ProHoster > Blog > uprava > Kako instalirati i koristiti AIDE (Napredno okruženje za otkrivanje upada) na CentOS 8

Kako instalirati i koristiti AIDE (Napredno okruženje za otkrivanje upada) na CentOS 8

Prije početka tečaja "Linux administrator" pripremio prijevod zanimljivog materijala.

Kako instalirati i koristiti AIDE (Napredno okruženje za otkrivanje upada) na CentOS 8

AIDE je kratica za "Advanced Intrusion Detection Environment" i jedan je od najpopularnijih sustava za praćenje promjena u operativnim sustavima temeljenim na Linuxu. AIDE se koristi za zaštitu od malwarea, virusa i otkrivanje neovlaštenih aktivnosti. Za provjeru integriteta datoteke i otkrivanje upada, AIDE stvara bazu podataka o datotekama i uspoređuje trenutno stanje sustava s ovom bazom podataka. AIDE pomaže smanjiti vrijeme istrage incidenta fokusirajući se na datoteke koje su izmijenjene.

AIDE značajke:

  • Podržava različite atribute datoteka, uključujući: vrstu datoteke, inode, uid, gid, dopuštenja, broj veza, mtime, ctime i atime.
  • Podrška za Gzip kompresiju, SELinux, XAttrs, Posix ACL i atribute datotečnog sustava.
  • Podržava različite algoritme uključujući md5, sha1, sha256, sha512, rmd160, crc32 itd.
  • Slanje obavijesti e-poštom.

U ovom članku ćemo pogledati kako instalirati i koristiti AIDE za otkrivanje upada na CentOS 8.

Preduvjeti

  • Poslužitelj koji pokreće CentOS 8, s najmanje 2 GB RAM-a.
  • root pristup

Početak rada

Preporuča se prvo ažurirati sustav. Da biste to učinili, pokrenite sljedeću naredbu.

dnf update -y

Nakon ažuriranja ponovno pokrenite sustav kako bi promjene stupile na snagu.

Instaliranje AIDE-a

AIDE je dostupan u zadanom repozitoriju CentOS 8. Možete ga jednostavno instalirati pokretanjem sljedeće naredbe:

dnf install aide -y

Nakon dovršetka instalacije, možete vidjeti AIDE verziju pomoću sljedeće naredbe:

aide --version

Trebali biste vidjeti sljedeće:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Dostupne opcije aide može se vidjeti na sljedeći način:

aide --help

Kako instalirati i koristiti AIDE (Napredno okruženje za otkrivanje upada) na CentOS 8

Izrada i inicijalizacija baze podataka

Prva stvar koju trebate učiniti nakon instaliranja AIDE je inicijalizirati ga. Inicijalizacija se sastoji od stvaranja baze podataka (snapshot) svih datoteka i direktorija na poslužitelju.

Da biste pokrenuli bazu podataka, pokrenite sljedeću naredbu:

aide --init

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Gornja naredba će stvoriti novu bazu podataka aide.db.new.gz u katalogu /var/lib/aide. Može se vidjeti pomoću sljedeće naredbe:

ls -l /var/lib/aide

Rezultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE neće koristiti ovu novu datoteku baze podataka dok se ne preimenuje u aide.db.gz. To se može učiniti na sljedeći način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Preporuča se da povremeno ažurirate ovu bazu podataka kako biste osigurali pravilno praćenje promjena.

Možete promijeniti lokaciju baze podataka promjenom parametra DBDIR u spisu /etc/aide.conf.

Provjera

AIDE je sada spreman za korištenje nove baze podataka. Pokrenite prvu AIDE provjeru bez ikakvih promjena:

aide --check

Za dovršetak ove naredbe trebat će neko vrijeme, ovisno o veličini vašeg datotečnog sustava i količini RAM-a na vašem poslužitelju. Kada skeniranje završi, trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Gornji izlaz kaže da sve datoteke i direktoriji odgovaraju AIDE bazi podataka.

Testiranje AIDE

Prema zadanim postavkama, AIDE ne prati zadani korijenski direktorij Apachea /var/www/html. Konfigurirajmo AIDE da ga vidi. Da biste to učinili, morate promijeniti datoteku /etc/aide.conf.

nano /etc/aide.conf

Dodajte gornji red "/root/CONTENT_EX" sljedeće:

/var/www/html/ CONTENT_EX

Zatim izradite datoteku aide.txt u katalogu /var/www/html/pomoću sljedeće naredbe:

echo "Test AIDE" > /var/www/html/aide.txt

Sada pokrenite AIDE provjeru i provjerite je li stvorena datoteka otkrivena.

aide --check

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vidimo da je stvorena datoteka otkrivena aide.txt.
Nakon analize otkrivenih promjena, ažurirajte AIDE bazu podataka.

aide --update

Nakon ažuriranja vidjet ćete sljedeće:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Gornja naredba će stvoriti novu bazu podataka aide.db.new.gz u katalogu 

/var/lib/aide/

Možete ga vidjeti sljedećom naredbom:

ls -l /var/lib/aide/

Rezultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sada ponovno preimenujte novu bazu podataka tako da AIDE koristi novu bazu podataka za praćenje daljnjih promjena. Možete ga preimenovati na sljedeći način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ponovno pokrenite provjeru kako biste bili sigurni da AIDE koristi novu bazu podataka:

aide --check

Trebali biste vidjeti sljedeće:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Automatiziramo provjeru

Dobro je pokrenuti AIDE provjeru svaki dan i poslati izvješće poštom. Ovaj proces se može automatizirati pomoću cron-a.

nano /etc/crontab

Za pokretanje AIDE provjere svaki dan u 10:15, dodajte sljedeći redak na kraj datoteke:

15 10 * * * root /usr/sbin/aide --check

AIDE će vas sada obavijestiti poštom. Svoju poštu možete provjeriti sljedećom naredbom:

tail -f /var/mail/root

Dnevnik AIDE može se pregledati pomoću sljedeće naredbe:

tail -f /var/log/aide/aide.log

Zaključak

U ovom ste članku naučili kako koristiti AIDE za otkrivanje promjena datoteke i prepoznavanje neovlaštenog pristupa poslužitelju. Za dodatne postavke možete urediti konfiguracijsku datoteku /etc/aide.conf. Iz sigurnosnih razloga preporuča se pohranjivanje baze podataka i konfiguracijske datoteke na medij samo za čitanje. Više informacija možete pronaći u dokumentaciji POMOĆNIK Doc.

Saznajte više o tečaju.

Izvor: www.habr.com

Dodajte komentar