ProHoster > Blog > Stjórnsýsla > Hvernig á að setja upp og nota AIDE (Advanced Intrusion Detection Environment) á CentOS 8

Hvernig á að setja upp og nota AIDE (Advanced Intrusion Detection Environment) á CentOS 8

Áður en námskeiðið hefst "Linux stjórnandi" Við höfum útbúið þýðingu á áhugaverðu efni.

Hvernig á að setja upp og nota AIDE (Advanced Intrusion Detection Environment) á CentOS 8

AIDE stendur fyrir „Advanced Intrusion Detection Environment“ og er eitt vinsælasta kerfið til að fylgjast með breytingum á Linux-stýrikerfum. AIDE er notað til að verjast spilliforritum, vírusum og greina óleyfilega starfsemi. Til að sannreyna heilleika skráa og greina innbrot, býr AIDE til gagnagrunn með skráarupplýsingum og ber saman núverandi ástand kerfisins við þennan gagnagrunn. AIDE hjálpar til við að draga úr atviksrannsóknartíma með því að einbeita sér að skrám sem hefur verið breytt.

AIDE eiginleikar:

  • Styður ýmsa skráareiginleika, þar á meðal: skráargerð, inode, uid, gid, heimildir, fjölda tengla, mtime, ctime og atime.
  • Stuðningur við Gzip þjöppun, SELinux, XAttrs, Posix ACL og skráarkerfiseiginleika.
  • Styður ýmis reiknirit þar á meðal md5, sha1, sha256, sha512, rmd160, crc32, osfrv.
  • Sendir tilkynningar í tölvupósti.

Í þessari grein munum við skoða hvernig á að setja upp og nota AIDE til að greina innbrot á CentOS 8.

Forkröfur

  • Miðlari sem keyrir CentOS 8, með að minnsta kosti 2 GB af vinnsluminni.
  • rót aðgangur

Hafist handa

Mælt er með því að uppfæra kerfið fyrst. Til að gera þetta skaltu keyra eftirfarandi skipun.

dnf update -y

Eftir uppfærslu skaltu endurræsa kerfið þitt til að breytingarnar taki gildi.

Að setja upp AIDE

AIDE er fáanlegt í sjálfgefna CentOS 8 geymslunni. Þú getur auðveldlega sett það upp með því að keyra eftirfarandi skipun:

dnf install aide -y

Þegar uppsetningunni er lokið geturðu skoðað AIDE útgáfuna með því að nota eftirfarandi skipun:

aide --version

Þú ættir að sjá eftirfarandi:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Lausir valkostir aide er hægt að skoða sem hér segir:

aide --help

Hvernig á að setja upp og nota AIDE (Advanced Intrusion Detection Environment) á CentOS 8

Búa til og frumstilla gagnagrunninn

Það fyrsta sem þú þarft að gera eftir að AIDE hefur verið sett upp er að frumstilla það. Frumstilling felst í því að búa til gagnagrunn (skyndimynd) yfir allar skrár og möppur á þjóninum.

Til að frumstilla gagnagrunninn skaltu keyra eftirfarandi skipun:

aide --init

Þú ættir að sjá eftirfarandi:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Ofangreind skipun mun búa til nýjan gagnagrunn aide.db.new.gz í vörulistanum /var/lib/aide. Það má sjá með því að nota eftirfarandi skipun:

ls -l /var/lib/aide

Niðurstaða:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE mun ekki nota þessa nýju gagnagrunnsskrá fyrr en henni hefur verið breytt í aide.db.gz. Þetta er hægt að gera á eftirfarandi hátt:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Mælt er með því að þú uppfærir þennan gagnagrunn reglulega til að tryggja að rétt sé fylgst með breytingum.

Þú getur breytt staðsetningu gagnagrunnsins með því að breyta færibreytunni DBDIR í skrá /etc/aide.conf.

Að keyra ávísun

AIDE er nú tilbúið til að nota nýja gagnagrunninn. Keyrðu fyrstu AIDE athugunina án þess að gera breytingar:

aide --check

Það mun taka nokkurn tíma að ljúka þessari skipun eftir stærð skráarkerfisins og magni vinnsluminni á netþjóninum þínum. Þegar skönnuninni er lokið ættirðu að sjá eftirfarandi:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ofangreind framleiðsla segir að allar skrár og möppur passi við AIDE gagnagrunninn.

Er að prófa AIDE

Sjálfgefið er að AIDE rekur ekki sjálfgefna Apache rótarskrá /var/www/html. Við skulum stilla AIDE til að skoða það. Til að gera þetta þarftu að breyta skránni /etc/aide.conf.

nano /etc/aide.conf

Bættu við línunni fyrir ofan "/root/CONTENT_EX" eftirfarandi:

/var/www/html/ CONTENT_EX

Næst skaltu búa til skrá aide.txt í vörulistanum /var/www/html/með eftirfarandi skipun:

echo "Test AIDE" > /var/www/html/aide.txt

Keyrðu nú AIDE athugunina og vertu viss um að búiða skráin sé fundin.

aide --check

Þú ættir að sjá eftirfarandi:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Við sjáum að búið er að finna skrána aide.txt.
Eftir að hafa greint breytingarnar sem fundust skaltu uppfæra AIDE gagnagrunninn.

aide --update

Eftir uppfærsluna muntu sjá eftirfarandi:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Ofangreind skipun mun búa til nýjan gagnagrunn aide.db.new.gz í vörulistanum 

/var/lib/aide/

Þú getur séð það með eftirfarandi skipun:

ls -l /var/lib/aide/

Niðurstaða:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Endurnefna nýja gagnagrunninn aftur þannig að AIDE noti nýja gagnagrunninn til að fylgjast með frekari breytingum. Þú getur endurnefna það sem hér segir:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Keyrðu athugunina aftur til að tryggja að AIDE noti nýja gagnagrunninn:

aide --check

Þú ættir að sjá eftirfarandi:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Við gerum ávísunina sjálfvirkan

Það er góð hugmynd að keyra AIDE athugun á hverjum degi og senda skýrsluna. Þetta ferli er hægt að gera sjálfvirkt með því að nota cron.

nano /etc/crontab

Til að keyra AIDE athugunina á hverjum degi klukkan 10:15 skaltu bæta eftirfarandi línu við lok skráarinnar:

15 10 * * * root /usr/sbin/aide --check

AIDE mun nú láta þig vita með pósti. Þú getur athugað póstinn þinn með eftirfarandi skipun:

tail -f /var/mail/root

AIDE log er hægt að skoða með því að nota eftirfarandi skipun:

tail -f /var/log/aide/aide.log

Ályktun

Í þessari grein lærðir þú hvernig á að nota AIDE til að greina breytingar á skrám og bera kennsl á óviðkomandi aðgang að netþjóni. Fyrir frekari stillingar geturðu breytt /etc/aide.conf stillingarskránni. Af öryggisástæðum er mælt með því að geyma gagnagrunninn og stillingarskrána á skrifvarinn miðli. Frekari upplýsingar er að finna í skjölunum AIDE Doc.

Frekari upplýsingar um námskeiðið.

Heimild: www.habr.com

Bæta við athugasemd