ProHoster > Блог > басқарма > CentOS 8 жүйесінде AIDE (қосымша шабуылды анықтау ортасы) орнату және пайдалану жолы

CentOS 8 жүйесінде AIDE (қосымша шабуылды анықтау ортасы) орнату және пайдалану жолы

Курс басталғанға дейін «Linux әкімшісі» Біз қызықты материалдың аудармасын дайындадық.

CentOS 8 жүйесінде AIDE (қосымша шабуылды анықтау ортасы) орнату және пайдалану жолы

AIDE «Жетілдірілген шабуылды анықтау ортасы» дегенді білдіреді және Linux негізіндегі операциялық жүйелердегі өзгерістерді бақылауға арналған ең танымал жүйелердің бірі болып табылады. AIDE зиянды бағдарламалардан, вирустардан қорғау және рұқсат етілмеген әрекеттерді анықтау үшін қолданылады. Файлдың тұтастығын тексеру және енуді анықтау үшін AIDE файлдық ақпараттың дерекқорын жасайды және жүйенің ағымдағы күйін осы дерекқормен салыстырады. AIDE өзгертілген файлдарға назар аудару арқылы оқиғаны зерттеу уақытын қысқартуға көмектеседі.

AIDE мүмкіндіктері:

  • Әр түрлі файл атрибуттарын қолдайды, соның ішінде: файл түрі, inode, uid, gid, рұқсаттар, сілтемелер саны, mtime, ctime және atime.
  • Gzip қысу, SELinux, XAttrs, Posix ACL және файлдық жүйе атрибуттарын қолдау.
  • Әр түрлі алгоритмдерді қолдайды, соның ішінде md5, sha1, sha256, sha512, rmd160, crc32, т.б.
  • Хабарландыруларды электрондық пошта арқылы жіберу.

Бұл мақалада біз CentOS 8 жүйесінде басып кіруді анықтау үшін AIDE орнату және пайдалану жолын қарастырамыз.

Пререквизиттер

  • Кемінде 8 ГБ жедел жады бар CentOS 2 жүйесімен жұмыс істейтін сервер.
  • түбірлік қатынас

Жұмысты бастау

Алдымен жүйені жаңарту ұсынылады. Ол үшін келесі пәрменді іске қосыңыз.

dnf update -y

Жаңартқаннан кейін өзгертулер күшіне енуі үшін жүйені қайта іске қосыңыз.

AIDE орнату

AIDE әдепкі CentOS 8 репозиторийінде қол жетімді. Оны келесі пәрменді орындау арқылы оңай орнатуға болады:

dnf install aide -y

Орнату аяқталғаннан кейін келесі пәрмен арқылы AIDE нұсқасын көруге болады:

aide --version

Сіз мыналарды көруіңіз керек:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Қолжетімді опциялар aide келесідей қарауға болады:

aide --help

CentOS 8 жүйесінде AIDE (қосымша шабуылды анықтау ортасы) орнату және пайдалану жолы

Мәліметтер қорын құру және инициализациялау

AIDE орнатқаннан кейін бірінші істеу керек - оны инициализациялау. Инициализация сервердегі барлық файлдар мен каталогтардың деректер қорын (суретін) жасаудан тұрады.

Дерекқорды инициализациялау үшін келесі пәрменді орындаңыз:

aide --init

Сіз мыналарды көруіңіз керек:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Жоғарыдағы пәрмен жаңа дерекқорды жасайды aide.db.new.gz каталогта /var/lib/aide. Оны келесі пәрмен арқылы көруге болады:

ls -l /var/lib/aide

нәтижесі:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE бұл жаңа дерекқор файлын атауын өзгертпейінше пайдаланбайды aide.db.gz. Мұны келесідей жасауға болады:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Өзгерістердің дұрыс бақылануын қамтамасыз ету үшін осы дерекқорды мерзімді түрде жаңарту ұсынылады.

Параметрді өзгерту арқылы дерекқордың орнын өзгертуге болады DBDIR файлда /etc/aide.conf.

Чек жүргізу

AIDE енді жаңа дерекқорды пайдалануға дайын. Ешбір өзгеріссіз бірінші AIDE тексеруін орындаңыз:

aide --check

Бұл пәрменді орындау файлдық жүйенің өлшеміне және сервердегі ЖЖҚ көлеміне байланысты біраз уақытты алады. Сканерлеу аяқталғаннан кейін келесіні көру керек:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Жоғарыдағы шығыс барлық файлдар мен каталогтардың AIDE дерекқорына сәйкес келетінін айтады.

AIDE тестілеу

Әдепкі бойынша, AIDE әдепкі Apache түбірлік каталогын қадағаламайды /var/www/html. Оны көру үшін AIDE параметрін конфигурациялайық. Мұны істеу үшін файлды өзгерту керек /etc/aide.conf.

nano /etc/aide.conf

Жоғарыдағы жолды қосыңыз "/root/CONTENT_EX" Мынадай:

/var/www/html/ CONTENT_EX

Әрі қарай, файл жасаңыз aide.txt каталогта /var/www/html/келесі пәрменді пайдалану:

echo "Test AIDE" > /var/www/html/aide.txt

Енді AIDE тексеруін іске қосыңыз және жасалған файлдың анықталғанын тексеріңіз.

aide --check

Сіз мыналарды көруіңіз керек:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Жасалған файл анықталғанын көреміз aide.txt.
Анықталған өзгерістерді талдағаннан кейін AIDE дерекқорын жаңартыңыз.

aide --update

Жаңартудан кейін сіз келесіні көресіз:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Жоғарыдағы пәрмен жаңа дерекқорды жасайды aide.db.new.gz каталогта 

/var/lib/aide/

Сіз оны келесі пәрмен арқылы көре аласыз:

ls -l /var/lib/aide/

нәтижесі:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Енді AIDE қосымша өзгерістерді бақылау үшін жаңа дерекқорды пайдалануы үшін жаңа дерекқордың атын қайта өзгертіңіз. Оның атын келесідей өзгертуге болады:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE жаңа дерекқорды пайдаланып жатқанына көз жеткізу үшін тексеруді қайта іске қосыңыз:

aide --check

Сіз мыналарды көруіңіз керек:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Біз тексеруді автоматтандырамыз

Күн сайын AIDE тексеруін жүргізіп, есепті поштаға жіберген дұрыс. Бұл процесті cron көмегімен автоматтандыруға болады.

nano /etc/crontab

AIDE тексеруін күн сайын 10:15-те іске қосу үшін файлдың соңына келесі жолды қосыңыз:

15 10 * * * root /usr/sbin/aide --check

AIDE енді сізге пошта арқылы хабарлайды. Поштаңызды келесі пәрмен арқылы тексеруге болады:

tail -f /var/mail/root

AIDE журналын келесі пәрмен арқылы көруге болады:

tail -f /var/log/aide/aide.log

қорытынды

Бұл мақалада сіз файл өзгерістерін анықтау және серверге рұқсатсыз кіруді анықтау үшін AIDE қалай пайдалану керектігін білдіңіз. Қосымша параметрлер үшін /etc/aide.conf конфигурация файлын өңдеуге болады. Қауіпсіздік мақсатында дерекқор мен конфигурация файлын тек оқуға арналған медиада сақтау ұсынылады. Қосымша ақпаратты құжаттамадан табуға болады AIDE Doc.

Курс туралы көбірек біліңіз.

Ақпарат көзі: www.habr.com

пікір қалдыру