Prieš kurso pradžią
AIDE reiškia „Advanced Intrusion Detection Environment“ ir yra viena iš populiariausių sistemų, skirtų „Linux“ operacinių sistemų pokyčiams stebėti. AIDE naudojama apsaugoti nuo kenkėjiškų programų, virusų ir aptikti neteisėtą veiklą. Norėdami patikrinti failo vientisumą ir aptikti įsilaužimus, AIDE sukuria failų informacijos duomenų bazę ir lygina esamą sistemos būseną su šia duomenų baze. AIDE padeda sumažinti incidentų tyrimo laiką, sutelkdama dėmesį į pakeistus failus.
AIDE funkcijos:
- Palaiko įvairius failo atributus, įskaitant: failo tipą, inode, uid, gid, leidimus, nuorodų skaičių, mtime, ctime ir atime.
- Gzip glaudinimo, SELinux, XAttrs, Posix ACL ir failų sistemos atributų palaikymas.
- Palaiko įvairius algoritmus, įskaitant md5, sha1, sha256, sha512, rmd160, crc32 ir kt.
- Pranešimų siuntimas el.
Šiame straipsnyje apžvelgsime, kaip įdiegti ir naudoti AIDE įsibrovimų aptikimui CentOS 8.
Būtinos sąlygos
- Serveris, kuriame veikia CentOS 8, su mažiausiai 2 GB RAM.
- root prieiga
Pradžia
Pirmiausia rekomenduojama atnaujinti sistemą. Norėdami tai padaryti, paleiskite šią komandą.
dnf update -y
Atnaujinę iš naujo paleiskite sistemą, kad pakeitimai įsigaliotų.
AIDE diegimas
AIDE yra numatytojoje CentOS 8 saugykloje. Jį galite lengvai įdiegti vykdydami šią komandą:
dnf install aide -y
Baigę diegti, galite peržiūrėti AIDE versiją naudodami šią komandą:
aide --version
Turėtumėte pamatyti šiuos dalykus:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Galimi variantai aide
galima peržiūrėti taip:
aide --help
Duomenų bazės kūrimas ir inicijavimas
Pirmas dalykas, kurį reikia padaryti įdiegus AIDE, yra jį inicijuoti. Inicijavimas susideda iš visų serveryje esančių failų ir katalogų duomenų bazės (momentinės nuotraukos) sukūrimo.
Norėdami inicijuoti duomenų bazę, paleiskite šią komandą:
aide --init
Turėtumėte pamatyti šiuos dalykus:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Aukščiau pateikta komanda sukurs naują duomenų bazę aide.db.new.gz
kataloge /var/lib/aide
. Tai galima pamatyti naudojant šią komandą:
ls -l /var/lib/aide
Rezultatas:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE nenaudos šio naujo duomenų bazės failo, kol jis nebus pervardytas į aide.db.gz
. Tai galima padaryti taip:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Rekomenduojama periodiškai atnaujinti šią duomenų bazę, kad įsitikintumėte, jog pakeitimai yra tinkamai stebimi.
Keisdami parametrą galite pakeisti duomenų bazės vietą DBDIR
faile /etc/aide.conf
.
Vykdo čekį
AIDE dabar yra pasirengusi naudoti naują duomenų bazę. Paleiskite pirmąjį AIDE patikrinimą neatlikdami jokių pakeitimų:
aide --check
Šios komandos vykdymas užtruks šiek tiek laiko, atsižvelgiant į failų sistemos dydį ir RAM kiekį serveryje. Kai nuskaitymas bus baigtas, turėtumėte pamatyti šiuos dalykus:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Aukščiau pateikta produkcija sako, kad visi failai ir katalogai atitinka AIDE duomenų bazę.
AIDE testavimas
Pagal numatytuosius nustatymus AIDE neseka numatytojo Apache šakninio katalogo /var/www/html.
Sukonfigūruokime AIDE, kad ją peržiūrėtumėte. Norėdami tai padaryti, turite pakeisti failą /etc/aide.conf
.
nano /etc/aide.conf
Pridėkite aukščiau esančią eilutę "/root/CONTENT_EX"
taip:
/var/www/html/ CONTENT_EX
Tada sukurkite failą aide.txt
kataloge /var/www/html/
naudojant šią komandą:
echo "Test AIDE" > /var/www/html/aide.txt
Dabar paleiskite AIDE patikrinimą ir įsitikinkite, kad sukurtas failas aptiktas.
aide --check
Turėtumėte pamatyti šiuos dalykus:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Matome, kad sukurtas failas aptiktas aide.txt
.
Išanalizavę aptiktus pakeitimus atnaujinkite AIDE duomenų bazę.
aide --update
Po atnaujinimo pamatysite šiuos dalykus:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Aukščiau pateikta komanda sukurs naują duomenų bazę aide.db.new.gz
kataloge
/var/lib/aide/
Tai galite pamatyti naudodami šią komandą:
ls -l /var/lib/aide/
Rezultatas:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Dabar dar kartą pervardykite naują duomenų bazę, kad AIDE naudotų naują duomenų bazę tolesniems pakeitimams stebėti. Galite pervardyti taip:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Dar kartą paleiskite patikrinimą, kad įsitikintumėte, jog AIDE naudoja naują duomenų bazę:
aide --check
Turėtumėte pamatyti šiuos dalykus:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Patikrinimą automatizuojame
Vertėtų kiekvieną dieną atlikti AIDE patikrinimą ir išsiųsti ataskaitą paštu. Šis procesas gali būti automatizuotas naudojant cron.
nano /etc/crontab
Norėdami atlikti AIDE patikrą kiekvieną dieną 10:15, failo pabaigoje pridėkite šią eilutę:
15 10 * * * root /usr/sbin/aide --check
AIDE dabar jums praneš paštu. Paštą galite patikrinti naudodami šią komandą:
tail -f /var/mail/root
AIDE žurnalą galima peržiūrėti naudojant šią komandą:
tail -f /var/log/aide/aide.log
išvada
Šiame straipsnyje sužinojote, kaip naudoti AIDE failų pakeitimams aptikti ir neteisėtai prieigai prie serverio nustatyti. Norėdami gauti papildomų nustatymų, galite redaguoti /etc/aide.conf konfigūracijos failą. Saugumo sumetimais duomenų bazę ir konfigūracijos failą rekomenduojama saugoti tik skaitomoje laikmenoje. Daugiau informacijos rasite dokumentacijoje
Šaltinis: www.habr.com