🥇Cara memasang dan menggunakan AIDE (Persekitaran Pengesanan Pencerobohan Lanjutan) dalam CentOS 8

Sebelum kursus bermula "Pentadbir Linux" Kami telah menyediakan terjemahan bahan yang menarik.

AIDE bermaksud "Persekitaran Pengesanan Pencerobohan Lanjutan" dan merupakan salah satu sistem yang paling popular untuk memantau perubahan dalam sistem pengendalian berasaskan Linux. AIDE digunakan untuk melindungi daripada perisian hasad, virus dan mengesan aktiviti yang tidak dibenarkan. Untuk mengesahkan integriti fail dan mengesan pencerobohan, AIDE mencipta pangkalan data maklumat fail dan membandingkan keadaan semasa sistem dengan pangkalan data ini. AIDE membantu mengurangkan masa siasatan insiden dengan memfokuskan pada fail yang telah diubah suai.

Ciri-ciri AIDE:

Menyokong pelbagai atribut fail, termasuk: jenis fail, inode, uid, gid, kebenaran, bilangan pautan, mtime, ctime dan atime.
Sokongan untuk pemampatan Gzip, SELinux, XAttrs, Posix ACL dan atribut sistem fail.
Menyokong pelbagai algoritma termasuk md5, sha1, sha256, sha512, rmd160, crc32, dll.
Menghantar pemberitahuan melalui e-mel.

Dalam artikel ini, kita akan melihat cara memasang dan menggunakan AIDE untuk pengesanan pencerobohan pada CentOS 8.

Prasyarat

Pelayan menjalankan CentOS 8, dengan sekurang-kurangnya 2 GB RAM.
akses root

Bermula

Adalah disyorkan untuk mengemas kini sistem terlebih dahulu. Untuk melakukan ini, jalankan arahan berikut.

dnf update -y

Selepas mengemas kini, mulakan semula sistem anda untuk perubahan berkuat kuasa.

Memasang AIDE

AIDE tersedia dalam repositori lalai CentOS 8. Anda boleh memasangnya dengan mudah dengan menjalankan arahan berikut:

dnf install aide -y

Setelah pemasangan selesai, anda boleh melihat versi AIDE menggunakan arahan berikut:

aide --version

Anda sepatutnya melihat perkara berikut:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Pilihan yang tersedia aide boleh dilihat seperti berikut:

aide --help

Mencipta dan memulakan pangkalan data

Perkara pertama yang perlu anda lakukan selepas memasang AIDE ialah memulakannya. Inisialisasi terdiri daripada mencipta pangkalan data (snapshot) semua fail dan direktori pada pelayan.

Untuk memulakan pangkalan data, jalankan arahan berikut:

aide --init

Anda sepatutnya melihat perkara berikut:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Perintah di atas akan mencipta pangkalan data baharu aide.db.new.gz dalam katalog /var/lib/aide. Ia boleh dilihat menggunakan arahan berikut:

ls -l /var/lib/aide

Keputusan:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE tidak akan menggunakan fail pangkalan data baharu ini sehingga ia dinamakan semula aide.db.gz. Ini boleh dilakukan seperti berikut:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Adalah disyorkan agar anda mengemas kini pangkalan data ini secara berkala untuk memastikan perubahan dipantau dengan betul.

Anda boleh menukar lokasi pangkalan data dengan menukar parameter DBDIR dalam fail /etc/aide.conf.

Menjalankan imbasan

AIDE kini bersedia untuk menggunakan pangkalan data baharu. Jalankan semakan AIDE pertama tanpa membuat sebarang perubahan:

aide --check

Perintah ini akan mengambil sedikit masa untuk diselesaikan bergantung pada saiz sistem fail anda dan jumlah RAM pada pelayan anda. Setelah imbasan selesai, anda akan melihat perkara berikut:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Output di atas mengatakan bahawa semua fail dan direktori sepadan dengan pangkalan data AIDE.

Menguji AIDE

Secara lalai, AIDE tidak menjejaki direktori akar Apache lalai /var/www/html. Mari konfigurasikan AIDE untuk melihatnya. Untuk melakukan ini, anda perlu menukar fail /etc/aide.conf.

nano /etc/aide.conf

Tambah baris di atas "/root/CONTENT_EX" yang berikut:

/var/www/html/ CONTENT_EX

Seterusnya, buat fail aide.txt dalam katalog /var/www/html/menggunakan arahan berikut:

echo "Test AIDE" > /var/www/html/aide.txt

Sekarang jalankan semakan AIDE dan pastikan fail yang dibuat dikesan.

aide --check

Anda sepatutnya melihat perkara berikut:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kami melihat bahawa fail yang dibuat dikesan aide.txt.
Selepas menganalisis perubahan yang dikesan, kemas kini pangkalan data AIDE.

aide --update

Selepas kemas kini anda akan melihat perkara berikut:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Perintah di atas akan mencipta pangkalan data baharu aide.db.new.gz dalam katalog

/var/lib/aide/

Anda boleh melihatnya dengan arahan berikut:

ls -l /var/lib/aide/

Keputusan:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sekarang menamakan semula pangkalan data baharu supaya AIDE menggunakan pangkalan data baharu untuk menjejaki perubahan selanjutnya. Anda boleh menamakan semula seperti berikut:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Jalankan semakan sekali lagi untuk memastikan bahawa AIDE menggunakan pangkalan data baharu:

aide --check

Anda sepatutnya melihat perkara berikut:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Kami mengautomasikan cek

Adalah idea yang baik untuk menjalankan pemeriksaan AIDE setiap hari dan menghantar laporan tersebut. Proses ini boleh diautomasikan menggunakan cron.

nano /etc/crontab

Untuk menjalankan semakan AIDE setiap hari pada 10:15, tambahkan baris berikut pada penghujung fail:

15 10 * * * root /usr/sbin/aide --check

AIDE kini akan memberitahu anda melalui mel. Anda boleh menyemak mel anda dengan arahan berikut:

tail -f /var/mail/root

Log AIDE boleh dilihat menggunakan arahan berikut:

tail -f /var/log/aide/aide.log

Kesimpulan

Dalam artikel ini, anda mempelajari cara menggunakan AIDE untuk mengesan perubahan fail dan mengenal pasti akses pelayan yang tidak dibenarkan. Untuk tetapan tambahan, anda boleh mengedit fail konfigurasi /etc/aide.conf. Atas sebab keselamatan, adalah disyorkan untuk menyimpan pangkalan data dan fail konfigurasi pada media baca sahaja. Maklumat lanjut boleh didapati dalam dokumentasi AIDE Doc.

Ketahui lebih lanjut tentang kursus.

Sumber: www.habr.com

Cara Memasang dan Menggunakan AIDE (Persekitaran Pengesanan Pencerobohan Lanjutan) pada CentOS 8

Prasyarat

Bermula

Memasang AIDE

Mencipta dan memulakan pangkalan data

Menjalankan imbasan

Menguji AIDE

Kami mengautomasikan cek

Kesimpulan

Tambah komen Batal reply