ProHoster > Blog > башкаруу > CentOS 8де AIDE (Өркүндөтүлгөн Интрузияларды аныктоо чөйрөсү) кантип орнотулуп жана колдонулса болот

CentOS 8де AIDE (Өркүндөтүлгөн Интрузияларды аныктоо чөйрөсү) кантип орнотулуп жана колдонулса болот

Курс башталганга чейин "Linux администратору" Биз кызыктуу материалдын котормосун даярдадык.

CentOS 8де AIDE (Өркүндөтүлгөн Интрузияларды аныктоо чөйрөсү) кантип орнотулуп жана колдонулса болот

AIDE "Advanced Intrusion Detection Environment" дегенди билдирет жана Linux негизиндеги операциялык системалардагы өзгөрүүлөргө мониторинг жүргүзүү үчүн эң популярдуу системалардын бири. AIDE зыяндуу программалардан, вирустардан коргоо жана уруксатсыз аракеттерди аныктоо үчүн колдонулат. Файлдын бүтүндүгүн текшерүү жана интрузияларды аныктоо үчүн AIDE файл маалымат базасын түзөт жана системанын учурдагы абалын ушул маалымат базасы менен салыштырат. AIDE өзгөртүлгөн файлдарга көңүл буруу менен окуяны иликтөө убактысын кыскартууга жардам берет.

AIDE өзгөчөлүктөрү:

  • Ар кандай файл атрибуттарын колдойт, анын ичинде: файл түрү, inode, uid, gid, уруксаттар, шилтемелердин саны, mtime, ctime жана atime.
  • Gzip кысуу, SELinux, XAttrs, Posix ACL жана файл тутумунун атрибуттарын колдоо.
  • Ар кандай алгоритмдерди колдойт, анын ичинде md5, sha1, sha256, sha512, rmd160, crc32, ж.б.
  • Электрондук почта аркылуу эскертмелерди жөнөтүү.

Бул макалада биз CentOS 8де интрузияны аныктоо үчүн AIDEди кантип орнотууну жана колдонууну карап чыгабыз.

Алдын ала шарттар

  • CentOS 8 менен иштеген сервер, кеминде 2 ГБ оперативдүү эс тутуму бар.
  • тамыр мүмкүнчүлүгү

баштоо

Алгач системаны жаңыртуу сунушталат. Бул үчүн, төмөнкү буйрукту аткарыңыз.

dnf update -y

Жаңыртылгандан кийин, өзгөртүүлөр күчүнө кириши үчүн системаңызды өчүрүп күйгүзүңүз.

AIDE орнотулууда

AIDE демейки CentOS 8 репозиторийинде жеткиликтүү. Аны төмөнкү буйрукту иштетүү менен оңой орното аласыз:

dnf install aide -y

Орнотуу аяктагандан кийин, сиз төмөнкү буйрукту колдонуп AIDE версиясын көрө аласыз:

aide --version

Сиз төмөнкүлөрдү көрүшүңүз керек:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Жеткиликтүү опциялар aide төмөнкүчө кароого болот:

aide --help

CentOS 8де AIDE (Өркүндөтүлгөн Интрузияларды аныктоо чөйрөсү) кантип орнотулуп жана колдонулса болот

Маалымат базасын түзүү жана инициализациялоо

AIDE орноткондон кийин биринчи кезекте аны инициализациялоо керек. Инициализация сервердеги бардык файлдардын жана каталогдордун маалымат базасын (снапшот) түзүүдөн турат.

Маалымат базасын инициализациялоо үчүн, төмөнкү буйрукту аткарыңыз:

aide --init

Сиз төмөнкүлөрдү көрүшүңүз керек:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Жогорудагы буйрук жаңы маалымат базасын түзөт aide.db.new.gz каталогдо /var/lib/aide. Аны төмөнкү буйрукту колдонуу менен көрүүгө болот:

ls -l /var/lib/aide

жыйынтыгы:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE бул жаңы маалымат базасы файлын анын атын өзгөртмөйүнчө колдонбойт aide.db.gz. Муну төмөнкүдөй кылса болот:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Өзгөртүүлөр туура көзөмөлдөнүшү үчүн, бул маалымат базасын мезгил-мезгили менен жаңыртып туруу сунушталат.

Параметрди өзгөртүү менен маалымат базасынын жайгашкан жерин өзгөртө аласыз DBDIR файлда /etc/aide.conf.

Скандоону жүргүзүү

AIDE азыр жаңы маалымат базасын колдонууга даяр. Эч кандай өзгөртүүлөрдү киргизбестен биринчи AIDE текшерүүсүн жүргүзүңүз:

aide --check

Бул буйрук файл тутумуңуздун өлчөмүнө жана сервериңиздеги RAM көлөмүнө жараша бир аз убакытты талап кылат. Скандоо аяктагандан кийин, сиз төмөнкүлөрдү көрүшүңүз керек:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Жогорудагы чыгаруу бардык файлдар жана каталогдор AIDE маалымат базасына дал келет деп айтылат.

AIDE сыноо

Демейки боюнча, AIDE демейки Apache тамыр каталогуна көз салбайт /var/www/html. Аны көрүү үчүн AIDE конфигурациялайлы. Бул үчүн, файлды өзгөртүү керек /etc/aide.conf.

nano /etc/aide.conf

Жогорудагы сапты кошуңуз "/root/CONTENT_EX" төмөнкүлөр:

/var/www/html/ CONTENT_EX

Андан кийин, файл түзүңүз aide.txt каталогдо /var/www/html/төмөнкү буйрукту колдонуу менен:

echo "Test AIDE" > /var/www/html/aide.txt

Эми AIDE текшерүүсүн иштетиңиз жана түзүлгөн файл табылганын текшериңиз.

aide --check

Сиз төмөнкүлөрдү көрүшүңүз керек:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Биз түзүлгөн файл табылганын көрөбүз aide.txt.
Табылган өзгөртүүлөрдү талдап чыккандан кийин, AIDE маалымат базасын жаңыртыңыз.

aide --update

Жаңыртуудан кийин сиз төмөнкүлөрдү көрөсүз:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Жогорудагы буйрук жаңы маалымат базасын түзөт aide.db.new.gz каталогдо 

/var/lib/aide/

Аны төмөнкү буйрук менен көрө аласыз:

ls -l /var/lib/aide/

жыйынтыгы:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Эми AIDE кийинки өзгөрүүлөргө көз салуу үчүн жаңы маалымат базасын колдонушу үчүн жаңы маалымат базасын кайра атын өзгөртүңүз. Сиз анын атын төмөнкүдөй өзгөртө аласыз:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE жаңы маалымат базасын колдонуп жатканын текшерүү үчүн текшерүүнү кайра иштетиңиз:

aide --check

Сиз төмөнкүлөрдү көрүшүңүз керек:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Биз текшерүүнү автоматташтырабыз

Күн сайын AIDE текшерүүсүн жүргүзүп, отчетту почта аркылуу жөнөтүү жакшы идея. Бул процесс cron аркылуу автоматташтырылышы мүмкүн.

nano /etc/crontab

AIDE текшерүүсүн күн сайын саат 10:15те жүргүзүү үчүн файлдын аягына төмөнкү сапты кошуңуз:

15 10 * * * root /usr/sbin/aide --check

AIDE азыр сизге почта аркылуу кабарлайт. Сиз почтаңызды төмөнкү буйрук менен текшере аласыз:

tail -f /var/mail/root

AIDE журналын төмөнкү буйрукту колдонуу менен көрүүгө болот:

tail -f /var/log/aide/aide.log

жыйынтыктоо

Бул макалада сиз файлдын өзгөрүшүн аныктоо жана серверге уруксатсыз кирүүнү аныктоо үчүн AIDE кантип колдонууну үйрөндүңүз. Кошумча орнотуулар үчүн, /etc/aide.conf конфигурация файлын түзөтө аласыз. Коопсуздук максатында, маалымат базасын жана конфигурация файлын окуу үчүн гана сактоо сунушталат. Көбүрөөк маалыматты документациядан тапса болот AIDE Doc.

Курс жөнүндө көбүрөөк билүү.

Source: www.habr.com

Комментарий кошуу