🥇Kā instalēt un lietot AIDE (Advanced Intrusion Detection Environment) sistēmā CentOS 8

Pirms kursa sākuma "Linux administrators" Esam sagatavojuši interesanta materiāla tulkojumu.

AIDE nozīmē “Advanced Intrusion Detection Environment” un ir viena no populārākajām sistēmām, lai uzraudzītu izmaiņas operētājsistēmās, kuru pamatā ir Linux. AIDE tiek izmantota, lai aizsargātu pret ļaunprātīgu programmatūru, vīrusiem un atklātu neatļautas darbības. Lai pārbaudītu faila integritāti un atklātu ielaušanos, AIDE izveido faila informācijas datu bāzi un salīdzina pašreizējo sistēmas stāvokli ar šo datu bāzi. AIDE palīdz samazināt incidentu izmeklēšanas laiku, koncentrējoties uz failiem, kas ir modificēti.

AIDE funkcijas:

Atbalsta dažādus failu atribūtus, tostarp: faila tipu, inode, uid, gid, atļaujas, saišu skaitu, mtime, ctime un atime.
Atbalsts Gzip saspiešanai, SELinux, XAttrs, Posix ACL un failu sistēmas atribūtiem.
Atbalsta dažādus algoritmus, tostarp md5, sha1, sha256, sha512, rmd160, crc32 utt.
Paziņojumu sūtīšana pa e-pastu.

Šajā rakstā mēs apskatīsim, kā instalēt un izmantot AIDE ielaušanās noteikšanai operētājsistēmā CentOS 8.

Priekšnosacījumi

Serveris, kurā darbojas CentOS 8, ar vismaz 2 GB RAM.
root piekļuve

Darba sākšana

Vispirms ir ieteicams atjaunināt sistēmu. Lai to izdarītu, palaidiet šādu komandu.

dnf update -y

Pēc atjaunināšanas restartējiet sistēmu, lai izmaiņas stātos spēkā.

AIDE instalēšana

AIDE ir pieejama noklusējuma CentOS 8 repozitorijā. Varat to viegli instalēt, izpildot šādu komandu:

dnf install aide -y

Kad instalēšana ir pabeigta, varat skatīt AIDE versiju, izmantojot šo komandu:

aide --version

Jums vajadzētu redzēt tālāk norādīto.

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Pieejamās opcijas aide var apskatīt šādi:

aide --help

Datu bāzes izveide un inicializācija

Pirmā lieta, kas jums jādara pēc AIDE instalēšanas, ir tā inicializācija. Inicializācija sastāv no visu serverī esošo failu un direktoriju datu bāzes (momentuzņēmuma) izveides.

Lai inicializētu datu bāzi, palaidiet šādu komandu:

aide --init

Jums vajadzētu redzēt tālāk norādīto.

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Iepriekš minētā komanda izveidos jaunu datu bāzi aide.db.new.gz katalogā /var/lib/aide. To var redzēt, izmantojot šādu komandu:

ls -l /var/lib/aide

Rezultāts:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE neizmantos šo jauno datu bāzes failu, kamēr tas netiks pārdēvēts par aide.db.gz. To var izdarīt šādi:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Šo datubāzi ieteicams periodiski atjaunināt, lai nodrošinātu pareizu izmaiņu uzraudzību.

Varat mainīt datu bāzes atrašanās vietu, mainot parametru DBDIR failā /etc/aide.conf.

Veicot čeku

AIDE tagad ir gatava izmantot jauno datu bāzi. Palaidiet pirmo AIDE pārbaudi, neveicot nekādas izmaiņas:

aide --check

Šīs komandas izpilde aizņems kādu laiku atkarībā no failu sistēmas lieluma un RAM apjoma serverī. Kad skenēšana ir pabeigta, jums vajadzētu redzēt šādu informāciju:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Iepriekš minētajā izvadē teikts, ka visi faili un direktoriji atbilst AIDE datu bāzei.

AIDE pārbaude

Pēc noklusējuma AIDE neizseko noklusējuma Apache saknes direktoriju /var/www/html. Konfigurēsim AIDE, lai to skatītu. Lai to izdarītu, ir jāmaina fails /etc/aide.conf.

nano /etc/aide.conf

Pievienojiet augšējo rindiņu "/root/CONTENT_EX" šādi:

/var/www/html/ CONTENT_EX

Pēc tam izveidojiet failu aide.txt katalogā /var/www/html/izmantojot šādu komandu:

echo "Test AIDE" > /var/www/html/aide.txt

Tagad palaidiet AIDE pārbaudi un pārliecinieties, vai izveidotais fails ir atklāts.

aide --check

Jums vajadzētu redzēt tālāk norādīto.

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Mēs redzam, ka izveidotais fails ir atklāts aide.txt.
Pēc konstatēto izmaiņu analīzes atjauniniet AIDE datu bāzi.

aide --update

Pēc atjaunināšanas jūs redzēsit tālāk norādīto.

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Iepriekš minētā komanda izveidos jaunu datu bāzi aide.db.new.gz katalogā

/var/lib/aide/

To var redzēt ar šādu komandu:

ls -l /var/lib/aide/

Rezultāts:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Tagad vēlreiz pārdēvējiet jauno datu bāzi, lai AIDE izmantotu jauno datu bāzi, lai izsekotu turpmākajām izmaiņām. Varat to pārdēvēt šādi:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Vēlreiz palaidiet pārbaudi, lai pārliecinātos, ka AIDE izmanto jauno datu bāzi:

aide --check

Jums vajadzētu redzēt tālāk norādīto.

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Mēs automatizējam pārbaudi

Ieteicams katru dienu veikt AIDE pārbaudi un nosūtīt ziņojumu pa pastu. Šo procesu var automatizēt, izmantojot cron.

nano /etc/crontab

Lai veiktu AIDE pārbaudi katru dienu pulksten 10:15, faila beigās pievienojiet šādu rindiņu:

15 10 * * * root /usr/sbin/aide --check

AIDE tagad jums paziņos pa pastu. Jūs varat pārbaudīt savu pastu, izmantojot šādu komandu:

tail -f /var/mail/root

AIDE žurnālu var apskatīt, izmantojot šādu komandu:

tail -f /var/log/aide/aide.log

Secinājums

Šajā rakstā jūs uzzinājāt, kā izmantot AIDE, lai noteiktu failu izmaiņas un identificētu nesankcionētu piekļuvi serverim. Lai iegūtu papildu iestatījumus, varat rediģēt /etc/aide.conf konfigurācijas failu. Drošības apsvērumu dēļ datubāzi un konfigurācijas failu ieteicams glabāt tikai lasāmā datu nesējā. Vairāk informācijas var atrast dokumentācijā AIDE Doc.

Uzziniet vairāk par kursu.

Avots: www.habr.com

Kā instalēt un izmantot AIDE (uzlaboto ielaušanās noteikšanas vidi) sistēmā CentOS 8

Priekšnosacījumi

Darba sākšana

AIDE instalēšana

Datu bāzes izveide un inicializācija

Veicot čeku

AIDE pārbaude

Mēs automatizējam pārbaudi

Secinājums

Pievieno komentāru Atcelt atbildi