ಕೋರ್ಸ್ ಪ್ರಾರಂಭವಾಗುವ ಮೊದಲು
AIDE ಎಂದರೆ "ಸುಧಾರಿತ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆ ಪರಿಸರ" ಮತ್ತು Linux-ಆಧಾರಿತ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. AIDE ಅನ್ನು ಮಾಲ್ವೇರ್, ವೈರಸ್ಗಳಿಂದ ರಕ್ಷಿಸಲು ಮತ್ತು ಅನಧಿಕೃತ ಚಟುವಟಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಬಳಸಲಾಗುತ್ತದೆ. ಫೈಲ್ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಒಳನುಗ್ಗುವಿಕೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು, AIDE ಫೈಲ್ ಮಾಹಿತಿಯ ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ ಮತ್ತು ಈ ಡೇಟಾಬೇಸ್ನೊಂದಿಗೆ ಸಿಸ್ಟಮ್ನ ಪ್ರಸ್ತುತ ಸ್ಥಿತಿಯನ್ನು ಹೋಲಿಸುತ್ತದೆ. ಮಾರ್ಪಡಿಸಲಾದ ಫೈಲ್ಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುವ ಮೂಲಕ ಘಟನೆಯ ತನಿಖೆಯ ಸಮಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು AIDE ಸಹಾಯ ಮಾಡುತ್ತದೆ.
AIDE ವೈಶಿಷ್ಟ್ಯಗಳು:
- ಫೈಲ್ ಪ್ರಕಾರ, ಐನೋಡ್, uid, gid, ಅನುಮತಿಗಳು, ಲಿಂಕ್ಗಳ ಸಂಖ್ಯೆ, mtime, ctime ಮತ್ತು atime ಸೇರಿದಂತೆ ವಿವಿಧ ಫೈಲ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.
- Gzip ಕಂಪ್ರೆಷನ್, SELinux, XAttrs, Posix ACL ಮತ್ತು ಫೈಲ್ ಸಿಸ್ಟಮ್ ಗುಣಲಕ್ಷಣಗಳಿಗೆ ಬೆಂಬಲ.
- md5, sha1, sha256, sha512, rmd160, crc32, ಇತ್ಯಾದಿ ಸೇರಿದಂತೆ ವಿವಿಧ ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ.
- ಇಮೇಲ್ ಮೂಲಕ ಅಧಿಸೂಚನೆಗಳನ್ನು ಕಳುಹಿಸಲಾಗುತ್ತಿದೆ.
ಈ ಲೇಖನದಲ್ಲಿ, CentOS 8 ನಲ್ಲಿ ಒಳನುಗ್ಗುವಿಕೆ ಪತ್ತೆಗಾಗಿ AIDE ಅನ್ನು ಹೇಗೆ ಸ್ಥಾಪಿಸುವುದು ಮತ್ತು ಬಳಸುವುದು ಎಂಬುದನ್ನು ನಾವು ನೋಡುತ್ತೇವೆ.
ಪೂರ್ವಾಪೇಕ್ಷಿತಗಳು
- ಸರ್ವರ್ CentOS 8 ಅನ್ನು ಚಾಲನೆ ಮಾಡುತ್ತಿದೆ, ಕನಿಷ್ಠ 2 GB RAM.
- ಮೂಲ ಪ್ರವೇಶ
ಪ್ರಾರಂಭಿಸುವುದು
ಮೊದಲು ಸಿಸ್ಟಮ್ ಅನ್ನು ನವೀಕರಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಇದನ್ನು ಮಾಡಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿ.
dnf update -y
После обновления перезапустите систему, чтобы изменения вступили в силу.
AIDE ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗುತ್ತಿದೆ
AIDE ಡೀಫಾಲ್ಟ್ CentOS 8 ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಲಭ್ಯವಿದೆ. ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ನೀವು ಅದನ್ನು ಸುಲಭವಾಗಿ ಸ್ಥಾಪಿಸಬಹುದು:
dnf install aide -y
ಅನುಸ್ಥಾಪನೆಯು ಪೂರ್ಣಗೊಂಡ ನಂತರ, ನೀವು ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು AIDE ಆವೃತ್ತಿಯನ್ನು ವೀಕ್ಷಿಸಬಹುದು:
aide --version
ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡಬೇಕು:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
ಲಭ್ಯವಿರುವ ಆಯ್ಕೆಗಳು aide
ಈ ಕೆಳಗಿನಂತೆ ವೀಕ್ಷಿಸಬಹುದು:
aide --help
ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಚಿಸುವುದು ಮತ್ತು ಪ್ರಾರಂಭಿಸುವುದು
AIDE ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ ನೀವು ಮಾಡಬೇಕಾದ ಮೊದಲನೆಯದು ಅದನ್ನು ಪ್ರಾರಂಭಿಸುವುದು. ಪ್ರಾರಂಭವು ಸರ್ವರ್ನಲ್ಲಿನ ಎಲ್ಲಾ ಫೈಲ್ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳ ಡೇಟಾಬೇಸ್ (ಸ್ನ್ಯಾಪ್ಶಾಟ್) ರಚಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಡೇಟಾಬೇಸ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು, ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಚಲಾಯಿಸಿ:
aide --init
ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡಬೇಕು:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
ಮೇಲಿನ ಆಜ್ಞೆಯು ಹೊಸ ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ aide.db.new.gz
ಕ್ಯಾಟಲಾಗ್ನಲ್ಲಿ /var/lib/aide
. ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಇದನ್ನು ನೋಡಬಹುದು:
ls -l /var/lib/aide
ಫಲಿತಾಂಶ:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ಈ ಹೊಸ ಡೇಟಾಬೇಸ್ ಫೈಲ್ ಅನ್ನು ಮರುಹೆಸರಿಸುವವರೆಗೆ ಬಳಸುವುದಿಲ್ಲ aide.db.gz
. ಇದನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಮಾಡಬಹುದು:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
ಬದಲಾವಣೆಗಳನ್ನು ಸರಿಯಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲಾಗುತ್ತದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ನೀವು ನಿಯತಕಾಲಿಕವಾಗಿ ಈ ಡೇಟಾಬೇಸ್ ಅನ್ನು ನವೀಕರಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.
ನಿಯತಾಂಕವನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ನೀವು ಡೇಟಾಬೇಸ್ನ ಸ್ಥಳವನ್ನು ಬದಲಾಯಿಸಬಹುದು DBDIR
ಕಡತದಲ್ಲಿ /etc/aide.conf
.
ಒಂದು ಚೆಕ್ ರನ್ನಿಂಗ್
AIDE ಈಗ ಹೊಸ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಬಳಸಲು ಸಿದ್ಧವಾಗಿದೆ. ಯಾವುದೇ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡದೆಯೇ ಮೊದಲ AIDE ಚೆಕ್ ಅನ್ನು ರನ್ ಮಾಡಿ:
aide --check
ನಿಮ್ಮ ಫೈಲ್ ಸಿಸ್ಟಮ್ನ ಗಾತ್ರ ಮತ್ತು ನಿಮ್ಮ ಸರ್ವರ್ನಲ್ಲಿನ RAM ನ ಪ್ರಮಾಣವನ್ನು ಅವಲಂಬಿಸಿ ಈ ಆಜ್ಞೆಯು ಪೂರ್ಣಗೊಳ್ಳಲು ಸ್ವಲ್ಪ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆ. ಸ್ಕ್ಯಾನ್ ಪೂರ್ಣಗೊಂಡ ನಂತರ ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡಬೇಕು:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
ಎಲ್ಲಾ ಫೈಲ್ಗಳು ಮತ್ತು ಡೈರೆಕ್ಟರಿಗಳು AIDE ಡೇಟಾಬೇಸ್ಗೆ ಹೊಂದಿಕೆಯಾಗುತ್ತವೆ ಎಂದು ಮೇಲಿನ ಔಟ್ಪುಟ್ ಹೇಳುತ್ತದೆ.
AIDE ಅನ್ನು ಪರೀಕ್ಷಿಸಲಾಗುತ್ತಿದೆ
ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, AIDE ಡೀಫಾಲ್ಟ್ Apache ರೂಟ್ ಡೈರೆಕ್ಟರಿಯನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುವುದಿಲ್ಲ /var/www/html.
ಅದನ್ನು ವೀಕ್ಷಿಸಲು AIDE ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡೋಣ. ಇದನ್ನು ಮಾಡಲು ನೀವು ಫೈಲ್ ಅನ್ನು ಬದಲಾಯಿಸಬೇಕಾಗಿದೆ /etc/aide.conf
.
nano /etc/aide.conf
ಮೇಲಿನ ಸಾಲನ್ನು ಸೇರಿಸಿ "/root/CONTENT_EX"
ಕೆಳಗಿನವುಗಳು:
/var/www/html/ CONTENT_EX
ಮುಂದೆ, ಫೈಲ್ ಅನ್ನು ರಚಿಸಿ aide.txt
ಕ್ಯಾಟಲಾಗ್ನಲ್ಲಿ /var/www/html/
ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ:
echo "Test AIDE" > /var/www/html/aide.txt
ಈಗ AIDE ಚೆಕ್ ಅನ್ನು ರನ್ ಮಾಡಿ ಮತ್ತು ರಚಿಸಿದ ಫೈಲ್ ಪತ್ತೆಯಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
aide --check
ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡಬೇಕು:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
ರಚಿಸಿದ ಫೈಲ್ ಪತ್ತೆಯಾಗಿದೆ ಎಂದು ನಾವು ನೋಡುತ್ತೇವೆ aide.txt
.
ಪತ್ತೆಯಾದ ಬದಲಾವಣೆಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಿದ ನಂತರ, AIDE ಡೇಟಾಬೇಸ್ ಅನ್ನು ನವೀಕರಿಸಿ.
aide --update
ನವೀಕರಣದ ನಂತರ ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡುತ್ತೀರಿ:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
ಮೇಲಿನ ಆಜ್ಞೆಯು ಹೊಸ ಡೇಟಾಬೇಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ aide.db.new.gz
ಕ್ಯಾಟಲಾಗ್ನಲ್ಲಿ
/var/lib/aide/
ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ನೀವು ಅದನ್ನು ನೋಡಬಹುದು:
ls -l /var/lib/aide/
ಫಲಿತಾಂಶ:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
ಈಗ ಹೊಸ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಮರುಹೆಸರಿಸಿ ಇದರಿಂದ AIDE ಮತ್ತಷ್ಟು ಬದಲಾವಣೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೊಸ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಬಳಸುತ್ತದೆ. ನೀವು ಇದನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಮರುಹೆಸರಿಸಬಹುದು:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE ಹೊಸ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಬಳಸುತ್ತಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತೊಮ್ಮೆ ಚೆಕ್ ಅನ್ನು ರನ್ ಮಾಡಿ:
aide --check
ನೀವು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ನೋಡಬೇಕು:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
ನಾವು ಚೆಕ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸುತ್ತೇವೆ
ಪ್ರತಿದಿನ AIDE ಚೆಕ್ ಅನ್ನು ನಡೆಸುವುದು ಮತ್ತು ವರದಿಯನ್ನು ಮೇಲ್ ಮಾಡುವುದು ಒಳ್ಳೆಯದು. ಕ್ರಾನ್ ಬಳಸಿ ಈ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಬಹುದು.
nano /etc/crontab
AIDE ಚೆಕ್ ಅನ್ನು ಪ್ರತಿದಿನ 10:15 ಕ್ಕೆ ಚಲಾಯಿಸಲು, ಫೈಲ್ನ ಅಂತ್ಯಕ್ಕೆ ಈ ಕೆಳಗಿನ ಸಾಲನ್ನು ಸೇರಿಸಿ:
15 10 * * * root /usr/sbin/aide --check
AIDE ಈಗ ನಿಮಗೆ ಮೇಲ್ ಮೂಲಕ ತಿಳಿಸುತ್ತದೆ. ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯೊಂದಿಗೆ ನಿಮ್ಮ ಮೇಲ್ ಅನ್ನು ನೀವು ಪರಿಶೀಲಿಸಬಹುದು:
tail -f /var/mail/root
ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು AIDE ಲಾಗ್ ಅನ್ನು ವೀಕ್ಷಿಸಬಹುದು:
tail -f /var/log/aide/aide.log
ತೀರ್ಮಾನಕ್ಕೆ
ಈ ಲೇಖನದಲ್ಲಿ, ಫೈಲ್ ಬದಲಾವಣೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ಅನಧಿಕೃತ ಸರ್ವರ್ ಪ್ರವೇಶವನ್ನು ಗುರುತಿಸಲು AIDE ಅನ್ನು ಹೇಗೆ ಬಳಸುವುದು ಎಂದು ನೀವು ಕಲಿತಿದ್ದೀರಿ. ಹೆಚ್ಚುವರಿ ಸೆಟ್ಟಿಂಗ್ಗಳಿಗಾಗಿ, ನೀವು /etc/aide.conf ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಸಂಪಾದಿಸಬಹುದು. ಭದ್ರತಾ ಕಾರಣಗಳಿಗಾಗಿ, ಓದಲು-ಮಾತ್ರ ಮಾಧ್ಯಮದಲ್ಲಿ ಡೇಟಾಬೇಸ್ ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ದಸ್ತಾವೇಜನ್ನು ಕಾಣಬಹುದು
ಮೂಲ: www.habr.com