ProHoster > Блог > Захиргаа > CentOS 8 дээр AIDE (Advanced Intrusion Detection Environment) програмыг хэрхэн суулгах, ашиглах вэ

CentOS 8 дээр AIDE (Advanced Intrusion Detection Environment) програмыг хэрхэн суулгах, ашиглах вэ

Хичээл эхлэхээс өмнө "Linux администратор" Бид сонирхолтой материалын орчуулгыг бэлдлээ.

CentOS 8 дээр AIDE (Advanced Intrusion Detection Environment) програмыг хэрхэн суулгах, ашиглах вэ

AIDE нь "Advanced Intrusion Detection Environment" гэсэн үгийн товчлол бөгөөд Линукс дээр суурилсан үйлдлийн системүүдийн өөрчлөлтийг хянах хамгийн түгээмэл системүүдийн нэг юм. AIDE нь хортой програм, вирусээс хамгаалах, зөвшөөрөлгүй үйлдлүүдийг илрүүлэхэд ашиглагддаг. Файлын бүрэн бүтэн байдлыг шалгах, халдлагыг илрүүлэхийн тулд AIDE нь файлын мэдээллийн санг үүсгэж, системийн одоогийн төлөвийг энэ мэдээллийн сантай харьцуулдаг. AIDE нь өөрчилсөн файлууд дээр анхаарлаа төвлөрүүлснээр ослын мөрдөн байцаалтын хугацааг багасгахад тусалдаг.

AIDE-ийн онцлогууд:

  • Файлын төрөл, inode, uid, gid, зөвшөөрөл, холбоосын тоо, mtime, ctime болон atime зэрэг янз бүрийн файлын шинж чанаруудыг дэмждэг.
  • Gzip шахалт, SELinux, XAttrs, Posix ACL болон файлын системийн шинж чанаруудыг дэмждэг.
  • Md5, sha1, sha256, sha512, rmd160, crc32 гэх мэт янз бүрийн алгоритмуудыг дэмждэг.
  • Мэдэгдлийг имэйлээр илгээх.

Энэ нийтлэлд бид CentOS 8 дээр халдлага илрүүлэх зорилгоор AIDE-г хэрхэн суулгаж, ашиглах талаар авч үзэх болно.

Урьдчилсан нөхцөл

  • Хамгийн багадаа 8 ГБ RAM-тай, CentOS 2 үйлдлийн системтэй сервер.
  • root хандалт

Эхлэх

Эхлээд системийг шинэчлэхийг зөвлөж байна. Үүнийг хийхийн тулд дараах тушаалыг ажиллуулна уу.

dnf update -y

Шинэчлэгдсэний дараа өөрчлөлтүүд хүчин төгөлдөр болохын тулд системээ дахин эхлүүлнэ үү.

AIDE суулгаж байна

AIDE нь өгөгдмөл CentOS 8 хадгалах санд байдаг. Та дараах тушаалыг ажиллуулснаар үүнийг хялбархан суулгаж болно.

dnf install aide -y

Суулгаж дууссаны дараа та дараах тушаалыг ашиглан AIDE хувилбарыг үзэж болно.

aide --version

Та дараахь зүйлийг харах ёстой.

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Боломжтой сонголтууд aide дараах байдлаар харж болно.

aide --help

CentOS 8 дээр AIDE (Advanced Intrusion Detection Environment) програмыг хэрхэн суулгах, ашиглах вэ

Өгөгдлийн санг үүсгэх, эхлүүлэх

AIDE-г суулгасны дараа хийх хамгийн эхний зүйл бол үүнийг эхлүүлэх явдал юм. Эхлүүлэх нь сервер дээрх бүх файл, сангуудын мэдээллийн бааз (хормын хувилбар) үүсгэхээс бүрдэнэ.

Өгөгдлийн санг эхлүүлэхийн тулд дараах тушаалыг ажиллуулна уу.

aide --init

Та дараахь зүйлийг харах ёстой.

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Дээрх тушаал нь шинэ мэдээллийн сан үүсгэх болно aide.db.new.gz каталогид /var/lib/aide. Үүнийг дараах тушаалыг ашиглан харж болно.

ls -l /var/lib/aide

Үр дүн:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE энэ шинэ мэдээллийн сангийн файлыг нэрийг нь өөрчлөх хүртэл ашиглахгүй aide.db.gz. Үүнийг дараах байдлаар хийж болно.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Өөрчлөлтүүдийг зөв хянахын тулд энэ мэдээллийн санг үе үе шинэчлэхийг зөвлөж байна.

Та параметрийг өөрчлөх замаар мэдээллийн сангийн байршлыг өөрчилж болно DBDIR файлд /etc/aide.conf.

Шалгалт явуулж байна

AIDE одоо шинэ мэдээллийн санг ашиглахад бэлэн боллоо. Ямар ч өөрчлөлт хийлгүйгээр эхний AIDE шалгалтыг ажиллуулна уу:

aide --check

Таны файлын системийн хэмжээ болон сервер дээрх RAM-ийн хэмжээ зэргээс шалтгаалан энэ тушаалыг гүйцэтгэхэд тодорхой хугацаа шаардагдана. Скан хийж дууссаны дараа та дараахь зүйлийг харах болно.

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Дээрх гаралт нь бүх файлууд болон лавлахууд AIDE мэдээллийн сантай таарч байгааг хэлж байна.

AIDE-г шалгаж байна

Анхдагч байдлаар, AIDE нь анхдагч Apache үндсэн лавлахыг хянахгүй /var/www/html. Үүнийг үзэхийн тулд AIDE-г тохируулцгаая. Үүнийг хийхийн тулд та файлыг өөрчлөх хэрэгтэй /etc/aide.conf.

nano /etc/aide.conf

Дээрх мөрийг нэмнэ үү "/root/CONTENT_EX" дараах байдлаар:

/var/www/html/ CONTENT_EX

Дараа нь файл үүсгэнэ үү aide.txt каталогид /var/www/html/дараах тушаалыг ашиглан:

echo "Test AIDE" > /var/www/html/aide.txt

Одоо AIDE шалгалтыг ажиллуулаад үүсгэсэн файл илэрсэн эсэхийг шалгана уу.

aide --check

Та дараахь зүйлийг харах ёстой.

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Үүсгэсэн файл илэрсэн байгааг бид харж байна aide.txt.
Илэрсэн өөрчлөлтүүдэд дүн шинжилгээ хийсний дараа AIDE мэдээллийн санг шинэчилнэ үү.

aide --update

Шинэчлэлт хийсний дараа та дараахь зүйлийг харах болно.

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Дээрх тушаал нь шинэ мэдээллийн сан үүсгэх болно aide.db.new.gz каталогид 

/var/lib/aide/

Та үүнийг дараах тушаалаар харж болно.

ls -l /var/lib/aide/

Үр дүн:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Одоо шинэ мэдээллийн сангийн нэрийг дахин өөрчилснөөр AIDE шинэ мэдээллийн баазыг ашиглан цаашдын өөрчлөлтүүдийг хянах боломжтой. Та үүнийг дараах байдлаар өөрчилж болно.

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE шинэ мэдээллийн баазыг ашиглаж байгаа эсэхийг шалгахын тулд дахин шалгана уу:

aide --check

Та дараахь зүйлийг харах ёстой.

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Бид шалгалтыг автоматжуулдаг

Өдөр бүр AIDE шалгалт явуулж, тайлангаа шуудангаар илгээх нь зүйтэй. Энэ процессыг cron ашиглан автоматжуулж болно.

nano /etc/crontab

AIDE шалгалтыг өдөр бүр 10:15 цагт ажиллуулахын тулд файлын төгсгөлд дараах мөрийг нэмнэ үү.

15 10 * * * root /usr/sbin/aide --check

AIDE одоо танд шуудангаар мэдэгдэх болно. Та дараах тушаалаар имэйлээ шалгаж болно.

tail -f /var/mail/root

AIDE бүртгэлийг дараах тушаалыг ашиглан харж болно.

tail -f /var/log/aide/aide.log

дүгнэлт

Энэ нийтлэлээс та файлын өөрчлөлтийг илрүүлэх, серверт зөвшөөрөлгүй хандалтыг илрүүлэхийн тулд AIDE-г хэрхэн ашиглах талаар сурсан. Нэмэлт тохиргооны хувьд та /etc/aide.conf тохиргооны файлыг засварлаж болно. Аюулгүй байдлын үүднээс мэдээллийн сан болон тохиргооны файлыг зөвхөн унших боломжтой зөөвөрлөгч дээр хадгалахыг зөвлөж байна. Дэлгэрэнгүй мэдээллийг баримтаас авах боломжтой AIDE Doc.

Хичээлийн талаар илүү ихийг мэдэж аваарай.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх