Դասընթացի մեկնարկից առաջ
AIDE-ն նշանակում է «Ընդլայնված ներխուժման հայտնաբերման միջավայր» և հանդիսանում է Linux-ի վրա հիմնված օպերացիոն համակարգերում փոփոխությունները վերահսկելու ամենատարածված համակարգերից մեկը: AIDE-ն օգտագործվում է չարամիտ ծրագրերից, վիրուսներից պաշտպանվելու և չարտոնված գործողությունները հայտնաբերելու համար: Ֆայլի ամբողջականությունը ստուգելու և ներխուժումները հայտնաբերելու համար AIDE-ն ստեղծում է ֆայլերի տվյալների բազա և համեմատում համակարգի ներկայիս վիճակը այս տվյալների բազայի հետ: AIDE-ն օգնում է նվազեցնել միջադեպի հետաքննության ժամանակը` կենտրոնանալով փոփոխված ֆայլերի վրա:
AIDE-ի առանձնահատկությունները.
- Աջակցում է տարբեր ֆայլերի ատրիբուտներին, այդ թվում՝ ֆայլի տեսակը, inode, uid, gid, թույլտվությունները, հղումների քանակը, mtime, ctime և atime:
- Աջակցություն Gzip սեղմման, SELinux, XAttrs, Posix ACL և ֆայլային համակարգի ատրիբուտներին:
- Աջակցում է տարբեր ալգորիթմների, ներառյալ md5, sha1, sha256, sha512, rmd160, crc32 և այլն:
- փոստով ծանուցումներ ուղարկելը:
Այս հոդվածում մենք կանդրադառնանք, թե ինչպես տեղադրել և օգտագործել AIDE-ն CentOS 8-ի վրա ներխուժման հայտնաբերման համար:
Նախադրյալներ
- Սերվեր, որն աշխատում է CentOS 8-ով, առնվազն 2 ԳԲ օպերատիվ հիշողությամբ:
- արմատային մուտք
Սկսել
Խորհուրդ է տրվում նախ թարմացնել համակարգը: Դա անելու համար գործարկեք հետևյալ հրամանը.
dnf update -y
Թարմացումից հետո վերագործարկեք համակարգը, որպեսզի փոփոխություններն ուժի մեջ մտնեն:
AIDE-ի տեղադրում
AIDE-ն հասանելի է կանխադրված CentOS 8 պահոցում: Դուք կարող եք հեշտությամբ տեղադրել այն՝ գործարկելով հետևյալ հրամանը.
dnf install aide -y
Տեղադրումն ավարտվելուց հետո կարող եք դիտել AIDE տարբերակը՝ օգտագործելով հետևյալ հրամանը.
aide --version
Դուք պետք է տեսնեք հետևյալը.
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Հասանելի տարբերակներ aide
կարելի է դիտել հետևյալ կերպ.
aide --help
Տվյալների բազայի ստեղծում և նախնականացում
Առաջին բանը, որ դուք պետք է անեք AIDE-ն տեղադրելուց հետո, այն սկզբնավորելն է: Նախաձեռնումը բաղկացած է սերվերի վրա գտնվող բոլոր ֆայլերի և գրացուցակների տվյալների բազայի (պատկերապատկերի) ստեղծումից:
Տվյալների բազան սկզբնավորելու համար գործարկեք հետևյալ հրամանը.
aide --init
Դուք պետք է տեսնեք հետևյալը.
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Վերոնշյալ հրամանը կստեղծի նոր տվյալների բազա aide.db.new.gz
կատալոգում /var/lib/aide
. Այն կարելի է տեսնել՝ օգտագործելով հետևյալ հրամանը.
ls -l /var/lib/aide
Արդյունքը:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE-ն չի օգտագործի տվյալների բազայի այս նոր ֆայլը, մինչև այն չվերանվանվի aide.db.gz
. Դա կարելի է անել հետևյալ կերպ.
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Խորհուրդ է տրվում պարբերաբար թարմացնել այս տվյալների բազան՝ համոզվելու համար, որ փոփոխությունները պատշաճ կերպով վերահսկվեն:
Դուք կարող եք փոխել տվյալների բազայի գտնվելու վայրը՝ փոխելով պարամետրը DBDIR
ֆայլում /etc/aide.conf
.
Սկանավորում է
AIDE-ն այժմ պատրաստ է օգտագործել նոր տվյալների բազան: Գործարկեք առաջին AIDE ստուգումը առանց որևէ փոփոխություն կատարելու.
aide --check
Այս հրամանի ավարտը որոշ ժամանակ կպահանջի՝ կախված ձեր ֆայլային համակարգի չափից և ձեր սերվերի RAM-ի քանակից: Սկանավորումն ավարտվելուց հետո դուք պետք է տեսնեք հետևյալը.
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Վերոհիշյալ ելքը ասում է, որ բոլոր ֆայլերը և գրացուցակները համընկնում են AIDE տվյալների բազայի հետ:
Փորձարկում AIDE
Լռելյայնորեն, AIDE-ն չի հետևում կանխադրված Apache արմատային գրացուցակին /var/www/html.
Եկեք կարգավորենք AIDE-ն այն դիտելու համար: Դա անելու համար դուք պետք է փոխեք ֆայլը /etc/aide.conf
.
nano /etc/aide.conf
Ավելացնել վերևի տողը "/root/CONTENT_EX"
Հետեւյալները.
/var/www/html/ CONTENT_EX
Հաջորդը, ստեղծեք ֆայլ aide.txt
կատալոգում /var/www/html/
օգտագործելով հետևյալ հրամանը.
echo "Test AIDE" > /var/www/html/aide.txt
Այժմ գործարկեք AIDE ստուգումը և համոզվեք, որ ստեղծված ֆայլը հայտնաբերված է:
aide --check
Դուք պետք է տեսնեք հետևյալը.
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Մենք տեսնում ենք, որ ստեղծված ֆայլը հայտնաբերված է aide.txt
.
Հայտնաբերված փոփոխությունները վերլուծելուց հետո թարմացրեք AIDE տվյալների բազան։
aide --update
Թարմացումից հետո կտեսնեք հետևյալը.
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Վերոնշյալ հրամանը կստեղծի նոր տվյալների բազա aide.db.new.gz
կատալոգում
/var/lib/aide/
Դուք կարող եք տեսնել այն հետևյալ հրամանով.
ls -l /var/lib/aide/
Արդյունքը:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Այժմ նորից վերանվանեք նոր տվյալների բազան, որպեսզի AIDE-ն օգտագործի նոր տվյալների բազան՝ հետևելու հետագա փոփոխություններին: Դուք կարող եք վերանվանել այն հետևյալ կերպ.
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Կրկին գործարկեք ստուգումը, որպեսզի համոզվեք, որ AIDE-ն օգտագործում է նոր տվյալների բազան.
aide --check
Դուք պետք է տեսնեք հետևյալը.
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Մենք ավտոմատացնում ենք ստուգումը
Լավ գաղափար է ամեն օր AIDE-ի ստուգում անցկացնել և հաշվետվությունը ուղարկել փոստով: Այս գործընթացը կարող է ավտոմատացվել cron-ի միջոցով:
nano /etc/crontab
AIDE-ի ստուգումն ամեն օր ժամը 10:15-ին գործարկելու համար ֆայլի վերջում ավելացրեք հետևյալ տողը.
15 10 * * * root /usr/sbin/aide --check
Այժմ AIDE-ն ձեզ փոստով կտեղեկացնի: Դուք կարող եք ստուգել ձեր փոստը հետևյալ հրամանով.
tail -f /var/mail/root
AIDE-ի տեղեկամատյանը կարելի է դիտել հետևյալ հրամանի միջոցով.
tail -f /var/log/aide/aide.log
Ամփոփում
Այս հոդվածում դուք սովորեցիք, թե ինչպես օգտագործել AIDE-ն ֆայլի փոփոխությունները հայտնաբերելու և սերվերի չարտոնված մուտքը հայտնաբերելու համար: Լրացուցիչ կարգավորումների համար կարող եք խմբագրել /etc/aide.conf կազմաձևման ֆայլը: Անվտանգության նկատառումներից ելնելով, խորհուրդ է տրվում տվյալների բազան և կազմաձևման ֆայլը պահել միայն կարդալու համար նախատեսված կրիչների վրա: Լրացուցիչ տեղեկություններ կարելի է գտնել փաստաթղթերում
Source: www.habr.com