ProHoster > Blog > Administrasyon an > Ki jan yo enstale epi sèvi ak AIDE (Anviwònman Deteksyon Entrizyon Avanse) sou CentOS 8

Ki jan yo enstale epi sèvi ak AIDE (Anviwònman Deteksyon Entrizyon Avanse) sou CentOS 8

Anvan kou a kòmanse "Administratè Linux" Nou te prepare yon tradiksyon nan materyèl enteresan.

Ki jan yo enstale epi sèvi ak AIDE (Anviwònman Deteksyon Entrizyon Avanse) sou CentOS 8

AIDE la vle di "Anviwònman Deteksyon Entrizyon Avanse" e li se youn nan sistèm ki pi popilè pou kontwole chanjman nan sistèm operasyon ki baze sou Linux. Yo itilize AIDE pou pwoteje kont malveyan, viris ak detekte aktivite ki pa otorize. Pou verifye entegrite dosye ak detekte entrizyon, AIDE kreye yon baz done enfòmasyon sou dosye epi konpare eta aktyèl sistèm nan ak baz done sa a. AIDE ede diminye tan ankèt sou ensidan an lè li konsantre sou dosye yo te modifye.

Karakteristik AIDE:

  • Sipòte divès kalite atribi dosye, tankou: kalite fichye, inode, uid, gid, otorizasyon, kantite lyen, mtime, ctime ak atime.
  • Sipò pou konpresyon Gzip, SELinux, XAttrs, Posix ACL ak atribi sistèm dosye.
  • Sipòte divès algoritm ki gen ladan md5, sha1, sha256, sha512, rmd160, crc32, elatriye.
  • Voye notifikasyon pa imel.

Nan atik sa a, nou pral gade ki jan yo enstale ak itilize AIDE pou deteksyon entrizyon sou CentOS 8.

Kondisyon

  • Sèvè kouri CentOS 8, ak omwen 2 GB RAM.
  • aksè rasin

Pou kòmanse

Li rekòmande pou mete ajou sistèm lan an premye. Pou fè sa, kouri lòd sa a.

dnf update -y

Apre mete ajou, rekòmanse sistèm ou a pou chanjman yo pran efè.

Enstale AIDE

AIDE disponib nan depo CentOS 8. Ou ka fasilman enstale li lè w ap kouri lòd sa a:

dnf install aide -y

Yon fwa enstalasyon an fini, ou ka wè vèsyon AIDE lè l sèvi avèk kòmandman sa a:

aide --version

Ou ta dwe wè bagay sa yo:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Opsyon ki disponib aide ka wè jan sa a:

aide --help

Ki jan yo enstale epi sèvi ak AIDE (Anviwònman Deteksyon Entrizyon Avanse) sou CentOS 8

Kreye ak inisyalize baz done a

Premye bagay ou bezwen fè apre enstale AIDE se inisyalize li. Inisyalizasyon konsiste de kreye yon baz done (snapshot) nan tout fichye ak repèrtwar sou sèvè a.

Pou inisyalize baz done a, kouri lòd sa a:

aide --init

Ou ta dwe wè bagay sa yo:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Kòmand ki pi wo a pral kreye yon nouvo baz done aide.db.new.gz nan katalòg la /var/lib/aide. Li ka wè lè l sèvi avèk lòd sa a:

ls -l /var/lib/aide

Rezilta:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE p ap sèvi ak nouvo dosye baz done sa a jiskaske yo chanje non l aide.db.gz. Sa a ka fè jan sa a:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Li rekòmande pou ou mete ajou baz done sa a detanzantan pou asire ke chanjman yo byen kontwole.

Ou ka chanje kote baz done a pa chanje paramèt la DBDIR nan dosye /etc/aide.conf.

Kouri yon eskanè

Kounye a AIDE pare pou itilize nouvo baz done a. Kouri premye chèk AIDE san fè okenn chanjman:

aide --check

Kòmandman sa a pral pran kèk tan pou konplete selon gwosè sistèm fichye w la ak kantite RAM sou sèvè w la. Yon fwa eskanè a fini ou ta dwe wè bagay sa yo:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Pwodiksyon ki anwo a di ke tout fichye ak repèrtwar matche ak baz done AIDE.

Tès AIDE

Pa default, AIDE pa swiv anyè rasin Apache default la /var/www/html. Ann configure AIDE pou wè li. Pou fè sa ou bezwen chanje dosye a /etc/aide.conf.

nano /etc/aide.conf

Ajoute liy pi wo a "/root/CONTENT_EX" sa yo:

/var/www/html/ CONTENT_EX

Apre sa, kreye yon dosye aide.txt nan katalòg la /var/www/html/lè l sèvi avèk lòd sa a:

echo "Test AIDE" > /var/www/html/aide.txt

Koulye a, kouri chèk AIDE a epi asire w ke yo detekte dosye a kreye.

aide --check

Ou ta dwe wè bagay sa yo:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Nou wè ke fichye kreye a detekte aide.txt.
Apre w fin analize chanjman yo detekte yo, mete ajou baz done AIDE.

aide --update

Apre aktyalizasyon a ou pral wè bagay sa yo:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kòmand ki pi wo a pral kreye yon nouvo baz done aide.db.new.gz nan katalòg la 

/var/lib/aide/

Ou ka wè li ak lòd sa a:

ls -l /var/lib/aide/

Rezilta:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Koulye a, chanje non nouvo baz done a ankò pou AIDE sèvi ak nouvo baz done a pou swiv plis chanjman. Ou ka chanje non li jan sa a:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Kouri tcheke a ankò pou asire ke AIDE ap itilize nouvo baz done a:

aide --check

Ou ta dwe wè bagay sa yo:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Nou otomatize chèk la

Li se yon bon lide pou fè yon chèk AIDE chak jou epi poste rapò a. Pwosesis sa a ka otomatize lè l sèvi avèk cron.

nano /etc/crontab

Pou fè chèk AIDE chak jou a 10:15, ajoute liy sa a nan fen dosye a:

15 10 * * * root /usr/sbin/aide --check

AIDE pral fè w konnen kounye a pa lapòs. Ou ka tcheke lapòs ou ak lòd sa a:

tail -f /var/mail/root

Ou ka wè jounal AIDE lè l sèvi avèk kòmandman sa a:

tail -f /var/log/aide/aide.log

Konklizyon

Nan atik sa a, ou te aprann kijan pou itilize AIDE pou detekte chanjman nan fichye yo epi idantifye aksè a sèvè san otorizasyon. Pou lòt anviwònman, ou ka edite fichye konfigirasyon /etc/aide.conf. Pou rezon sekirite, li rekòmande pou estoke baz done a ak fichye konfigirasyon sou medya li sèlman. Ou ka jwenn plis enfòmasyon nan dokiman an AIDE Doc.

Aprann plis sou kou a.

Sous: www.habr.com

Add nouvo kòmantè