Az AIDE (Advanced Intrusion Detection Environment) telepítése és használata CentOS 8 rendszeren

A tanfolyam kezdete előtt "Linux rendszergazda" Érdekes anyag fordítását készítettük el.

Az AIDE az „Advanced Intrusion Detection Environment” rövidítése, és az egyik legnépszerűbb rendszer a Linux-alapú operációs rendszerek változásainak figyelésére. Az AIDE a rosszindulatú programok, vírusok elleni védelemre és a jogosulatlan tevékenységek észlelésére szolgál. A fájlok integritásának ellenőrzéséhez és a behatolások észleléséhez az AIDE létrehoz egy fájlinformációs adatbázist, és összehasonlítja a rendszer aktuális állapotát ezzel az adatbázissal. Az AIDE csökkenti az incidens kivizsgálási idejét azáltal, hogy a módosított fájlokra összpontosít.

Az AIDE jellemzői:

• Támogatja a különböző fájlattribútumokat, beleértve: fájltípus, inode, uid, gid, engedélyek, hivatkozások száma, mtime, ctime és atime.
• Gzip tömörítés, SELinux, XAttrs, Posix ACL és fájlrendszer attribútumok támogatása.
• Különféle algoritmusokat támogat, beleértve az md5, sha1, sha256, sha512, rmd160, crc32 stb.
• Értesítések küldése e-mailben.

Ebben a cikkben megvizsgáljuk, hogyan kell telepíteni és használni az AIDE-t behatolásészlelésre a CentOS 8 rendszeren.

Előfeltételek

• CentOS 8-at futtató szerver, legalább 2 GB RAM-mal.
• root hozzáférés

Első lépések

Javasoljuk, hogy először frissítse a rendszert. Ehhez futtassa a következő parancsot.

dnf update -y

A frissítés után indítsa újra a rendszert, hogy a változtatások érvénybe lépjenek.

Az AIDE telepítése

Az AIDE az alapértelmezett CentOS 8 tárolóban érhető el. Könnyen telepítheti a következő parancs futtatásával:

dnf install aide -y

A telepítés befejezése után megtekintheti az AIDE verzióját a következő paranccsal:

aide --version

A következőket kell látnod:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Elérhető opciók aide a következőképpen nézhető meg:

aide --help

Az adatbázis létrehozása és inicializálása

Az első dolog, amit az AIDE telepítése után meg kell tennie, az az inicializálás. Az inicializálás egy adatbázis (pillanatkép) létrehozásából áll a kiszolgálón lévő összes fájlból és könyvtárból.

Az adatbázis inicializálásához futtassa a következő parancsot:

aide --init

A következőket kell látnod:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

A fenti parancs egy új adatbázist hoz létre aide.db.new.gz a katalógusban /var/lib/aide. A következő paranccsal látható:

ls -l /var/lib/aide

Eredmény:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

Az AIDE nem fogja használni ezt az új adatbázisfájlt, amíg át nem nevezik erre aide.db.gz. Ez a következőképpen tehető meg:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Javasoljuk, hogy rendszeresen frissítse ezt az adatbázist a változások megfelelő figyelése érdekében.

A paraméter módosításával megváltoztathatja az adatbázis helyét DBDIR fájlban /etc/aide.conf.

Csekk futtatása

Az AIDE készen áll az új adatbázis használatára. Futtassa le az első AIDE ellenőrzést változtatások nélkül:

aide --check

Ennek a parancsnak a végrehajtása a fájlrendszer méretétől és a kiszolgálón lévő RAM mennyiségétől függően egy ideig tart. A szkennelés befejezése után a következőket kell látnia:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

A fenti kimenet azt mondja, hogy minden fájl és könyvtár megegyezik az AIDE adatbázissal.

Az AIDE tesztelése

Alapértelmezés szerint az AIDE nem követi az alapértelmezett Apache gyökérkönyvtárat /var/www/html. Állítsuk be az AIDE-t a megtekintéséhez. Ehhez meg kell változtatnia a fájlt /etc/aide.conf.

nano /etc/aide.conf

Adja hozzá a fenti sort "/root/CONTENT_EX" a következő:

/var/www/html/ CONTENT_EX

Ezután hozzon létre egy fájlt aide.txt a katalógusban /var/www/html/a következő paranccsal:

echo "Test AIDE" > /var/www/html/aide.txt

Most futtassa az AIDE ellenőrzést, és győződjön meg arról, hogy a létrehozott fájl észlelhető.

aide --check

A következőket kell látnod:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Látjuk, hogy a rendszer észlelte a létrehozott fájlt aide.txt.
Az észlelt változások elemzése után frissítse az AIDE adatbázist.

aide --update

A frissítés után a következőket fogod látni:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

A fenti parancs egy új adatbázist hoz létre aide.db.new.gz a katalógusban

/var/lib/aide/

A következő paranccsal láthatja:

ls -l /var/lib/aide/

Eredmény:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Most nevezze át újra az új adatbázist, hogy az AIDE az új adatbázist használja a további változások nyomon követésére. A következőképpen nevezheti át:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Futtassa újra az ellenőrzést, hogy megbizonyosodjon arról, hogy az AIDE az új adatbázist használja:

aide --check

A következőket kell látnod:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Az ellenőrzést automatizáljuk

Célszerű minden nap lefuttatni egy AIDE ellenőrzést, és elküldeni a jelentést. Ez a folyamat a cron segítségével automatizálható.

nano /etc/crontab

Az AIDE ellenőrzés minden nap 10:15-kor történő futtatásához adja hozzá a következő sort a fájl végéhez:

15 10 * * * root /usr/sbin/aide --check

Az AIDE most e-mailben értesíti Önt. A leveleit a következő paranccsal ellenőrizheti:

tail -f /var/mail/root

Az AIDE napló a következő paranccsal tekinthető meg:

tail -f /var/log/aide/aide.log

Következtetés

Ebből a cikkből megtanulta, hogyan használhatja az AIDE-t a fájlváltozások észlelésére és a jogosulatlan kiszolgáló-hozzáférés azonosítására. További beállításokhoz szerkesztheti az /etc/aide.conf konfigurációs fájlt. Biztonsági okokból ajánlott az adatbázist és a konfigurációs fájlt csak olvasható adathordozón tárolni. További információk a dokumentációban találhatók AIDE Doc.

Tudjon meg többet a tanfolyamról.

Forrás: will.com