Wéi installéiert a benotzt AIDE (Advanced Intrusion Detection Environment) op CentOS 8

Virum Ufank vum Cours "Linux Administrator" Mir hunn eng Iwwersetzung vun interessant Material virbereet.

AIDE steet fir "Advanced Intrusion Detection Environment" an ass ee vun de populäerste Systemer fir d'Iwwerwaachung vun Ännerungen an Linux-baséierten Betribssystemer. AIDE gëtt benotzt fir géint Malware, Viren ze schützen an onerlaabt Aktivitéiten z'entdecken. Fir d'Integritéit vun der Datei z'iwwerpréiwen an Intrusiounen z'entdecken, erstellt AIDE eng Datebank vu Dateiinformatioun a vergläicht den aktuellen Zoustand vum System mat dëser Datebank. AIDE hëlleft Tëschefall Untersuchungszäit ze reduzéieren andeems Dir op Dateien fokusséiert déi geännert goufen.

AIDE Funktiounen:

• Ënnerstëtzt verschidde Dateiattributer, dorënner: Dateityp, Inode, Uid, Gid, Permissiounen, Zuel vu Linken, mtime, ctime an atime.
• Ënnerstëtzung fir Gzip Kompressioun, SELinux, XAttrs, Posix ACL a Dateisystem Attributer.
• Ënnerstëtzt verschidde Algorithmen dorënner md5, sha1, sha256, sha512, rmd160, crc32, etc.
• Schécken vun Notifikatiounen per E-Mail.

An dësem Artikel wäerte mir kucken wéi Dir AIDE fir Intrusiounserkennung op CentOS 8 installéiere a benotzt.

Viraussetzungen

• Server Lafen CentOS 8, mat op d'mannst 2 GB RAM.
• root Zougang

Getting started

Et ass recommandéiert de System als éischt ze aktualiséieren. Fir dëst ze maachen, fuert de folgende Kommando.

dnf update -y

No der Aktualiséierung, restart Äre System fir datt d'Ännerungen a Kraaft trieden.

AIDE installéieren

AIDE ass verfügbar am Standard CentOS 8 Repository.Dir kënnt et einfach installéieren andeems Dir de folgende Kommando ausféiert:

dnf install aide -y

Wann d'Installatioun fäerdeg ass, kënnt Dir d'AIDE Versioun mat dem folgenden Kommando kucken:

aide --version

Dir sollt déi folgend gesinn:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Verfügbar Optiounen aide kann wéi follegt gekuckt ginn:

aide --help

D'Datebank erstellen an initialiséieren

Dat éischt wat Dir maache musst nodeems Dir AIDE installéiert hutt ass et ze initialiséieren. Initialiséierung besteet aus der Schafung vun enger Datebank (Snapshot) vun all Dateien a Verzeichnisser um Server.

Fir d'Datebank initialiséieren, fuert de folgende Kommando:

aide --init

Dir sollt déi folgend gesinn:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Deen uewe genannte Kommando erstellt eng nei Datebank aide.db.new.gz am Katalog /var/lib/aide. Et kann gesi ginn andeems Dir de folgende Kommando benotzt:

ls -l /var/lib/aide

Resultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE wäert dës nei Datebankdatei net benotzen bis se ëmbenannt gëtt aide.db.gz. Dëst kann wéi follegt gemaach ginn:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Et ass recommandéiert dës Datebank periodesch ze aktualiséieren fir sécherzestellen datt Ännerungen richteg iwwerwaacht ginn.

Dir kënnt de Standuert vun der Datebank änneren andeems Dir de Parameter ännert DBDIR am Fichier /etc/aide.conf.

Lafen e Scan

AIDE ass elo prett fir déi nei Datebank ze benotzen. Fëllt den éischten AIDE Check ouni Ännerungen ze maachen:

aide --check

Dëse Kommando dauert e bëssen Zäit fir ze kompletéieren ofhängeg vun der Gréisst vun Ärem Dateiesystem an dem Betrag vum RAM op Ärem Server. Wann de Scan fäerdeg ass, sollt Dir déi folgend gesinn:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Déi uewe genannte Ausgab seet datt all Dateien an Verzeichnisser mat der AIDE Datebank passen.

Testen AIDE

Par défaut verfollegt AIDE net de Standard Apache Root Verzeechnes /var/www/html. Loosst eis AIDE konfiguréieren fir et ze gesinn. Fir dëst ze maachen, musst Dir d'Datei änneren /etc/aide.conf.

nano /etc/aide.conf

Füügt uewen Linn "/root/CONTENT_EX" déi folgend:

/var/www/html/ CONTENT_EX

Als nächst erstellt eng Datei aide.txt am Katalog /var/www/html/benotzt de folgende Kommando:

echo "Test AIDE" > /var/www/html/aide.txt

Fuert elo den AIDE Scheck a gitt sécher datt déi erstallt Datei entdeckt gëtt.

aide --check

Dir sollt déi folgend gesinn:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Mir gesinn datt déi erstallt Datei entdeckt gëtt aide.txt.
Nodeems Dir déi entdeckt Ännerungen analyséiert hutt, aktualiséieren d'AIDE Datebank.

aide --update

Nom Update gesitt Dir déi folgend:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Deen uewe genannte Kommando erstellt eng nei Datebank aide.db.new.gz am Katalog

/var/lib/aide/

Dir kënnt et mat dem folgenden Kommando gesinn:

ls -l /var/lib/aide/

Resultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Elo ëmbenennen déi nei Datebank erëm sou datt AIDE déi nei Datebank benotzt fir weider Ännerungen ze verfolgen. Dir kënnt et wéi follegt ëmbenennen:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Fëllt d'Scheck nach eng Kéier fir sécherzestellen datt AIDE déi nei Datebank benotzt:

aide --check

Dir sollt déi folgend gesinn:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Mir automatiséieren de Scheck

Et ass eng gutt Iddi all Dag en AIDE Scheck auszeféieren an de Bericht ze mailen. Dëse Prozess kann mat Cron automatiséiert ginn.

nano /etc/crontab

Fir den AIDE Scheck all Dag um 10:15 auszeféieren, füügt déi folgend Zeil un d'Enn vun der Datei:

15 10 * * * root /usr/sbin/aide --check

AIDE wäert Iech elo per Mail matdeelen. Dir kënnt Är E-Mail mat dem folgenden Kommando iwwerpréiwen:

tail -f /var/mail/root

Den AIDE Log kann mat dem folgenden Kommando gekuckt ginn:

tail -f /var/log/aide/aide.log

Konklusioun

An dësem Artikel hutt Dir geléiert wéi Dir AIDE benotzt fir Dateiännerungen z'entdecken an onerlaabten Serverzougang z'identifizéieren. Fir zousätzlech Astellunge kënnt Dir d'Konfiguratiounsdatei /etc/aide.conf änneren. Aus Sécherheetsgrënn ass et recommandéiert d'Datebank an d'Konfiguratiounsdatei op liesbare Medien ze späicheren. Méi Informatioun fannt Dir an der Dokumentatioun AIDE Doc.

Léiert méi iwwer de Cours.

Source: will.com