ProHoster > blog > administrasi > Cara Install dan Menggunakan AIDE (Advanced Intrusion Detection Environment) di CentOS 8

Cara Install dan Menggunakan AIDE (Advanced Intrusion Detection Environment) di CentOS 8

Sebelum memulai kursus "Pengelola Linux" Kami telah menyiapkan terjemahan materi yang menarik.

Cara Install dan Menggunakan AIDE (Advanced Intrusion Detection Environment) di CentOS 8

AIDE adalah singkatan dari “Advanced Intrusion Detection Environment” dan merupakan salah satu sistem paling populer untuk memantau perubahan dalam sistem operasi berbasis Linux. AIDE digunakan untuk melindungi dari malware, virus, dan mendeteksi aktivitas tidak sah. Untuk memverifikasi integritas file dan mendeteksi intrusi, AIDE membuat database informasi file dan membandingkan keadaan sistem saat ini dengan database ini. AIDE membantu mengurangi waktu investigasi insiden dengan berfokus pada file yang telah dimodifikasi.

Fitur AIDE:

  • Mendukung berbagai atribut file, termasuk: jenis file, inode, uid, gid, izin, jumlah link, mtime, ctime dan atime.
  • Dukungan untuk kompresi Gzip, SELinux, XAttrs, Posix ACL dan atribut sistem file.
  • Mendukung berbagai algoritma termasuk md5, sha1, sha256, sha512, rmd160, crc32, dll.
  • Mengirim pemberitahuan melalui email.

Pada artikel ini, kita akan melihat cara menginstal dan menggunakan AIDE untuk deteksi intrusi di CentOS 8.

Prasyarat

  • Server menjalankan CentOS 8, dengan RAM minimal 2 GB.
  • akses root

Memulai

Disarankan untuk memperbarui sistem terlebih dahulu. Untuk melakukannya, jalankan perintah berikut.

dnf update -y

Setelah memperbarui, mulai ulang sistem Anda agar perubahan diterapkan.

Menginstal AIDE

AIDE tersedia di repositori default CentOS 8. Anda dapat menginstalnya dengan mudah dengan menjalankan perintah berikut:

dnf install aide -y

Setelah instalasi selesai, Anda dapat melihat versi AIDE menggunakan perintah berikut:

aide --version

Anda akan melihat yang berikut ini:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Pilihan yang tersedia aide dapat dilihat sebagai berikut:

aide --help

Cara Install dan Menggunakan AIDE (Advanced Intrusion Detection Environment) di CentOS 8

Membuat dan menginisialisasi database

Hal pertama yang perlu Anda lakukan setelah menginstal AIDE adalah menginisialisasinya. Inisialisasi terdiri dari pembuatan database (snapshot) dari semua file dan direktori di server.

Untuk menginisialisasi database, jalankan perintah berikut:

aide --init

Anda akan melihat yang berikut ini:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Perintah di atas akan membuat database baru aide.db.new.gz di katalog /var/lib/aide. Itu dapat dilihat dengan menggunakan perintah berikut:

ls -l /var/lib/aide

Hasilnya:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE tidak akan menggunakan file database baru ini sampai diubah namanya menjadi aide.db.gz. Hal ini dapat dilakukan sebagai berikut:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Disarankan agar Anda memperbarui database ini secara berkala untuk memastikan bahwa perubahan dipantau dengan benar.

Anda dapat mengubah lokasi database dengan mengubah parameternya DBDIR dalam file /etc/aide.conf.

Menjalankan pemeriksaan

AIDE sekarang siap menggunakan database baru. Jalankan pemeriksaan AIDE pertama tanpa melakukan perubahan apa pun:

aide --check

Perintah ini memerlukan waktu untuk diselesaikan tergantung pada ukuran sistem file Anda dan jumlah RAM di server Anda. Setelah pemindaian selesai, Anda akan melihat yang berikut:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Output di atas menyatakan bahwa semua file dan direktori cocok dengan database AIDE.

Menguji AIDE

Secara default, AIDE tidak melacak direktori root default Apache /var/www/html. Mari konfigurasikan AIDE untuk melihatnya. Untuk melakukan ini, Anda perlu mengubah file /etc/aide.conf.

nano /etc/aide.conf

Tambahkan baris di atas "/root/CONTENT_EX" berikut ini:

/var/www/html/ CONTENT_EX

Selanjutnya, buat file aide.txt di katalog /var/www/html/menggunakan perintah berikut:

echo "Test AIDE" > /var/www/html/aide.txt

Sekarang jalankan pemeriksaan AIDE dan pastikan file yang dibuat terdeteksi.

aide --check

Anda akan melihat yang berikut ini:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kami melihat bahwa file yang dibuat terdeteksi aide.txt.
Setelah menganalisis perubahan yang terdeteksi, perbarui database AIDE.

aide --update

Setelah pembaruan, Anda akan melihat yang berikut:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Perintah di atas akan membuat database baru aide.db.new.gz di katalog 

/var/lib/aide/

Anda dapat melihatnya dengan perintah berikut:

ls -l /var/lib/aide/

Hasilnya:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sekarang ganti nama database baru lagi sehingga AIDE menggunakan database baru untuk melacak perubahan lebih lanjut. Anda dapat mengganti namanya sebagai berikut:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Jalankan pemeriksaan lagi untuk memastikan bahwa AIDE menggunakan database baru:

aide --check

Anda akan melihat yang berikut ini:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Kami mengotomatiskan pemeriksaan

Merupakan ide bagus untuk melakukan pemeriksaan AIDE setiap hari dan mengirimkan laporannya. Proses ini dapat diotomatisasi menggunakan cron.

nano /etc/crontab

Untuk menjalankan pemeriksaan AIDE setiap hari pada pukul 10:15, tambahkan baris berikut di akhir file:

15 10 * * * root /usr/sbin/aide --check

AIDE sekarang akan memberi tahu Anda melalui surat. Anda dapat memeriksa email Anda dengan perintah berikut:

tail -f /var/mail/root

Log AIDE dapat dilihat menggunakan perintah berikut:

tail -f /var/log/aide/aide.log

Kesimpulan

Pada artikel ini, Anda mempelajari cara menggunakan AIDE untuk mendeteksi perubahan file dan mengidentifikasi akses server yang tidak sah. Untuk pengaturan tambahan, Anda dapat mengedit file konfigurasi /etc/aide.conf. Demi keamanan, disarankan untuk menyimpan database dan file konfigurasi pada media read-only. Informasi lebih lanjut dapat ditemukan di dokumentasi AIDE Dok.

Pelajari lebih lanjut tentang kursus ini.

Sumber: www.habr.com

Tambah komentar