Prije početka tečaja
AIDE je kratica za "Advanced Intrusion Detection Environment" i jedan je od najpopularnijih sustava za praćenje promjena u operativnim sustavima temeljenim na Linuxu. AIDE se koristi za zaštitu od malwarea, virusa i otkrivanje neovlaštenih aktivnosti. Za provjeru integriteta datoteke i otkrivanje upada, AIDE stvara bazu podataka o datotekama i uspoređuje trenutno stanje sustava s ovom bazom podataka. AIDE pomaže smanjiti vrijeme istrage incidenta fokusirajući se na datoteke koje su izmijenjene.
AIDE značajke:
- Podržava različite atribute datoteka, uključujući: vrstu datoteke, inode, uid, gid, dopuštenja, broj veza, mtime, ctime i atime.
- Podrška za Gzip kompresiju, SELinux, XAttrs, Posix ACL i atribute datotečnog sustava.
- Podržava različite algoritme uključujući md5, sha1, sha256, sha512, rmd160, crc32 itd.
- Slanje obavijesti e-poštom.
U ovom članku ćemo pogledati kako instalirati i koristiti AIDE za otkrivanje upada na CentOS 8.
Preduvjeti
- Poslužitelj koji pokreće CentOS 8, s najmanje 2 GB RAM-a.
- root pristup
Početak rada
Preporuča se prvo ažurirati sustav. Da biste to učinili, pokrenite sljedeću naredbu.
dnf update -y
Nakon ažuriranja ponovno pokrenite sustav kako bi promjene stupile na snagu.
Instaliranje AIDE-a
AIDE je dostupan u zadanom repozitoriju CentOS 8. Možete ga jednostavno instalirati pokretanjem sljedeće naredbe:
dnf install aide -y
Nakon dovršetka instalacije, možete vidjeti AIDE verziju pomoću sljedeće naredbe:
aide --version
Trebali biste vidjeti sljedeće:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Dostupne opcije aide
može se vidjeti na sljedeći način:
aide --help
Izrada i inicijalizacija baze podataka
Prva stvar koju trebate učiniti nakon instaliranja AIDE je inicijalizirati ga. Inicijalizacija se sastoji od stvaranja baze podataka (snapshot) svih datoteka i direktorija na poslužitelju.
Da biste pokrenuli bazu podataka, pokrenite sljedeću naredbu:
aide --init
Trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Gornja naredba će stvoriti novu bazu podataka aide.db.new.gz
u katalogu /var/lib/aide
. Može se vidjeti pomoću sljedeće naredbe:
ls -l /var/lib/aide
Rezultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE neće koristiti ovu novu datoteku baze podataka dok se ne preimenuje u aide.db.gz
. To se može učiniti na sljedeći način:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Preporuča se da povremeno ažurirate ovu bazu podataka kako biste osigurali pravilno praćenje promjena.
Možete promijeniti lokaciju baze podataka promjenom parametra DBDIR
u spisu /etc/aide.conf
.
Provjera
AIDE je sada spreman za korištenje nove baze podataka. Pokrenite prvu AIDE provjeru bez ikakvih promjena:
aide --check
Za dovršetak ove naredbe trebat će neko vrijeme, ovisno o veličini vašeg datotečnog sustava i količini RAM-a na vašem poslužitelju. Kada skeniranje završi, trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Gornji izlaz kaže da sve datoteke i direktoriji odgovaraju AIDE bazi podataka.
Testiranje AIDE
Prema zadanim postavkama, AIDE ne prati zadani korijenski direktorij Apachea /var/www/html.
Konfigurirajmo AIDE da ga vidi. Da biste to učinili, morate promijeniti datoteku /etc/aide.conf
.
nano /etc/aide.conf
Dodajte gornji red "/root/CONTENT_EX"
sljedeće:
/var/www/html/ CONTENT_EX
Zatim izradite datoteku aide.txt
u katalogu /var/www/html/
pomoću sljedeće naredbe:
echo "Test AIDE" > /var/www/html/aide.txt
Sada pokrenite AIDE provjeru i provjerite je li stvorena datoteka otkrivena.
aide --check
Trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Vidimo da je stvorena datoteka otkrivena aide.txt
.
Nakon analize otkrivenih promjena, ažurirajte AIDE bazu podataka.
aide --update
Nakon ažuriranja vidjet ćete sljedeće:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Gornja naredba će stvoriti novu bazu podataka aide.db.new.gz
u katalogu
/var/lib/aide/
Možete ga vidjeti sljedećom naredbom:
ls -l /var/lib/aide/
Rezultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Sada ponovno preimenujte novu bazu podataka tako da AIDE koristi novu bazu podataka za praćenje daljnjih promjena. Možete ga preimenovati na sljedeći način:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Ponovno pokrenite provjeru kako biste bili sigurni da AIDE koristi novu bazu podataka:
aide --check
Trebali biste vidjeti sljedeće:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Automatiziramo provjeru
Dobro je pokrenuti AIDE provjeru svaki dan i poslati izvješće poštom. Ovaj proces se može automatizirati pomoću cron-a.
nano /etc/crontab
Za pokretanje AIDE provjere svaki dan u 10:15, dodajte sljedeći redak na kraj datoteke:
15 10 * * * root /usr/sbin/aide --check
AIDE će vas sada obavijestiti poštom. Svoju poštu možete provjeriti sljedećom naredbom:
tail -f /var/mail/root
Dnevnik AIDE može se pregledati pomoću sljedeće naredbe:
tail -f /var/log/aide/aide.log
Zaključak
U ovom ste članku naučili kako koristiti AIDE za otkrivanje promjena datoteke i prepoznavanje neovlaštenog pristupa poslužitelju. Za dodatne postavke možete urediti konfiguracijsku datoteku /etc/aide.conf. Iz sigurnosnih razloga preporuča se pohranjivanje baze podataka i konfiguracijske datoteke na medij samo za čitanje. Više informacija možete pronaći u dokumentaciji
Izvor: www.habr.com