Курс башталганга чейин
AIDE "Advanced Intrusion Detection Environment" дегенди билдирет жана Linux негизиндеги операциялык системалардагы өзгөрүүлөргө мониторинг жүргүзүү үчүн эң популярдуу системалардын бири. AIDE зыяндуу программалардан, вирустардан коргоо жана уруксатсыз аракеттерди аныктоо үчүн колдонулат. Файлдын бүтүндүгүн текшерүү жана интрузияларды аныктоо үчүн AIDE файл маалымат базасын түзөт жана системанын учурдагы абалын ушул маалымат базасы менен салыштырат. AIDE өзгөртүлгөн файлдарга көңүл буруу менен окуяны иликтөө убактысын кыскартууга жардам берет.
AIDE өзгөчөлүктөрү:
- Ар кандай файл атрибуттарын колдойт, анын ичинде: файл түрү, inode, uid, gid, уруксаттар, шилтемелердин саны, mtime, ctime жана atime.
- Gzip кысуу, SELinux, XAttrs, Posix ACL жана файл тутумунун атрибуттарын колдоо.
- Ар кандай алгоритмдерди колдойт, анын ичинде md5, sha1, sha256, sha512, rmd160, crc32, ж.б.
- Электрондук почта аркылуу эскертмелерди жөнөтүү.
Бул макалада биз CentOS 8де интрузияны аныктоо үчүн AIDEди кантип орнотууну жана колдонууну карап чыгабыз.
Алдын ала шарттар
- CentOS 8 менен иштеген сервер, кеминде 2 ГБ оперативдүү эс тутуму бар.
- тамыр мүмкүнчүлүгү
баштоо
Алгач системаны жаңыртуу сунушталат. Бул үчүн, төмөнкү буйрукту аткарыңыз.
dnf update -y
Жаңыртылгандан кийин, өзгөртүүлөр күчүнө кириши үчүн системаңызды өчүрүп күйгүзүңүз.
AIDE орнотулууда
AIDE демейки CentOS 8 репозиторийинде жеткиликтүү. Аны төмөнкү буйрукту иштетүү менен оңой орното аласыз:
dnf install aide -y
Орнотуу аяктагандан кийин, сиз төмөнкү буйрукту колдонуп AIDE версиясын көрө аласыз:
aide --version
Сиз төмөнкүлөрдү көрүшүңүз керек:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Жеткиликтүү опциялар aide
төмөнкүчө кароого болот:
aide --help
Маалымат базасын түзүү жана инициализациялоо
AIDE орноткондон кийин биринчи кезекте аны инициализациялоо керек. Инициализация сервердеги бардык файлдардын жана каталогдордун маалымат базасын (снапшот) түзүүдөн турат.
Маалымат базасын инициализациялоо үчүн, төмөнкү буйрукту аткарыңыз:
aide --init
Сиз төмөнкүлөрдү көрүшүңүз керек:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Жогорудагы буйрук жаңы маалымат базасын түзөт aide.db.new.gz
каталогдо /var/lib/aide
. Аны төмөнкү буйрукту колдонуу менен көрүүгө болот:
ls -l /var/lib/aide
жыйынтыгы:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE бул жаңы маалымат базасы файлын анын атын өзгөртмөйүнчө колдонбойт aide.db.gz
. Муну төмөнкүдөй кылса болот:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Өзгөртүүлөр туура көзөмөлдөнүшү үчүн, бул маалымат базасын мезгил-мезгили менен жаңыртып туруу сунушталат.
Параметрди өзгөртүү менен маалымат базасынын жайгашкан жерин өзгөртө аласыз DBDIR
файлда /etc/aide.conf
.
Скандоону жүргүзүү
AIDE азыр жаңы маалымат базасын колдонууга даяр. Эч кандай өзгөртүүлөрдү киргизбестен биринчи AIDE текшерүүсүн жүргүзүңүз:
aide --check
Бул буйрук файл тутумуңуздун өлчөмүнө жана сервериңиздеги RAM көлөмүнө жараша бир аз убакытты талап кылат. Скандоо аяктагандан кийин, сиз төмөнкүлөрдү көрүшүңүз керек:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Жогорудагы чыгаруу бардык файлдар жана каталогдор AIDE маалымат базасына дал келет деп айтылат.
AIDE сыноо
Демейки боюнча, AIDE демейки Apache тамыр каталогуна көз салбайт /var/www/html.
Аны көрүү үчүн AIDE конфигурациялайлы. Бул үчүн, файлды өзгөртүү керек /etc/aide.conf
.
nano /etc/aide.conf
Жогорудагы сапты кошуңуз "/root/CONTENT_EX"
төмөнкүлөр:
/var/www/html/ CONTENT_EX
Андан кийин, файл түзүңүз aide.txt
каталогдо /var/www/html/
төмөнкү буйрукту колдонуу менен:
echo "Test AIDE" > /var/www/html/aide.txt
Эми AIDE текшерүүсүн иштетиңиз жана түзүлгөн файл табылганын текшериңиз.
aide --check
Сиз төмөнкүлөрдү көрүшүңүз керек:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Биз түзүлгөн файл табылганын көрөбүз aide.txt
.
Табылган өзгөртүүлөрдү талдап чыккандан кийин, AIDE маалымат базасын жаңыртыңыз.
aide --update
Жаңыртуудан кийин сиз төмөнкүлөрдү көрөсүз:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Жогорудагы буйрук жаңы маалымат базасын түзөт aide.db.new.gz
каталогдо
/var/lib/aide/
Аны төмөнкү буйрук менен көрө аласыз:
ls -l /var/lib/aide/
жыйынтыгы:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Эми AIDE кийинки өзгөрүүлөргө көз салуу үчүн жаңы маалымат базасын колдонушу үчүн жаңы маалымат базасын кайра атын өзгөртүңүз. Сиз анын атын төмөнкүдөй өзгөртө аласыз:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE жаңы маалымат базасын колдонуп жатканын текшерүү үчүн текшерүүнү кайра иштетиңиз:
aide --check
Сиз төмөнкүлөрдү көрүшүңүз керек:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Биз текшерүүнү автоматташтырабыз
Күн сайын AIDE текшерүүсүн жүргүзүп, отчетту почта аркылуу жөнөтүү жакшы идея. Бул процесс cron аркылуу автоматташтырылышы мүмкүн.
nano /etc/crontab
AIDE текшерүүсүн күн сайын саат 10:15те жүргүзүү үчүн файлдын аягына төмөнкү сапты кошуңуз:
15 10 * * * root /usr/sbin/aide --check
AIDE азыр сизге почта аркылуу кабарлайт. Сиз почтаңызды төмөнкү буйрук менен текшере аласыз:
tail -f /var/mail/root
AIDE журналын төмөнкү буйрукту колдонуу менен көрүүгө болот:
tail -f /var/log/aide/aide.log
жыйынтыктоо
Бул макалада сиз файлдын өзгөрүшүн аныктоо жана серверге уруксатсыз кирүүнү аныктоо үчүн AIDE кантип колдонууну үйрөндүңүз. Кошумча орнотуулар үчүн, /etc/aide.conf конфигурация файлын түзөтө аласыз. Коопсуздук максатында, маалымат базасын жана конфигурация файлын окуу үчүн гана сактоо сунушталат. Көбүрөөк маалыматты документациядан тапса болот
Source: www.habr.com