Курс басталғанға дейін
AIDE «Жетілдірілген шабуылды анықтау ортасы» дегенді білдіреді және Linux негізіндегі операциялық жүйелердегі өзгерістерді бақылауға арналған ең танымал жүйелердің бірі болып табылады. AIDE зиянды бағдарламалардан, вирустардан қорғау және рұқсат етілмеген әрекеттерді анықтау үшін қолданылады. Файлдың тұтастығын тексеру және енуді анықтау үшін AIDE файлдық ақпараттың дерекқорын жасайды және жүйенің ағымдағы күйін осы дерекқормен салыстырады. AIDE өзгертілген файлдарға назар аудару арқылы оқиғаны зерттеу уақытын қысқартуға көмектеседі.
AIDE мүмкіндіктері:
- Әр түрлі файл атрибуттарын қолдайды, соның ішінде: файл түрі, inode, uid, gid, рұқсаттар, сілтемелер саны, mtime, ctime және atime.
- Gzip қысу, SELinux, XAttrs, Posix ACL және файлдық жүйе атрибуттарын қолдау.
- Әр түрлі алгоритмдерді қолдайды, соның ішінде md5, sha1, sha256, sha512, rmd160, crc32, т.б.
- Хабарландыруларды электрондық пошта арқылы жіберу.
Бұл мақалада біз CentOS 8 жүйесінде басып кіруді анықтау үшін AIDE орнату және пайдалану жолын қарастырамыз.
Пререквизиттер
- Кемінде 8 ГБ жедел жады бар CentOS 2 жүйесімен жұмыс істейтін сервер.
- түбірлік қатынас
Жұмысты бастау
Алдымен жүйені жаңарту ұсынылады. Ол үшін келесі пәрменді іске қосыңыз.
dnf update -y
Жаңартқаннан кейін өзгертулер күшіне енуі үшін жүйені қайта іске қосыңыз.
AIDE орнату
AIDE әдепкі CentOS 8 репозиторийінде қол жетімді. Оны келесі пәрменді орындау арқылы оңай орнатуға болады:
dnf install aide -y
Орнату аяқталғаннан кейін келесі пәрмен арқылы AIDE нұсқасын көруге болады:
aide --version
Сіз мыналарды көруіңіз керек:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Қолжетімді опциялар aide
келесідей қарауға болады:
aide --help
Мәліметтер қорын құру және инициализациялау
AIDE орнатқаннан кейін бірінші істеу керек - оны инициализациялау. Инициализация сервердегі барлық файлдар мен каталогтардың деректер қорын (суретін) жасаудан тұрады.
Дерекқорды инициализациялау үшін келесі пәрменді орындаңыз:
aide --init
Сіз мыналарды көруіңіз керек:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Жоғарыдағы пәрмен жаңа дерекқорды жасайды aide.db.new.gz
каталогта /var/lib/aide
. Оны келесі пәрмен арқылы көруге болады:
ls -l /var/lib/aide
нәтижесі:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE бұл жаңа дерекқор файлын атауын өзгертпейінше пайдаланбайды aide.db.gz
. Мұны келесідей жасауға болады:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Өзгерістердің дұрыс бақылануын қамтамасыз ету үшін осы дерекқорды мерзімді түрде жаңарту ұсынылады.
Параметрді өзгерту арқылы дерекқордың орнын өзгертуге болады DBDIR
файлда /etc/aide.conf
.
Чек жүргізу
AIDE енді жаңа дерекқорды пайдалануға дайын. Ешбір өзгеріссіз бірінші AIDE тексеруін орындаңыз:
aide --check
Бұл пәрменді орындау файлдық жүйенің өлшеміне және сервердегі ЖЖҚ көлеміне байланысты біраз уақытты алады. Сканерлеу аяқталғаннан кейін келесіні көру керек:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Жоғарыдағы шығыс барлық файлдар мен каталогтардың AIDE дерекқорына сәйкес келетінін айтады.
AIDE тестілеу
Әдепкі бойынша, AIDE әдепкі Apache түбірлік каталогын қадағаламайды /var/www/html.
Оны көру үшін AIDE параметрін конфигурациялайық. Мұны істеу үшін файлды өзгерту керек /etc/aide.conf
.
nano /etc/aide.conf
Жоғарыдағы жолды қосыңыз "/root/CONTENT_EX"
Мынадай:
/var/www/html/ CONTENT_EX
Әрі қарай, файл жасаңыз aide.txt
каталогта /var/www/html/
келесі пәрменді пайдалану:
echo "Test AIDE" > /var/www/html/aide.txt
Енді AIDE тексеруін іске қосыңыз және жасалған файлдың анықталғанын тексеріңіз.
aide --check
Сіз мыналарды көруіңіз керек:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Жасалған файл анықталғанын көреміз aide.txt
.
Анықталған өзгерістерді талдағаннан кейін AIDE дерекқорын жаңартыңыз.
aide --update
Жаңартудан кейін сіз келесіні көресіз:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Жоғарыдағы пәрмен жаңа дерекқорды жасайды aide.db.new.gz
каталогта
/var/lib/aide/
Сіз оны келесі пәрмен арқылы көре аласыз:
ls -l /var/lib/aide/
нәтижесі:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Енді AIDE қосымша өзгерістерді бақылау үшін жаңа дерекқорды пайдалануы үшін жаңа дерекқордың атын қайта өзгертіңіз. Оның атын келесідей өзгертуге болады:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE жаңа дерекқорды пайдаланып жатқанына көз жеткізу үшін тексеруді қайта іске қосыңыз:
aide --check
Сіз мыналарды көруіңіз керек:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Біз тексеруді автоматтандырамыз
Күн сайын AIDE тексеруін жүргізіп, есепті поштаға жіберген дұрыс. Бұл процесті cron көмегімен автоматтандыруға болады.
nano /etc/crontab
AIDE тексеруін күн сайын 10:15-те іске қосу үшін файлдың соңына келесі жолды қосыңыз:
15 10 * * * root /usr/sbin/aide --check
AIDE енді сізге пошта арқылы хабарлайды. Поштаңызды келесі пәрмен арқылы тексеруге болады:
tail -f /var/mail/root
AIDE журналын келесі пәрмен арқылы көруге болады:
tail -f /var/log/aide/aide.log
қорытынды
Бұл мақалада сіз файл өзгерістерін анықтау және серверге рұқсатсыз кіруді анықтау үшін AIDE қалай пайдалану керектігін білдіңіз. Қосымша параметрлер үшін /etc/aide.conf конфигурация файлын өңдеуге болады. Қауіпсіздік мақсатында дерекқор мен конфигурация файлын тек оқуға арналған медиада сақтау ұсынылады. Қосымша ақпаратты құжаттамадан табуға болады
Ақпарат көзі: www.habr.com