ProHoster > Blog > Bestjoer > Hoe AIDE (Advanced Intrusion Detection Environment) te ynstallearjen en te brûken op CentOS 8

Hoe AIDE (Advanced Intrusion Detection Environment) te ynstallearjen en te brûken op CentOS 8

Foar it begjin fan 'e kursus "Linux behearder" in oersetting makke fan nijsgjirrich materiaal.

Hoe AIDE (Advanced Intrusion Detection Environment) te ynstallearjen en te brûken op CentOS 8

AIDE stiet foar "Advanced Intrusion Detection Environment" en is ien fan 'e populêrste systemen foar it kontrolearjen fan feroaringen yn Linux-basearre bestjoeringssystemen. AIDE wurdt brûkt om te beskermjen tsjin malware, firussen en ûntdekke net-autorisearre aktiviteiten. Om de yntegriteit fan bestân te ferifiearjen en ynbraken te detektearjen, makket AIDE in databank fan triemynformaasje en fergeliket de hjoeddeistige steat fan it systeem mei dizze databank. AIDE helpt it ûndersykstiid fan ynsidint te ferminderjen troch te fokusjen op bestannen dy't binne wizige.

AIDE-funksjes:

  • Unterstützt ferskate triemattributen, ynklusyf: bestânstype, inode, uid, gid, tagongsrjochten, oantal keppelings, mtime, ctime en atime.
  • Stipe foar Gzip-kompresje, SELinux, XAttrs, Posix ACL en bestânsysteemattributen.
  • Unterstützt ferskate algoritmen ynklusyf md5, sha1, sha256, sha512, rmd160, crc32, ensfh.
  • Ferstjoeren fan notifikaasjes fia e-post.

Yn dit artikel sille wy sjen hoe't jo AIDE kinne ynstallearje en brûke foar ynbraakdeteksje op CentOS 8.

Betingsten

  • Tsjinner rint CentOS 8, mei op syn minst 2 GB RAM.
  • root tagong

Begjin te begjinnen

It is oan te rieden om it systeem earst te aktualisearjen. Om dit te dwaan, útfiere it folgjende kommando.

dnf update -y

Nei it bywurkjen, starte jo systeem op 'e nij foar de wizigingen om effekt te nimmen.

Ynstallaasje fan AIDE

AIDE is beskikber yn it standert repository fan CentOS 8. Jo kinne it maklik ynstallearje troch it folgjende kommando út te fieren:

dnf install aide -y

As de ynstallaasje foltôge is, kinne jo de AIDE-ferzje besjen mei it folgjende kommando:

aide --version

Jo moatte it folgjende sjen:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Beskikbere opsjes aide kin as folget besjoen wurde:

aide --help

Hoe AIDE (Advanced Intrusion Detection Environment) te ynstallearjen en te brûken op CentOS 8

It oanmeitsjen en initialisearjen fan de databank

It earste ding dat jo moatte dwaan nei it ynstallearjen fan AIDE is it inisjalisearjen. Inisjalisaasje bestiet út it meitsjen fan in databank (snapshot) fan alle triemmen en mappen op de tsjinner.

Om de databank te inisjalisearjen, fier it folgjende kommando út:

aide --init

Jo moatte it folgjende sjen:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

It boppesteande kommando sil in nije databank meitsje aide.db.new.gz yn 'e katalogus /var/lib/aide. It kin sjoen wurde mei it folgjende kommando:

ls -l /var/lib/aide

Resultaat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE sil dit nije databankbestân net brûke oant it wurdt omneamd ta aide.db.gz. Dit kin dien wurde as folget:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

It is oan te rieden dat jo dizze databank periodyk bywurkje om te soargjen dat feroarings goed kontrolearre wurde.

Jo kinne de lokaasje fan 'e databank feroarje troch de parameter te feroarjen DBDIR yn triem /etc/aide.conf.

In kontrôle útfiere

AIDE is no klear om de nije databank te brûken. Rin de earste AIDE-kontrôle út sûnder feroaringen te meitsjen:

aide --check

Dit kommando sil wat tiid nimme om te foltôgjen ôfhinklik fan de grutte fan jo bestânsysteem en de hoemannichte RAM op jo server. Sadree't de scan foltôge is, moatte jo it folgjende sjen:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

De boppesteande útfier seit dat alle bestannen en mappen oerienkomme mei de AIDE-database.

Testing AIDE

Standert folget AIDE de standert Apache-rootmap net /var/www/html. Litte wy AIDE konfigurearje om it te besjen. Om dit te dwaan moatte jo de triem feroarje /etc/aide.conf.

nano /etc/aide.conf

Add boppe line "/root/CONTENT_EX" it folgjende:

/var/www/html/ CONTENT_EX

Folgjende, meitsje in triem aide.txt yn 'e katalogus /var/www/html/mei it folgjende kommando:

echo "Test AIDE" > /var/www/html/aide.txt

Rin no de AIDE-kontrôle út en soargje derfoar dat it oanmakke bestân wurdt ûntdutsen.

aide --check

Jo moatte it folgjende sjen:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Wy sjogge dat de oanmakke triem wurdt ûntdutsen aide.txt.
Nei it analysearjen fan de ûntdutsen wizigingen, update de AIDE-database.

aide --update

Nei de fernijing sille jo it folgjende sjen:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

It boppesteande kommando sil in nije databank meitsje aide.db.new.gz yn 'e katalogus 

/var/lib/aide/

Jo kinne it sjen mei it folgjende kommando:

ls -l /var/lib/aide/

Resultaat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

No werneame de nije databank wer, sadat AIDE de nije databank brûkt om fierdere wizigingen te folgjen. Jo kinne it omneame as folget:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Rin de kontrôle nochris út om te soargjen dat AIDE de nije databank brûkt:

aide --check

Jo moatte it folgjende sjen:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Wy automatisearje de kontrôle

It is in goed idee om elke dei in AIDE-kontrôle út te fieren en it rapport te mailen. Dit proses kin automatisearre wurde mei cron.

nano /etc/crontab

Om de AIDE-kontrôle elke dei om 10:15 út te fieren, foegje de folgjende rigel ta oan it ein fan it bestân:

15 10 * * * root /usr/sbin/aide --check

AIDE sil jo no per post ynformearje. Jo kinne jo e-post kontrolearje mei it folgjende kommando:

tail -f /var/mail/root

It AIDE-log kin wurde besjoen mei it folgjende kommando:

tail -f /var/log/aide/aide.log

konklúzje

Yn dit artikel hawwe jo leard hoe't jo AIDE kinne brûke om bestânwizigingen te detektearjen en unautorisearre servertagong te identifisearjen. Foar ekstra ynstellings kinne jo it /etc/aide.conf konfiguraasjetriem bewurkje. Om feiligensredenen wurdt it oanrikkemandearre om de databank en konfiguraasjetriem op te slaan op read-allinnich media. Mear ynformaasje is te finen yn 'e dokumintaasje AIDE Doc.

Learje mear oer de kursus.

Boarne: www.habr.com

Add a comment