แแฃแ แกแแก แแแฌแงแแแแแแ แฉแแแ แแแแแแแแแแ แกแแแแขแแ แแกแ แแแกแแแแก แแแ แแแแแ.
AIDE แแแจแแแแก "Advanced Intrusion Detection Environment" แแ แแ แแก แแ แ-แแ แแ แงแแแแแแ แแแแฃแแแ แฃแแ แกแแกแขแแแ Linux-แแ แแแคแฃแซแแแแฃแ แแแแ แแชแแฃแ แกแแกแขแแแแแจแ แชแแแแแแแแแแก แแแแแขแแ แแแแแกแแแแก. AIDE แแแแแแงแแแแแ แแแแแ แแ แแแ แแแแแแกแแแ, แแแ แฃแกแแแแกแแแ แแแกแแชแแแแ แแ แแ แแแแขแแ แแแแแฃแแ แฅแแแแแแแแแก แแฆแแแกแแฉแแแแ. แคแแแแแก แแแแแแแแแแก แจแแกแแแแฌแแแแแแ แแ แจแแญแ แแก แแฆแแแกแแฉแแแแ, AIDE แฅแแแแก แคแแแแแก แแแคแแ แแแชแแแก แแแแแชแแแแ แแแแแก แแ แแแแ แแแก แกแแกแขแแแแก แแแแแแแแแแ แแแแแแแ แแแแแก แแ แแแแแชแแแแ แแแแแกแแแ. AIDE แแฎแแแ แแแ แจแแแแชแแ แแก แแแชแแแแแขแแก แแแแแซแแแแแก แแ แ แจแแชแแแแ แคแแแแแแแ แคแแแฃแกแแ แแแแ.
AIDE แแแฎแแกแแแแแแแแแ:
- แแฎแแ แก แฃแญแแ แก แคแแแแแก แกแฎแแแแแกแฎแแ แแขแ แแแฃแขแแแก, แแแ แจแแ แแก: แคแแแแแก แขแแแ, inode, uid, gid, แแแแแ แแแแแ, แแแฃแแแแแก แ แแแแแแแแ, mtime, ctime แแ atime.
- Gzip แจแแแฃแแจแแแก, SELinux, XAttrs, Posix ACL แแ แคแแแแฃแ แ แกแแกแขแแแแก แแขแ แแแฃแขแแแแก แแฎแแ แแแญแแ แ.
- แแฎแแ แก แฃแญแแ แก แกแฎแแแแแกแฎแแ แแแแแ แแแแก, แแแ แจแแ แแก md5, sha1, sha256, sha512, rmd160, crc32 แแ แ.แจ.
- แจแแขแงแแแแแแแแแแก แแแแแแแแ แแแแฅแขแ แแแฃแแ แคแแกแขแแ.
แแ แกแขแแขแแแจแ แฉแแแ แแแแแแฎแแแแแ, แแฃ แ แแแแ แฃแแแ แแแแแแกแขแแแแ แแ แแ แแแแแแงแแแแ AIDE แจแแญแ แแก แแฆแแแฉแแแแกแแแแก CentOS 8-แแ.
แฌแแแแแแ แแแแแ
- แกแแ แแแ แ แแฃแจแแแแก CentOS 8-แแ, แแแแแแฃแ 2 GB แแแแ แแขแแฃแแ แแแฎแกแแแ แแแแ.
- root แฌแแแแแ
แแแแฌแงแ
แ แแแแแแแแแ แแแฃแแแ แฏแแ แกแแกแขแแแแก แแแแแฎแแแแ. แแแแกแแแแแก แแแฃแจแแแ แจแแแแแแ แแ แซแแแแแ.
dnf update -yแแแแแฎแแแแแก แจแแแแแ แแแแแขแแแ แแแ แกแแกแขแแแ, แ แแ แชแแแแแแแแแ แซแแแแจแ แจแแแแแแก.
AIDE-แแก แแแงแแแแแ
AIDE แฎแแแแแกแแฌแแแแแแ แแแแฃแแแกแฎแแแแ CentOS 8 แกแแชแแแจแ. แจแแแแซแแแแ แแแ แขแแแแ แแแแแแกแขแแแแ แแ แจแแแแแแ แแ แซแแแแแแก แแแจแแแแแ:
dnf install aide -yแแแกแขแแแแชแแแก แแแกแ แฃแแแแแก แจแแแแแ, แจแแแแซแแแแ แแแฎแแ AIDE แแแ แกแแ แจแแแแแแ แแ แซแแแแแแก แแแแแงแแแแแแ:
aide --versionแแฅแแแ แฃแแแ แแแฎแแ แจแแแแแแ:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
แฎแแแแแกแแฌแแแแแ แแแ แแแแขแแแ aide แจแแแซแแแแ แฉแแแแแแแแก แจแแแแแแแแแ แแ:
aide --help
แแแแแชแแแแ แแแแแก แจแแฅแแแ แแ แแแแชแแแแแแแชแแ
แแแ แแแแ, แ แแช แฃแแแ แแแแแแแแ AIDE-แแก แแแงแแแแแแก แจแแแแแ, แแ แแก แแแกแ แแแแชแแแแแแแชแแ. แแแแชแแแแแแแชแแ แแแแชแแแก แกแแ แแแ แแ แแ แกแแแฃแแ แงแแแแ แคแแแแแกแ แแ แแแ แแฅแขแแ แแแก แแแแแชแแแแ แแแแแก (แกแแแแจแแขแแก) แจแแฅแแแแก.
แแแแแชแแแแ แแแแแก แแแแชแแแแแแแชแแแกแแแแก, แจแแแกแ แฃแแแ แจแแแแแแ แแ แซแแแแแ:
aide --initแแฅแแแ แฃแแแ แแแฎแแ แจแแแแแแ:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
แแแแแ แแแงแแแแแแ แแ แซแแแแแ แจแแฅแแแแก แแฎแแ แแแแแชแแแแ แแแแแก aide.db.new.gz แแแขแแแแแจแ /var/lib/aide. แแแกแ แแแฎแแ แจแแกแแซแแแแแแแ แจแแแแแแ แแ แซแแแแแแก แแแแแงแแแแแแ:
ls -l /var/lib/aideแจแแแแแ:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE แแ แแแแแแงแแแแแก แแแแแชแแแแ แแแแแก แแฎแแ แคแแแแก, แกแแแแ แแแก แแ แแแแ แฅแแแแ แกแแฎแแแ aide.db.gz. แแก แจแแแซแแแแ แแแแแแแแก แจแแแแแแแแแ แแ:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzแ แแแแแแแแแ แแแฃแแแ แแแ แแแแฃแแแ แแแแแแฎแแแ แแก แแแแแชแแแแ แแแแ, แ แแแ แฃแแ แฃแแแแแงแแ แชแแแแแแแแแแก แกแแแแแแแ แแแแแขแแ แแแแ.
แแฅแแแ แจแแแแซแแแแ แจแแชแแแแแ แแแแแชแแแแ แแแแแก แแแแแแ แแแแ แแแ แแแแขแ แแก แจแแชแแแแ DBDIR แคแแแแจแ /etc/aide.conf.
แแแแแแแแ แแแแก แกแแแแแ แแแ
AIDE แแฎแแ แแแแ แแ แแก แแแแแแงแแแแก แแฎแแแ แแแแแชแแแแ แแแแ. แแแฃแจแแแ แแแ แแแแ AIDE แจแแแแฌแแแแ แงแแแแแแแแ แ แชแแแแแแแแก แแแ แแจแ:
aide --checkแแ แแ แซแแแแแแก แแแ แแแแฃแแ แแ แ แแแกแญแแ แแแแ, แ แแช แแแแแแแแแแฃแแแ แแฅแแแแ แคแแแแฃแ แ แกแแกแขแแแแก แแแแแแ แแ แกแแ แแแ แแ แแแแ แแขแแฃแแ แแแฎแกแแแ แแแแก แ แแแแแแแแแแ. แกแแแแแ แแแแก แแแกแ แฃแแแแแก แจแแแแแ แแฅแแแ แฃแแแ แแแฎแแ แจแแแแแแ:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!แแแแแ แแแงแแแแแแ แแแแแแแแแแ แแแแแแก, แ แแ แงแแแแ แคแแแแ แแ แแแ แแฅแขแแ แแ แแแแฎแแแแ AIDE แแแแแชแแแแ แแแแแก.
แขแแกแขแแ แแแ AIDE
แแแแฃแแแกแฎแแแแแ, AIDE แแ แแแแแขแ แแแแแก แแแแฃแแแกแฎแแแ Apache root แแแ แแฅแขแแ แแแก /var/www/html. แแแแแ แแแแแแแแคแแแฃแ แแ แแ AIDE แกแแแแฎแแแแ. แแแแกแแแแแก แแฅแแแ แฃแแแ แจแแชแแแแแ แคแแแแ /etc/aide.conf.
nano /etc/aide.conf
แแแแแแขแแ แแแแแ แฎแแแ "/root/CONTENT_EX" แจแแแแแแ:
/var/www/html/ CONTENT_EX
แจแแแแแแ, แจแแฅแแแแแ แคแแแแ aide.txt แแแขแแแแแจแ /var/www/html/แจแแแแแแ แแ แซแแแแแแก แแแแแงแแแแแแ:
echo "Test AIDE" > /var/www/html/aide.txtแแฎแแ แแแฃแจแแแ AIDE แจแแแแฌแแแแ แแ แแแ แฌแแฃแแแแ, แ แแ แจแแฅแแแแแ แคแแแแ แแฆแแแฉแแแแแแ.
aide --checkแแฅแแแ แฃแแแ แแแฎแแ แจแแแแแแ:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
แฉแแแ แแฎแแแแแ, แ แแ แจแแฅแแแแแ แคแแแแ แแฆแแแฉแแแแแแ aide.txt.
แแฆแแแฉแแแแแ แชแแแแแแแแแแก แแแแแแแแแแแแก แจแแแแแ แแแแแแฎแแแ AIDE แแแแแชแแแแ แแแแ.
aide --updateแแแแแฎแแแแแก แจแแแแแ แแแฎแแแ แจแแแแแแก:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
แแแแแ แแแงแแแแแแ แแ แซแแแแแ แจแแฅแแแแก แแฎแแ แแแแแชแแแแ แแแแแก aide.db.new.gz แแแขแแแแแจแ
/var/lib/aide/แแแแก แแแฎแแ แจแแแแซแแแแ แจแแแแแแ แแ แซแแแแแแ:
ls -l /var/lib/aide/แจแแแแแ:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzแแฎแแ แฎแแแแฎแแ แแแแ แฅแแแ แแฎแแแ แแแแแชแแแแ แแแแ แแกแ, แ แแ AIDE แแแแแแงแแแแก แแฎแแแ แแแแแชแแแแ แแแแ แจแแแแแแแ แชแแแแแแแแแแก แแแแแงแฃแ แแก แแแแแแแแกแแแแก. แจแแแแซแแแแ แแแแแ แฅแแแแ แจแแแแแแแแแ แแ:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzแฎแแแแฎแแ แแแฃแจแแแ แจแแแแฌแแแแ, แ แแแ แแแ แฌแแฃแแแแ, แ แแ AIDE แแงแแแแแก แแฎแแ แแแแแชแแแแ แแแแแก:
aide --checkแแฅแแแ แฃแแแ แแแฎแแ แจแแแแแแ:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!แฉแแแ แแแขแแแแขแแแแ แแแ แจแแแแฌแแแแแก
แแแ แแ แแแแแ แงแแแแ แแฆแ AIDE-แแก แจแแแแฌแแแแ แแ แแแแแ แแจแแก แคแแกแขแแ แแแแแแแแ. แแ แแ แแชแแกแแก แแแขแแแแขแแแแชแแ แจแแกแแซแแแแแแแ cron-แแก แแแแแงแแแแแแ.
nano /etc/crontabAIDE แจแแแแฌแแแแแก แแแกแแจแแแแแ แงแแแแแแฆแ 10:15 แกแแแแแ, แแแแแแขแแ แจแแแแแแ แฎแแแ แคแแแแแก แแแแแก:
15 10 * * * root /usr/sbin/aide --checkAIDE แแฎแแ แจแแแแขแงแแแแแแแ แคแแกแขแแ. แจแแแแซแแแแ แจแแแแแฌแแแ แแฅแแแแ แคแแกแขแ แจแแแแแแ แแ แซแแแแแแ:
tail -f /var/mail/rootAIDE แแฃแ แแแแแก แแแฎแแ แจแแกแแซแแแแแแแ แจแแแแแแ แแ แซแแแแแแก แแแแแงแแแแแแ:
tail -f /var/log/aide/aide.logแแแกแแแแ
แแ แกแขแแขแแแจแ แแกแฌแแแแแ, แแฃ แ แแแแ แแแแแแงแแแแ AIDE แคแแแแจแ แชแแแแแแแแแแก แแแกแแแแแแแ แแ แกแแ แแแ แแ แแ แแแแขแแ แแแแแฃแแ แฌแแแแแแก แแแแแขแแคแแชแแ แแแแกแแแแก. แแแแแขแแแแแ แแแ แแแแขแ แแแแกแแแแก แจแแแแซแแแแ แจแแชแแแแแ /etc/aide.conf แแแแคแแแฃแ แแชแแแก แคแแแแ. แฃแกแแคแ แแฎแแแแแก แแแแแแแแแก แแแแ, แ แแแแแแแแแแฃแแแ แแแแแชแแแแ แแแแแก แแ แแแแคแแแฃแ แแชแแแก แคแแแแแก แจแแแแฎแแ แแฎแแแแ แฌแแแแแฎแแแแ แแแแแแแ. แแแแแขแแแแแ แแแคแแ แแแชแแ แจแแแแซแแแแ แแฎแแแแ แแแแฃแแแแขแแชแแแจแ .
แฌแงแแ แ: www.habr.com