ProHoster > Dienoraštis > Administravimas > Kaip įdiegti ir naudoti AIDE (Advanced Intrusion Detection Environment) CentOS 8

Kaip įdiegti ir naudoti AIDE (Advanced Intrusion Detection Environment) CentOS 8

Prieš kurso pradžią "Linux administratorius" Parengėme įdomios medžiagos vertimą.

Kaip įdiegti ir naudoti AIDE (Advanced Intrusion Detection Environment) CentOS 8

AIDE reiškia „Advanced Intrusion Detection Environment“ ir yra viena iš populiariausių sistemų, skirtų „Linux“ operacinių sistemų pokyčiams stebėti. AIDE naudojama apsaugoti nuo kenkėjiškų programų, virusų ir aptikti neteisėtą veiklą. Norėdami patikrinti failo vientisumą ir aptikti įsilaužimus, AIDE sukuria failų informacijos duomenų bazę ir lygina esamą sistemos būseną su šia duomenų baze. AIDE padeda sumažinti incidentų tyrimo laiką, sutelkdama dėmesį į pakeistus failus.

AIDE funkcijos:

  • Palaiko įvairius failo atributus, įskaitant: failo tipą, inode, uid, gid, leidimus, nuorodų skaičių, mtime, ctime ir atime.
  • Gzip glaudinimo, SELinux, XAttrs, Posix ACL ir failų sistemos atributų palaikymas.
  • Palaiko įvairius algoritmus, įskaitant md5, sha1, sha256, sha512, rmd160, crc32 ir kt.
  • Pranešimų siuntimas el.

Šiame straipsnyje apžvelgsime, kaip įdiegti ir naudoti AIDE įsibrovimų aptikimui CentOS 8.

Būtinos sąlygos

  • Serveris, kuriame veikia CentOS 8, su mažiausiai 2 GB RAM.
  • root prieiga

Pradžia

Pirmiausia rekomenduojama atnaujinti sistemą. Norėdami tai padaryti, paleiskite šią komandą.

dnf update -y

Atnaujinę iš naujo paleiskite sistemą, kad pakeitimai įsigaliotų.

AIDE diegimas

AIDE yra numatytojoje CentOS 8 saugykloje. Jį galite lengvai įdiegti vykdydami šią komandą:

dnf install aide -y

Baigę diegti, galite peržiūrėti AIDE versiją naudodami šią komandą:

aide --version

Turėtumėte pamatyti šiuos dalykus:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Galimi variantai aide galima peržiūrėti taip:

aide --help

Kaip įdiegti ir naudoti AIDE (Advanced Intrusion Detection Environment) CentOS 8

Duomenų bazės kūrimas ir inicijavimas

Pirmas dalykas, kurį reikia padaryti įdiegus AIDE, yra jį inicijuoti. Inicijavimas susideda iš visų serveryje esančių failų ir katalogų duomenų bazės (momentinės nuotraukos) sukūrimo.

Norėdami inicijuoti duomenų bazę, paleiskite šią komandą:

aide --init

Turėtumėte pamatyti šiuos dalykus:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Aukščiau pateikta komanda sukurs naują duomenų bazę aide.db.new.gz kataloge /var/lib/aide. Tai galima pamatyti naudojant šią komandą:

ls -l /var/lib/aide

Rezultatas:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE nenaudos šio naujo duomenų bazės failo, kol jis nebus pervardytas į aide.db.gz. Tai galima padaryti taip:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Rekomenduojama periodiškai atnaujinti šią duomenų bazę, kad įsitikintumėte, jog pakeitimai yra tinkamai stebimi.

Keisdami parametrą galite pakeisti duomenų bazės vietą DBDIR faile /etc/aide.conf.

Vykdo čekį

AIDE dabar yra pasirengusi naudoti naują duomenų bazę. Paleiskite pirmąjį AIDE patikrinimą neatlikdami jokių pakeitimų:

aide --check

Šios komandos vykdymas užtruks šiek tiek laiko, atsižvelgiant į failų sistemos dydį ir RAM kiekį serveryje. Kai nuskaitymas bus baigtas, turėtumėte pamatyti šiuos dalykus:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Aukščiau pateikta produkcija sako, kad visi failai ir katalogai atitinka AIDE duomenų bazę.

AIDE testavimas

Pagal numatytuosius nustatymus AIDE neseka numatytojo Apache šakninio katalogo /var/www/html. Sukonfigūruokime AIDE, kad ją peržiūrėtumėte. Norėdami tai padaryti, turite pakeisti failą /etc/aide.conf.

nano /etc/aide.conf

Pridėkite aukščiau esančią eilutę "/root/CONTENT_EX" taip:

/var/www/html/ CONTENT_EX

Tada sukurkite failą aide.txt kataloge /var/www/html/naudojant šią komandą:

echo "Test AIDE" > /var/www/html/aide.txt

Dabar paleiskite AIDE patikrinimą ir įsitikinkite, kad sukurtas failas aptiktas.

aide --check

Turėtumėte pamatyti šiuos dalykus:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Matome, kad sukurtas failas aptiktas aide.txt.
Išanalizavę aptiktus pakeitimus atnaujinkite AIDE duomenų bazę.

aide --update

Po atnaujinimo pamatysite šiuos dalykus:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Aukščiau pateikta komanda sukurs naują duomenų bazę aide.db.new.gz kataloge 

/var/lib/aide/

Tai galite pamatyti naudodami šią komandą:

ls -l /var/lib/aide/

Rezultatas:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Dabar dar kartą pervardykite naują duomenų bazę, kad AIDE naudotų naują duomenų bazę tolesniems pakeitimams stebėti. Galite pervardyti taip:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Dar kartą paleiskite patikrinimą, kad įsitikintumėte, jog AIDE naudoja naują duomenų bazę:

aide --check

Turėtumėte pamatyti šiuos dalykus:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Patikrinimą automatizuojame

Vertėtų kiekvieną dieną atlikti AIDE patikrinimą ir išsiųsti ataskaitą paštu. Šis procesas gali būti automatizuotas naudojant cron.

nano /etc/crontab

Norėdami atlikti AIDE patikrą kiekvieną dieną 10:15, failo pabaigoje pridėkite šią eilutę:

15 10 * * * root /usr/sbin/aide --check

AIDE dabar jums praneš paštu. Paštą galite patikrinti naudodami šią komandą:

tail -f /var/mail/root

AIDE žurnalą galima peržiūrėti naudojant šią komandą:

tail -f /var/log/aide/aide.log

išvada

Šiame straipsnyje sužinojote, kaip naudoti AIDE failų pakeitimams aptikti ir neteisėtai prieigai prie serverio nustatyti. Norėdami gauti papildomų nustatymų, galite redaguoti /etc/aide.conf konfigūracijos failą. Saugumo sumetimais duomenų bazę ir konfigūracijos failą rekomenduojama saugoti tik skaitomoje laikmenoje. Daugiau informacijos rasite dokumentacijoje AIDE Doc.

Sužinokite daugiau apie kursą.

Šaltinis: www.habr.com

Добавить комментарий