa

Ennen kurssin alkua "Linux-järjestelmänvalvoja" Olemme laatineet käännöksen mielenkiintoisesta materiaalista.

Kuinka asentaa ja käyttää AIDE (Advanced Intrusion Detection Environment) CentOS 8:ssa

AIDE tulee sanoista "Advanced Intrusion Detection Environment" ja on yksi suosituimmista järjestelmistä Linux-pohjaisten käyttöjärjestelmien muutosten seurantaan. AIDEa käytetään suojaamaan haittaohjelmilta, viruksilta ja havaitsemaan luvaton toiminta. Tarkistaakseen tiedoston eheyden ja havaitakseen tunkeutumisen AIDE luo tietokannan tiedostotiedoista ja vertaa järjestelmän nykyistä tilaa tähän tietokantaan. AIDE auttaa vähentämään tapausten tutkimiseen kuluvaa aikaa keskittymällä tiedostoihin, joita on muokattu.

AIDEn ominaisuudet:

  • Tukee erilaisia ​​tiedostomääritteitä, mukaan lukien: tiedostotyyppi, inode, uid, gid, käyttöoikeudet, linkkien määrä, mtime, ctime ja atime.
  • Tuki Gzip-pakkaukselle, SELinuxille, XAttrs-, Posix ACL- ja tiedostojärjestelmämääritteille.
  • Tukee erilaisia ​​​​algoritmeja, kuten md5, sha1, sha256, sha512, rmd160, crc32 jne.
  • Ilmoitusten lähettäminen sähköpostitse.

Tässä artikkelissa tarkastellaan, kuinka AIDE asennetaan ja käytetään tunkeutumisen havaitsemiseen CentOS 8:ssa.

Edellytykset

  • Palvelin, jossa on CentOS 8, vähintään 2 Gt RAM-muistia.
  • pääkäyttäjän oikeudet

Aloittaminen

On suositeltavaa päivittää järjestelmä ensin. Voit tehdä tämän suorittamalla seuraavan komennon.

dnf update -y

Päivityksen jälkeen käynnistä järjestelmä uudelleen, jotta muutokset tulevat voimaan.

AIDEn asennus

AIDE on saatavana oletusarvoisessa CentOS 8 -varastossa. Voit asentaa sen helposti suorittamalla seuraavan komennon:

dnf install aide -y

Kun asennus on valmis, voit tarkastella AIDE-versiota seuraavalla komennolla:

aide --version

Sinun pitäisi nähdä seuraava:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Käytettävissä olevat vaihtoehdot aide voidaan katsoa seuraavasti:

aide --help

Kuinka asentaa ja käyttää AIDE (Advanced Intrusion Detection Environment) CentOS 8:ssa

Tietokannan luominen ja alustaminen

Ensimmäinen asia, joka sinun on tehtävä AIDEn asennuksen jälkeen, on alustaa se. Alustus koostuu tietokannan (snapshot) luomisesta kaikista palvelimella olevista tiedostoista ja hakemistoista.

Alusta tietokanta suorittamalla seuraava komento:

aide --init

Sinun pitäisi nähdä seuraava:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Yllä oleva komento luo uuden tietokannan aide.db.new.gz luettelossa /var/lib/aide. Se voidaan nähdä käyttämällä seuraavaa komentoa:

ls -l /var/lib/aide

Результат:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE ei käytä tätä uutta tietokantatiedostoa ennen kuin se on nimetty uudelleen aide.db.gz. Tämä voidaan tehdä seuraavasti:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

On suositeltavaa päivittää tämä tietokanta ajoittain varmistaaksesi, että muutoksia seurataan oikein.

Voit muuttaa tietokannan sijaintia muuttamalla parametria DBDIR tiedostossa /etc/aide.conf.

Tarkistaa

AIDE on nyt valmis käyttämään uutta tietokantaa. Suorita ensimmäinen AIDE-tarkistus tekemättä muutoksia:

aide --check

Tämän komennon suorittaminen kestää jonkin aikaa riippuen tiedostojärjestelmäsi koosta ja palvelimesi RAM-muistin määrästä. Kun skannaus on valmis, sinun pitäisi nähdä seuraava:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Yllä oleva tulos sanoo, että kaikki tiedostot ja hakemistot vastaavat AIDE-tietokantaa.

AIDEn testaus

Oletusarvoisesti AIDE ei seuraa Apachen oletusjuurihakemistoa /var/www/html. Määritetään AIDE katsomaan sitä. Tätä varten sinun on vaihdettava tiedosto /etc/aide.conf.

nano /etc/aide.conf

Lisää yllä oleva rivi "/root/CONTENT_EX" seuraavat:

/var/www/html/ CONTENT_EX

Luo seuraavaksi tiedosto aide.txt luettelossa /var/www/html/käyttämällä seuraavaa komentoa:

echo "Test AIDE" > /var/www/html/aide.txt

Suorita nyt AIDE-tarkistus ja varmista, että luotu tiedosto havaitaan.

aide --check

Sinun pitäisi nähdä seuraava:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Näemme, että luotu tiedosto on havaittu aide.txt.
Kun olet analysoinut havaitut muutokset, päivitä AIDE-tietokanta.

aide --update

Päivityksen jälkeen näet seuraavan:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Yllä oleva komento luo uuden tietokannan aide.db.new.gz luettelossa 

/var/lib/aide/

Voit nähdä sen seuraavalla komennolla:

ls -l /var/lib/aide/

Результат:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Nimeä nyt uusi tietokanta uudelleen niin, että AIDE käyttää uutta tietokantaa uusien muutosten seuraamiseen. Voit nimetä sen uudelleen seuraavasti:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Suorita tarkistus uudelleen varmistaaksesi, että AIDE käyttää uutta tietokantaa:

aide --check

Sinun pitäisi nähdä seuraava:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Automatisoimme tarkistuksen

On hyvä ajatus suorittaa AIDE-tarkistus joka päivä ja lähettää raportti postitse. Tämä prosessi voidaan automatisoida käyttämällä cron.

nano /etc/crontab

Jos haluat suorittaa AIDE-tarkistuksen joka päivä klo 10, lisää seuraava rivi tiedoston loppuun:

15 10 * * * root /usr/sbin/aide --check

AIDE ilmoittaa sinulle nyt postitse. Voit tarkistaa sähköpostisi seuraavalla komennolla:

tail -f /var/mail/root

AIDE-lokia voi tarkastella seuraavalla komennolla:

tail -f /var/log/aide/aide.log

Johtopäätös

Tässä artikkelissa opit, kuinka AIDE havaitsee tiedostomuutokset ja tunnistaa luvattoman palvelimen käytön. Lisäasetuksia varten voit muokata /etc/aide.conf-määritystiedostoa. Turvallisuussyistä on suositeltavaa tallentaa tietokanta ja asetustiedosto vain luku -mediaan. Lisätietoja löytyy dokumentaatiosta AIDE Doc.

Lue lisää kurssista.

Lähde: will.com

Lisää kommentti