Avant le début du cours Nous avons préparé une traduction de matériel intéressant.
AIDE signifie « Advanced Intrusion Detection Environment » et est l'un des systèmes les plus populaires pour surveiller les modifications dans les systèmes d'exploitation basés sur Linux. AIDE est utilisé pour se protéger contre les logiciels malveillants, les virus et détecter les activités non autorisées. Pour vérifier l'intégrité des fichiers et détecter les intrusions, AIDE crée une base de données d'informations sur les fichiers et compare l'état actuel du système avec cette base de données. AIDE contribue à réduire le temps d'enquête sur les incidents en se concentrant sur les fichiers qui ont été modifiés.
Caractéristiques d'AIDE :
- Prend en charge divers attributs de fichier, notamment : type de fichier, inode, uid, gid, autorisations, nombre de liens, mtime, ctime et atime.
- Prise en charge de la compression Gzip, de SELinux, de XAttrs, de Posix ACL et des attributs du système de fichiers.
- Prend en charge divers algorithmes, notamment md5, sha1, sha256, sha512, rmd160, crc32, etc.
- Envoi de notifications par email.
Dans cet article, nous verrons comment installer et utiliser AIDE pour la détection d'intrusion sur CentOS 8.
Conditions préalables
- Serveur exécutant CentOS 8, avec au moins 2 Go de RAM.
- accès root
Начинаем
Il est recommandé de mettre à jour le système au préalable. Pour ce faire, exécutez la commande suivante.
dnf update -yAprès la mise à jour, redémarrez votre système pour que les modifications prennent effet.
Installation d'AIDE
AIDE est disponible dans le référentiel par défaut CentOS 8. Vous pouvez facilement l'installer en exécutant la commande suivante :
dnf install aide -yUne fois l'installation terminée, vous pouvez visualiser la version AIDE à l'aide de la commande suivante :
aide --versionVous devriez voir ce qui suit :
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Options disponibles aide peut être considéré comme suit :
aide --help
Création et initialisation de la base de données
La première chose à faire après avoir installé AIDE est de l'initialiser. L'initialisation consiste à créer une base de données (instantané) de tous les fichiers et répertoires du serveur.
Pour initialiser la base de données, exécutez la commande suivante :
aide --initVous devriez voir ce qui suit :
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
La commande ci-dessus créera une nouvelle base de données aide.db.new.gz dans le catalogue /var/lib/aide. On peut le voir en utilisant la commande suivante :
ls -l /var/lib/aideRésultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE n'utilisera pas ce nouveau fichier de base de données tant qu'il ne sera pas renommé aide.db.gz. Cela peut être fait comme suit:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzIl est recommandé de mettre à jour cette base de données périodiquement pour garantir que les modifications sont correctement surveillées.
Vous pouvez modifier l'emplacement de la base de données en modifiant le paramètre DBDIR dans le fichier /etc/aide.conf.
Exécution d'un chèque
AIDE est maintenant prêt à utiliser la nouvelle base de données. Exécutez la première vérification AIDE sans apporter de modifications :
aide --checkCette commande prendra un certain temps en fonction de la taille de votre système de fichiers et de la quantité de RAM sur votre serveur. Une fois l'analyse terminée, vous devriez voir ce qui suit :
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!La sortie ci-dessus indique que tous les fichiers et répertoires correspondent à la base de données AIDE.
Test d'AIDE
Par défaut, AIDE ne suit pas le répertoire racine Apache par défaut /var/www/html. Configurons AIDE pour l'afficher. Pour ce faire, vous devez modifier le fichier /etc/aide.conf.
nano /etc/aide.conf
Ajouter la ligne ci-dessus "/root/CONTENT_EX" suivant:
/var/www/html/ CONTENT_EX
Ensuite, créez un fichier aide.txt dans le catalogue /var/www/html/en utilisant la commande suivante :
echo "Test AIDE" > /var/www/html/aide.txtExécutez maintenant la vérification AIDE et assurez-vous que le fichier créé est détecté.
aide --checkVous devriez voir ce qui suit :
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
On voit que le fichier créé est détecté aide.txt.
Après avoir analysé les modifications détectées, mettez à jour la base de données AIDE.
aide --updateAprès la mise à jour, vous verrez ce qui suit :
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
La commande ci-dessus créera une nouvelle base de données aide.db.new.gz dans le catalogue
/var/lib/aide/Vous pouvez le voir avec la commande suivante :
ls -l /var/lib/aide/Résultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzRenommez maintenant à nouveau la nouvelle base de données afin qu'AIDE l'utilise pour suivre les modifications ultérieures. Vous pouvez le renommer comme suit :
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzExécutez à nouveau la vérification pour vous assurer qu'AIDE utilise la nouvelle base de données :
aide --checkVous devriez voir ce qui suit :
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Nous automatisons le contrôle
C'est une bonne idée d'effectuer un contrôle AIDE chaque jour et d'envoyer le rapport par courrier. Ce processus peut être automatisé à l'aide de cron.
nano /etc/crontabPour exécuter la vérification AIDE tous les jours à 10h15, ajoutez la ligne suivante à la fin du fichier :
15 10 * * * root /usr/sbin/aide --checkAIDE vous en informera désormais par mail. Vous pouvez consulter votre courrier avec la commande suivante :
tail -f /var/mail/rootLe journal AIDE peut être consulté à l'aide de la commande suivante :
tail -f /var/log/aide/aide.logConclusion
Dans cet article, vous avez appris à utiliser AIDE pour détecter les modifications de fichiers et identifier les accès non autorisés au serveur. Pour des paramètres supplémentaires, vous pouvez modifier le fichier de configuration /etc/aide.conf. Pour des raisons de sécurité, il est recommandé de stocker la base de données et le fichier de configuration sur un support en lecture seule. Plus d'informations peuvent être trouvées dans la documentation .
Source: habr.com