Mus tòisich an cùrsa Tha sinn air eadar-theangachadh de stuth inntinneach ullachadh.
Tha AIDE a’ seasamh airson “Àrainneachd Lorgaidh Adhartach” agus is e aon de na siostaman as mòr-chòrdte airson sùil a chumail air atharrachaidhean ann an siostaman obrachaidh stèidhichte air Linux. Tha AIDE air a chleachdadh gus dìon an aghaidh malware, bhìorasan agus lorg gnìomhan gun chead. Gus ionracas faidhle a dhearbhadh agus sàrachadh a lorg, bidh AIDE a’ cruthachadh stòr-dàta de dh’fhiosrachadh faidhle agus a’ dèanamh coimeas eadar staid làithreach an t-siostaim agus an stòr-dàta seo. Bidh AIDE a’ cuideachadh le bhith a’ lughdachadh ùine sgrùdaidh tachartais le bhith ag amas air faidhlichean a chaidh atharrachadh.
Feartan AIDE:
- A’ toirt taic do ghrunn fheartan faidhle, a’ gabhail a-steach: seòrsa faidhle, inode, uid, gid, ceadan, àireamh cheanglaichean, mtime, ctime agus atime.
- Taic airson teannachadh Gzip, SELinux, XAttrs, Posix ACL agus buadhan siostam faidhle.
- A’ toirt taic do ghrunn algoirmean a’ gabhail a-steach md5, sha1, sha256, sha512, rmd160, crc32, msaa.
- A’ cur fiosan tro phost-d.
San artaigil seo, seallaidh sinn ri mar a stàlaicheas agus a chleachdas tu AIDE airson lorg sàrachadh air CentOS 8.
Ro-ghoireasan
- Frithealaiche a’ ruith CentOS 8, le co-dhiù 2 GB de RAM.
- ruigsinneachd freumh
A 'tòiseachadh
Thathas a’ moladh an siostam ùrachadh an toiseach. Gus seo a dhèanamh, ruith an òrdugh a leanas.
dnf update -yÀs deidh ùrachadh, ath-thòisich an siostam agad airson na h-atharrachaidhean a thighinn gu buil.
Stàladh AIDE
Tha AIDE ri fhaighinn anns an stòras bunaiteach CentOS 8. Faodaidh tu a stàladh gu furasta le bhith a 'ruith an òrdugh a leanas:
dnf install aide -yAon uair ‘s gu bheil an stàladh deiseil, faodaidh tu an dreach AIDE fhaicinn a’ cleachdadh an àithne a leanas:
aide --versionBu chòir dhut na leanas fhaicinn:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Roghainnean rim faighinn aide faodar fhaicinn mar a leanas:
aide --help
A 'cruthachadh agus a' tòiseachadh an stòr-dàta
Is e a’ chiad rud a dh’ fheumas tu a dhèanamh às deidh dhut AIDE a chuir a-steach a thòiseachadh. Tha toiseach tòiseachaidh a’ toirt a-steach cruthachadh stòr-dàta (dealbh) de na faidhlichean agus na clàran uile air an fhrithealaiche.
Gus an stòr-dàta a thòiseachadh, ruith an òrdugh a leanas:
aide --initBu chòir dhut na leanas fhaicinn:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Cruthaichidh an àithne gu h-àrd stòr-dàta ùr aide.db.new.gz anns a ’chatalog /var/lib/aide. Chithear e a’ cleachdadh an àithne a leanas:
ls -l /var/lib/aideToradh:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
Cha chleachd AIDE am faidhle stòr-dàta ùr seo gus an tèid ath-ainmeachadh gu aide.db.gz. Faodar seo a dhèanamh mar a leanas:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzThathas a’ moladh gun ùraich thu an stòr-dàta seo bho àm gu àm gus dèanamh cinnteach gu bheilear a’ cumail sùil cheart air atharrachaidhean.
Faodaidh tu suidheachadh an stòr-dàta atharrachadh le bhith ag atharrachadh am paramadair DBDIR ann am faidhle /etc/aide.conf.
A 'ruith scan
Tha AIDE a-nis deiseil airson an stòr-dàta ùr a chleachdadh. Ruith a’ chiad sgrùdadh AIDE gun atharrachadh sam bith a dhèanamh:
aide --checkBheir an àithne seo beagan ùine ri chrìochnachadh a rèir meud an t-siostam faidhle agad agus na tha de RAM air an fhrithealaiche agad. Nuair a bhios an scan deiseil bu chòir dhut na leanas fhaicinn:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Tha an toradh gu h-àrd ag ràdh gu bheil a h-uile faidhle agus eòlaire a’ maidseadh stòr-dàta AIDE.
A 'dèanamh deuchainn air AIDE
Gu gnàthach, chan eil AIDE a’ cumail sùil air an eòlaire freumha Apache bunaiteach /var/www/html. Feuch an cuir sinn AIDE air dòigh airson fhaicinn. Gus seo a dhèanamh feumaidh tu am faidhle atharrachadh /etc/aide.conf.
nano /etc/aide.conf
Cuir ris an loidhne gu h-àrd "/root/CONTENT_EX" a leanas:
/var/www/html/ CONTENT_EX
An ath rud, cruthaich faidhle aide.txt anns a ’chatalog /var/www/html/a 'cleachdadh an òrdugh a leanas:
echo "Test AIDE" > /var/www/html/aide.txtA-nis ruith an sgrùdadh AIDE agus dèan cinnteach gu bheil am faidhle cruthaichte air a lorg.
aide --checkBu chòir dhut na leanas fhaicinn:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Chì sinn gu bheil am faidhle cruthaichte air a lorg aide.txt.
Às deidh mion-sgrùdadh a dhèanamh air na h-atharrachaidhean a chaidh a lorg, ùraich an stòr-dàta AIDE.
aide --updateÀs deidh an ùrachadh chì thu na leanas:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Cruthaichidh an àithne gu h-àrd stòr-dàta ùr aide.db.new.gz anns a ’chatalog
/var/lib/aide/Chì thu e leis an òrdugh a leanas:
ls -l /var/lib/aide/Toradh:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzA-nis ath-ainmich an stòr-dàta ùr a-rithist gus an cleachd AIDE an stòr-dàta ùr gus sùil a chumail air atharrachaidhean eile. Faodaidh tu ath-ainmeachadh mar a leanas:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzRuith an t-seic a-rithist gus dèanamh cinnteach gu bheil AIDE a’ cleachdadh an stòr-dàta ùr:
aide --checkBu chòir dhut na leanas fhaicinn:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Bidh sinn a’ dèanamh an t-seic gu fèin-ghluasadach
Is e deagh bheachd a th’ ann sgrùdadh AIDE a ruith a h-uile latha agus an aithisg a phostadh. Faodar am pròiseas seo a dhèanamh fèin-ghluasadach le bhith a’ cleachdadh cron.
nano /etc/crontabGus an sgrùdadh AIDE a ruith gach latha aig 10:15, cuir an loidhne a leanas gu deireadh an fhaidhle:
15 10 * * * root /usr/sbin/aide --checkCuiridh AIDE fios thugad tron phost a-nis. Faodaidh tu do phost a sgrùdadh leis an òrdugh a leanas:
tail -f /var/mail/rootFaodar an log AIDE fhaicinn leis an òrdugh a leanas:
tail -f /var/log/aide/aide.logco-dhùnadh
San artaigil seo, dh’ ionnsaich thu mar a chleachdas tu AIDE gus atharrachaidhean faidhle a lorg agus ruigsinneachd frithealaiche gun chead a chomharrachadh. Airson roghainnean a bharrachd, faodaidh tu am faidhle rèiteachaidh /etc/aide.conf a dheasachadh. Airson adhbharan tèarainteachd, thathas a’ moladh an stòr-dàta agus am faidhle rèiteachaidh a stòradh air meadhanan a tha ri leughadh a-mhàin. Gheibhear tuilleadh fiosrachaidh anns na sgrìobhainnean .
Source: www.habr.com