A tanfolyam kezdete előtt
Az AIDE az „Advanced Intrusion Detection Environment” rövidítése, és az egyik legnépszerűbb rendszer a Linux-alapú operációs rendszerek változásainak figyelésére. Az AIDE a rosszindulatú programok, vírusok elleni védelemre és a jogosulatlan tevékenységek észlelésére szolgál. A fájlok integritásának ellenőrzéséhez és a behatolások észleléséhez az AIDE létrehoz egy fájlinformációs adatbázist, és összehasonlítja a rendszer aktuális állapotát ezzel az adatbázissal. Az AIDE csökkenti az incidens kivizsgálási idejét azáltal, hogy a módosított fájlokra összpontosít.
Az AIDE jellemzői:
- Támogatja a különböző fájlattribútumokat, beleértve: fájltípus, inode, uid, gid, engedélyek, hivatkozások száma, mtime, ctime és atime.
- Gzip tömörítés, SELinux, XAttrs, Posix ACL és fájlrendszer attribútumok támogatása.
- Különféle algoritmusokat támogat, beleértve az md5, sha1, sha256, sha512, rmd160, crc32 stb.
- Értesítések küldése e-mailben.
Ebben a cikkben megvizsgáljuk, hogyan kell telepíteni és használni az AIDE-t behatolásészlelésre a CentOS 8 rendszeren.
Előfeltételek
- CentOS 8-at futtató szerver, legalább 2 GB RAM-mal.
- root hozzáférés
Első lépések
Javasoljuk, hogy először frissítse a rendszert. Ehhez futtassa a következő parancsot.
dnf update -y
A frissítés után indítsa újra a rendszert, hogy a változtatások érvénybe lépjenek.
Az AIDE telepítése
Az AIDE az alapértelmezett CentOS 8 tárolóban érhető el. Könnyen telepítheti a következő parancs futtatásával:
dnf install aide -y
A telepítés befejezése után megtekintheti az AIDE verzióját a következő paranccsal:
aide --version
A következőket kell látnod:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Elérhető opciók aide
a következőképpen nézhető meg:
aide --help
Az adatbázis létrehozása és inicializálása
Az első dolog, amit az AIDE telepítése után meg kell tennie, az az inicializálás. Az inicializálás egy adatbázis (pillanatkép) létrehozásából áll a kiszolgálón lévő összes fájlból és könyvtárból.
Az adatbázis inicializálásához futtassa a következő parancsot:
aide --init
A következőket kell látnod:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
A fenti parancs egy új adatbázist hoz létre aide.db.new.gz
a katalógusban /var/lib/aide
. A következő paranccsal látható:
ls -l /var/lib/aide
Eredmény:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
Az AIDE nem fogja használni ezt az új adatbázisfájlt, amíg át nem nevezik erre aide.db.gz
. Ez a következőképpen tehető meg:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Javasoljuk, hogy rendszeresen frissítse ezt az adatbázist a változások megfelelő figyelése érdekében.
A paraméter módosításával megváltoztathatja az adatbázis helyét DBDIR
fájlban /etc/aide.conf
.
Csekk futtatása
Az AIDE készen áll az új adatbázis használatára. Futtassa le az első AIDE ellenőrzést változtatások nélkül:
aide --check
Ennek a parancsnak a végrehajtása a fájlrendszer méretétől és a kiszolgálón lévő RAM mennyiségétől függően egy ideig tart. A szkennelés befejezése után a következőket kell látnia:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
A fenti kimenet azt mondja, hogy minden fájl és könyvtár megegyezik az AIDE adatbázissal.
Az AIDE tesztelése
Alapértelmezés szerint az AIDE nem követi az alapértelmezett Apache gyökérkönyvtárat /var/www/html.
Állítsuk be az AIDE-t a megtekintéséhez. Ehhez meg kell változtatnia a fájlt /etc/aide.conf
.
nano /etc/aide.conf
Adja hozzá a fenti sort "/root/CONTENT_EX"
a következő:
/var/www/html/ CONTENT_EX
Ezután hozzon létre egy fájlt aide.txt
a katalógusban /var/www/html/
a következő paranccsal:
echo "Test AIDE" > /var/www/html/aide.txt
Most futtassa az AIDE ellenőrzést, és győződjön meg arról, hogy a létrehozott fájl észlelhető.
aide --check
A következőket kell látnod:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Látjuk, hogy a rendszer észlelte a létrehozott fájlt aide.txt
.
Az észlelt változások elemzése után frissítse az AIDE adatbázist.
aide --update
A frissítés után a következőket fogod látni:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
A fenti parancs egy új adatbázist hoz létre aide.db.new.gz
a katalógusban
/var/lib/aide/
A következő paranccsal láthatja:
ls -l /var/lib/aide/
Eredmény:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Most nevezze át újra az új adatbázist, hogy az AIDE az új adatbázist használja a további változások nyomon követésére. A következőképpen nevezheti át:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Futtassa újra az ellenőrzést, hogy megbizonyosodjon arról, hogy az AIDE az új adatbázist használja:
aide --check
A következőket kell látnod:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Az ellenőrzést automatizáljuk
Célszerű minden nap lefuttatni egy AIDE ellenőrzést, és elküldeni a jelentést. Ez a folyamat a cron segítségével automatizálható.
nano /etc/crontab
Az AIDE ellenőrzés minden nap 10:15-kor történő futtatásához adja hozzá a következő sort a fájl végéhez:
15 10 * * * root /usr/sbin/aide --check
Az AIDE most e-mailben értesíti Önt. A leveleit a következő paranccsal ellenőrizheti:
tail -f /var/mail/root
Az AIDE napló a következő paranccsal tekinthető meg:
tail -f /var/log/aide/aide.log
Következtetés
Ebből a cikkből megtanulta, hogyan használhatja az AIDE-t a fájlváltozások észlelésére és a jogosulatlan kiszolgáló-hozzáférés azonosítására. További beállításokhoz szerkesztheti az /etc/aide.conf konfigurációs fájlt. Biztonsági okokból ajánlott az adatbázist és a konfigurációs fájlt csak olvasható adathordozón tárolni. További információk a dokumentációban találhatók
Forrás: will.com