Alohan'ny hanombohan'ny fampianarana Nanomana fandikan-teny momba ny zavatra mahaliana izahay.
AIDE dia mijoro ho an'ny "Advanced Intrusion Detection Environment" ary iray amin'ireo rafitra malaza indrindra amin'ny fanaraha-maso ny fanovana amin'ny rafitra fiasa mifototra amin'ny Linux. AIDE dia ampiasaina hiarovana amin'ny malware, viriosy ary hamantarana hetsika tsy nahazoana alalana. Mba hanamarinana ny fahamarinan'ny rakitra sy hamantarana ny fidiran'ny fidirana, AIDE dia mamorona angon-drakitra momba ny mombamomba ny rakitra ary mampitaha ny toetry ny rafitra amin'izao fotoana izao miaraka amin'ity tahiry ity. Ny AIDE dia manampy amin'ny fampihenana ny fotoana fanadihadiana tranga amin'ny alΓ lan'ny fifantohana amin'ireo rakitra novana.
endri-javatra AIDE:
- Manohana ny toetran-drakitra isan-karazany, ao anatin'izany: karazana rakitra, inode, uid, gid, fahazoan-dΓ lana, isan'ny rohy, mtime, ctime ary fotoana.
- Fanohanana ny Gzip compression, SELinux, XAttrs, Posix ACL ary ny toetran'ny rafi-drakitra.
- Manohana algorithm isan-karazany ao anatin'izany ny md5, sha1, sha256, sha512, rmd160, crc32, sns.
- Fandefasana fampahafantarana amin'ny mailaka.
Ato amin'ity lahatsoratra ity, hojerentsika ny fomba fametrahana sy fampiasana AIDE ho an'ny fitsirihana ny fidirana amin'ny CentOS 8.
zavatra takiana alohan'ny
- Server mandeha CentOS 8, miaraka amin'ny RAM farafahakeliny 2 GB.
- fidirana faka
Manomboka
Tsara ny manavao ny rafitra aloha. Mba hanaovana izany, araho ity baiko manaraka ity.
dnf update -yAorian'ny fanavaozana dia avereno indray ny rafitrao mba hampiharana ny fanovana.
Fametrahana AIDE
Ny AIDE dia hita ao amin'ny tahiry CentOS 8. Azonao atao ny mametraka azy mora foana amin'ny alΓ lan'ny baiko manaraka:
dnf install aide -yRehefa vita ny fametrahana dia azonao jerena ny dikan-teny AIDE amin'ny fampiasana ity baiko manaraka ity:
aide --versionTokony ho hitanao ireto manaraka ireto:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Safidy azo aide azo jerena toy izao:
aide --help
Famoronana sy fanombohana ny angon-drakitra
Ny zavatra voalohany tokony hataonao aorian'ny fametrahana AIDE dia ny fanombohana azy. Ny fanombohana dia ny famoronana angon-drakitra (snapshot) amin'ny rakitra sy lahatahiry rehetra ao amin'ny server.
Mba hanombohana ny angon-drakitra dia araho ity baiko manaraka ity:
aide --initTokony ho hitanao ireto manaraka ireto:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Ny baiko etsy ambony dia hamorona tahiry vaovao aide.db.new.gz ao amin'ny katalaogy /var/lib/aide. Azo jerena amin'ny fampiasana ity baiko manaraka ity:
ls -l /var/lib/aidevokany:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
Ny AIDE dia tsy hampiasa an'io rakitra angona vaovao io raha tsy efa nomena anarana aide.db.gz. Izany dia azo atao toy izao manaraka izao:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzAmporisihina ny hanavao tsindraindray ity angon-drakitra ity mba hahazoana antoka fa voara-maso tsara ny fanovana.
Azonao atao ny manova ny toerana misy ny tahiry amin'ny alΓ lan'ny fanovana ny parameter DBDIR anaty rakitra /etc/aide.conf.
Manao scan
Efa vonona ny AIDE hampiasa ny angon-drakitra vaovao. Alefaso ny fanamarinana AIDE voalohany nefa tsy misy fanovana:
aide --checkIty baiko ity dia haka fotoana hamitana izany arakaraka ny haben'ny rafi-drakitrao sy ny habetsaky ny RAM ao amin'ny servero. Rehefa vita ny scan dia tokony ho hitanao ireto manaraka ireto:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Ny vokatra etsy ambony dia milaza fa ny rakitra sy lahatahiry rehetra dia mifanaraka amin'ny angon-drakitra AIDE.
Fitsapana AIDE
Amin'ny alΓ lan'ny default, ny AIDE dia tsy manara-maso ny lahatahiry root Apache default /var/www/html. Andao amboary ny AIDE mba hijerena azy. Mba hanaovana izany dia mila manova ny rakitra /etc/aide.conf.
nano /etc/aide.conf
Ampio ny tsipika etsy ambony "/root/CONTENT_EX" ireto manaraka ireto:
/var/www/html/ CONTENT_EX
Manaraka, mamorona rakitra aide.txt ao amin'ny katalaogy /var/www/html/mampiasa ity baiko manaraka ity:
echo "Test AIDE" > /var/www/html/aide.txtAtaovy izao ny fanamarinana AIDE ary ataovy azo antoka fa hita ilay rakitra noforonina.
aide --checkTokony ho hitanao ireto manaraka ireto:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Hitantsika fa hita ilay rakitra noforonina aide.txt.
Aorian'ny famakafakana ireo fiovana hita dia manavao ny angon-drakitra AIDE.
aide --updateAorian'ny fanavaozana dia ho hitanao ireto manaraka ireto:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Ny baiko etsy ambony dia hamorona tahiry vaovao aide.db.new.gz ao amin'ny katalaogy
/var/lib/aide/Azonao atao ny mahita izany amin'ny baiko manaraka:
ls -l /var/lib/aide/vokany:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzAvereno anarana indray ny angon-drakitra vaovao mba hampiasain'ny AIDE ny angon-drakitra vaovao hanaraha-maso ireo fanovana fanampiny. Azonao atao ny manova ny anarana hoe:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzAvereno indray ny fanamarinana mba hahazoana antoka fa mampiasa ny angon-drakitra vaovao ny AIDE:
aide --checkTokony ho hitanao ireto manaraka ireto:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Manao automatique ny fisavana izahay
Tsara ny manao fisavana AIDE isan'andro ary mandefa ny tatitra. Ity dingana ity dia azo automatique amin'ny fampiasana cron.
nano /etc/crontabMba hampandehanana ny fanamarinana AIDE isan'andro amin'ny 10:15, ampio amin'ny faran'ny rakitra ity andalana manaraka ity:
15 10 * * * root /usr/sbin/aide --checkHampandre anao amin'ny alΓ lan'ny mailaka izao ny AIDE. Azonao atao ny manamarina ny mailakao amin'ny baiko manaraka:
tail -f /var/mail/rootNy log AIDE dia azo jerena amin'ny fampiasana ity baiko manaraka ity:
tail -f /var/log/aide/aide.logfamaranana
Ao amin'ity lahatsoratra ity, nianatra ny fomba fampiasana AIDE ianao hamantarana ny fiovan'ny rakitra sy hamantarana ny fidirana amin'ny mpizara tsy nahazoana alalana. Ho an'ny fanovana fanampiny dia azonao atao ny manova ny rakitra /etc/aide.conf. Noho ny antony fiarovana, dia asaina mitahiry ny angon-drakitra sy ny fisie fichier amin'ny haino aman-jery vakiana fotsiny. Misy fampahalalana bebe kokoa hita ao amin'ny antontan-taratasy .
Source: www.habr.com