CentOS 8에서 AIDE(고급 침입 탐지 환경)를 설치하고 사용하는 방법

코스 시작 전 "리눅스 관리자" 흥미로운 자료의 번역을 준비했습니다.

AIDE는 "Advanced Intrusion Protection Environment"의 약자로 Linux 기반 운영 체제의 변경 사항을 모니터링하는 데 가장 널리 사용되는 시스템 중 하나입니다. AIDE는 맬웨어, 바이러스로부터 보호하고 무단 활동을 탐지하는 데 사용됩니다. 파일 무결성을 확인하고 침입을 탐지하기 위해 AIDE는 파일 정보 데이터베이스를 생성하고 시스템의 현재 상태를 이 데이터베이스와 비교합니다. AIDE는 수정된 파일에 집중하여 사건 조사 시간을 줄이는 데 도움을 줍니다.

보좌관 기능:

• 파일 유형, inode, uid, gid, 권한, 링크 수, mtime, ctime 및 atime을 포함한 다양한 파일 속성을 지원합니다.
• Gzip 압축, SELinux, XAttrs, Posix ACL 및 파일 시스템 속성을 지원합니다.
• md5, sha1, sha256, sha512, rmd160, crc32 등 다양한 알고리즘을 지원합니다.
• 이메일로 알림 보내기.

이번 글에서는 CentOS 8에서 침입탐지용 AIDE를 설치하고 사용하는 방법을 살펴보겠습니다.

전제 조건

• 최소 8GB RAM을 갖춘 CentOS 2을 실행하는 서버입니다.
• 루트 액세스

Начинаем

먼저 시스템을 업데이트하는 것이 좋습니다. 이렇게 하려면 다음 명령을 실행하세요.

dnf update -y

업데이트 후 변경 사항을 적용하려면 시스템을 다시 시작하세요.

보좌관 설치

AIDE는 기본 CentOS 8 저장소에서 사용할 수 있으며 다음 명령을 실행하여 쉽게 설치할 수 있습니다.

dnf install aide -y

설치가 완료되면 다음 명령을 사용하여 AIDE 버전을 볼 수 있습니다.

aide --version

다음이 표시되어야 합니다.

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

사용 가능한 옵션 aide 다음과 같이 볼 수 있습니다:

aide --help

데이터베이스 생성 및 초기화

AIDE를 설치한 후 가장 먼저 해야 할 일은 초기화입니다. 초기화는 서버의 모든 파일과 디렉터리에 대한 데이터베이스(스냅샷) 생성으로 구성됩니다.

데이터베이스를 초기화하려면 다음 명령을 실행하십시오.

aide --init

다음이 표시되어야 합니다.

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

위의 명령은 새 데이터베이스를 생성합니다 aide.db.new.gz 카탈로그에 /var/lib/aide. 다음 명령을 사용하여 볼 수 있습니다.

ls -l /var/lib/aide

결과 :

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE는 이름이 바뀔 때까지 이 새 데이터베이스 파일을 사용하지 않습니다. aide.db.gz. 이 작업은 다음과 같이 수행할 수 있습니다.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

변경 사항이 제대로 모니터링되도록 이 데이터베이스를 정기적으로 업데이트하는 것이 좋습니다.

매개변수를 변경하여 데이터베이스의 위치를 ​​변경할 수 있습니다. DBDIR 파일에 /etc/aide.conf.

확인 실행

이제 AIDE가 새 데이터베이스를 사용할 준비가 되었습니다. 변경하지 않고 첫 번째 AIDE 검사를 실행합니다.

aide --check

이 명령은 파일 시스템의 크기와 서버의 RAM 용량에 따라 완료하는 데 다소 시간이 걸립니다. 스캔이 완료되면 다음이 표시됩니다.

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

위 출력은 모든 파일과 디렉터리가 AIDE 데이터베이스와 일치함을 나타냅니다.

테스트 보좌관

기본적으로 AIDE는 기본 Apache 루트 디렉터리를 추적하지 않습니다. /var/www/html. 이를 볼 수 있도록 AIDE를 구성해 보겠습니다. 이렇게 하려면 파일을 변경해야 합니다. /etc/aide.conf.

nano /etc/aide.conf

위 줄 추가 "/root/CONTENT_EX" 다음 :

/var/www/html/ CONTENT_EX

다음으로 파일을 만듭니다. aide.txt 카탈로그에 /var/www/html/다음 명령을 사용합니다.

echo "Test AIDE" > /var/www/html/aide.txt

이제 AIDE 검사를 실행하여 생성된 파일이 감지되는지 확인하세요.

aide --check

다음이 표시되어야 합니다.

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

생성된 파일이 감지된 것을 확인할 수 있습니다. aide.txt.
감지된 변경 사항을 분석한 후 AIDE 데이터베이스를 업데이트합니다.

aide --update

업데이트 후에는 다음이 표시됩니다.

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

위의 명령은 새 데이터베이스를 생성합니다 aide.db.new.gz 카탈로그에

/var/lib/aide/

다음 명령을 사용하여 볼 수 있습니다.

ls -l /var/lib/aide/

결과 :

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

이제 AIDE가 새 데이터베이스를 사용하여 추가 변경 사항을 추적할 수 있도록 새 데이터베이스의 이름을 다시 바꾸십시오. 다음과 같이 이름을 바꿀 수 있습니다.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

검사를 다시 실행하여 AIDE가 새 데이터베이스를 사용하고 있는지 확인하세요.

aide --check

다음이 표시되어야 합니다.

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

우리는 검사를 자동화합니다

매일 AIDE 점검을 실시하고 보고서를 우편으로 보내는 것이 좋습니다. 이 프로세스는 cron을 사용하여 자동화할 수 있습니다.

nano /etc/crontab

매일 10시 15분에 AIDE 확인을 실행하려면 파일 끝에 다음 줄을 추가하세요.

15 10 * * * root /usr/sbin/aide --check

이제 AIDE에서 우편으로 알려드리겠습니다. 다음 명령을 사용하여 메일을 확인할 수 있습니다.

tail -f /var/mail/root

AIDE 로그는 다음 명령을 사용하여 볼 수 있습니다.

tail -f /var/log/aide/aide.log

결론

이 기사에서는 AIDE를 사용하여 파일 변경 사항을 감지하고 무단 서버 액세스를 식별하는 방법을 배웠습니다. 추가 설정을 위해 /etc/aide.conf 구성 파일을 편집할 수 있습니다. 보안상의 이유로 데이터베이스 및 구성 파일을 읽기 전용 미디어에 저장하는 것이 좋습니다. 자세한 내용은 설명서에서 확인할 수 있습니다. 보좌관 문서.

과정에 대해 자세히 알아보세요.

출처 : habr.com