ProHoster > Blog > Rêveberî > Meriv çawa li CentOS 8 AIDE-ê (Hîndora Tespîtkirina Desthilatdariya Pêşkeftî) saz dike û bikar tîne

Meriv çawa li CentOS 8 AIDE-ê (Hîndora Tespîtkirina Desthilatdariya Pêşkeftî) saz dike û bikar tîne

Berî destpêkirina qursê "Rêveberê Linux" Me wergerek ji materyalên balkêş amade kiriye.

Meriv çawa li CentOS 8 AIDE-ê (Hîndora Tespîtkirina Desthilatdariya Pêşkeftî) saz dike û bikar tîne

AIDE ji bo "Pêşkeftî Jîngeh Tespîtkirina Desthilatdariyê" radiweste û yek ji pergalên herî populer e ji bo şopandina guhertinên di pergalên xebitandinê yên Linux-ê de. AIDE ji bo parastina li dijî malware, vîrus û tespîtkirina çalakiyên bêdestûr tê bikar anîn. Ji bo verastkirina yekrêziya pelê û tespîtkirina destwerdan, AIDE databasek agahdariya pelê diafirîne û rewşa heyî ya pergalê bi vê databasê re berhev dike. AIDE bi balkişandina li ser pelên ku hatine guheztin dema lêkolîna bûyerê kêm dike.

Taybetmendiyên AIDE:

  • Taybetmendiyên pelê yên cihêreng piştgirî dike, di nav de: celeb pel, inode, uid, gid, destûr, hejmara girêdan, mtime, ctime û atime.
  • Piştgiriya ji bo komkirina Gzip, SELinux, XAttrs, Posix ACL û taybetmendiyên pergala pelan.
  • Algorîtmayên cihêreng di nav de md5, sha1, sha256, sha512, rmd160, crc32, hwd piştgirî dike.
  • Agahdariyên bi e-nameyê şandin.

Di vê gotarê de, em ê binihêrin ka meriv çawa AIDE-ê ji bo tespîtkirina destwerdanê li ser CentOS 8 saz dike û bikar tîne.

Pêdiviyên pêşîn

  • Pêşkêşkara ku CentOS 8 dimeşîne, bi kêmî ve 2 GB RAM.
  • gihîştina root

Destpêkirin

Pêşniyar kirin ku pergalê pêşî nûve bikin. Ji bo vê yekê, emrê jêrîn bimeşînin.

dnf update -y

Piştî nûvekirinê, pergala xwe ji nû ve bidin destpêkirin da ku guheztin bikevin meriyetê.

Sazkirina AIDE

AIDE di depoya xwerû ya CentOS 8 de heye. Hûn dikarin wê bi hêsanî saz bikin bi fermana jêrîn:

dnf install aide -y

Piştî ku sazkirin qediya, hûn dikarin guhertoya AIDE-ê bi karanîna fermana jêrîn bibînin:

aide --version

Divê hûn jêrîn bibînin:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Vebijarkên berdest aide dikare wekî jêrîn were dîtin:

aide --help

Meriv çawa li CentOS 8 AIDE-ê (Hîndora Tespîtkirina Desthilatdariya Pêşkeftî) saz dike û bikar tîne

Afirandin û destpêkirina databasê

Yekem tiştê ku hûn hewce ne ku piştî sazkirina AIDE-ê bikin ev e ku hûn wê dest pê bikin. Destpêkirin ji afirandina databasek (snapshot) ji hemî pel û peldankên li ser serverê pêk tê.

Ji bo destpêkirina databasê, emrê jêrîn bimeşînin:

aide --init

Divê hûn jêrîn bibînin:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Fermana jorîn dê databasek nû biafirîne aide.db.new.gz di katalogê de /var/lib/aide. Ew dikare bi karanîna fermana jêrîn were dîtin:

ls -l /var/lib/aide

Encam:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE dê vê pelê databasa nû bikar neyîne heya ku navê wê were guheztin aide.db.gz. Ev dikare bi vî rengî were kirin:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Tê pêşniyar kirin ku hûn vê databasê dem bi dem nûve bikin da ku hûn piştrast bikin ku guhertin bi rêkûpêk têne şopandin.

Hûn dikarin cîhê databasê bi guheztina pîvanê biguhezînin DBDIR di dosyayê de /etc/aide.conf.

Dimeşandin a scan

AIDE niha amade ye ku databasa nû bikar bîne. Kontrola yekem a AIDE bêyî ku tu guhertinan çêbike bimeşîne:

aide --check

Dê ev ferman li gorî mezinahiya pergala pelê we û mîqdara RAM-ê ya li ser servera we çend dem bigire ku temam bibe. Piştî ku şopandin qediya, divê hûn jêrîn bibînin:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Hilbera jorîn dibêje ku hemî pel û peldankan bi databasa AIDE re hevûdu dikin.

Testkirina AIDE

Bi xwerû, AIDE pelrêça root a xwerû ya Apache naşopîne /var/www/html. Ka em AIDE-ê mîheng bikin da ku wê bibînin. Ji bo vê yekê hûn hewce ne ku pelê biguherînin /etc/aide.conf.

nano /etc/aide.conf

Xeta jorîn lê zêde bike "/root/CONTENT_EX" jêrîn:

/var/www/html/ CONTENT_EX

Piştre, pelek çêbikin aide.txt di katalogê de /var/www/html/bikaranîna fermana jêrîn:

echo "Test AIDE" > /var/www/html/aide.txt

Naha kontrolkirina AIDE-ê bimeşînin û pê ewle bin ku pelê hatî çêkirin tê kifş kirin.

aide --check

Divê hûn jêrîn bibînin:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Em dibînin ku pelê hatî çêkirin tê kifş kirin aide.txt.
Piştî analîzkirina guheztinên tespîtkirî, databasa AIDE nûve bikin.

aide --update

Piştî nûvekirinê hûn ê jêrîn bibînin:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Fermana jorîn dê databasek nû biafirîne aide.db.new.gz di katalogê de 

/var/lib/aide/

Hûn dikarin wê bi fermana jêrîn bibînin:

ls -l /var/lib/aide/

Encam:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Naha navê databasa nû dîsa biguherînin da ku AIDE databasa nû bikar bîne da ku guheztinên din bişopîne. Hûn dikarin navê wê wekî jêrîn biguherînin:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ji bo ku AIDE databasa nû bikar tîne dîsa kontrolê bimeşînin:

aide --check

Divê hûn jêrîn bibînin:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Em kontrolê otomatîk dikin

Ramanek baş e ku meriv her roj kontrolek AIDE bike û raporê bişîne. Ev pêvajo dikare bi karanîna cron ve were otomatîk kirin.

nano /etc/crontab

Ji bo kontrolkirina AIDE her roj di saet 10:15 de, rêza jêrîn li dawiya pelê zêde bikin:

15 10 * * * root /usr/sbin/aide --check

AIDE niha dê bi e-nameyê we agahdar bike. Hûn dikarin bi fermana jêrîn e-nameya xwe kontrol bikin:

tail -f /var/mail/root

Têketina AIDE dikare bi karanîna fermana jêrîn were dîtin:

tail -f /var/log/aide/aide.log

encamê

Di vê gotarê de, hûn fêr bûn ku meriv çawa AIDE-ê bikar tîne da ku guheztinên pelan tespît bike û gihîştina servera nedestûr nas bike. Ji bo mîhengên din, hûn dikarin pelê veavakirina /etc/aide.conf biguherînin. Ji ber sedemên ewlehiyê, tê pêşniyar kirin ku databas û pelê vesazkirinê li ser medyaya tenê xwendinê hilînin. Agahiyên bêtir dikarin di belgeyê de bibînin AIDE Doc.

Di derbarê qursê de bêtir fêr bibin.

Source: www.habr.com

Add a comment