Sebelum kursus bermula
AIDE bermaksud "Persekitaran Pengesanan Pencerobohan Lanjutan" dan merupakan salah satu sistem yang paling popular untuk memantau perubahan dalam sistem pengendalian berasaskan Linux. AIDE digunakan untuk melindungi daripada perisian hasad, virus dan mengesan aktiviti yang tidak dibenarkan. Untuk mengesahkan integriti fail dan mengesan pencerobohan, AIDE mencipta pangkalan data maklumat fail dan membandingkan keadaan semasa sistem dengan pangkalan data ini. AIDE membantu mengurangkan masa siasatan insiden dengan memfokuskan pada fail yang telah diubah suai.
Ciri-ciri AIDE:
- Menyokong pelbagai atribut fail, termasuk: jenis fail, inode, uid, gid, kebenaran, bilangan pautan, mtime, ctime dan atime.
- Sokongan untuk pemampatan Gzip, SELinux, XAttrs, Posix ACL dan atribut sistem fail.
- Menyokong pelbagai algoritma termasuk md5, sha1, sha256, sha512, rmd160, crc32, dll.
- Menghantar pemberitahuan melalui e-mel.
Dalam artikel ini, kita akan melihat cara memasang dan menggunakan AIDE untuk pengesanan pencerobohan pada CentOS 8.
Prasyarat
- Pelayan menjalankan CentOS 8, dengan sekurang-kurangnya 2 GB RAM.
- akses root
Bermula
Adalah disyorkan untuk mengemas kini sistem terlebih dahulu. Untuk melakukan ini, jalankan arahan berikut.
dnf update -y
Selepas mengemas kini, mulakan semula sistem anda untuk perubahan berkuat kuasa.
Memasang AIDE
AIDE tersedia dalam repositori lalai CentOS 8. Anda boleh memasangnya dengan mudah dengan menjalankan arahan berikut:
dnf install aide -y
Setelah pemasangan selesai, anda boleh melihat versi AIDE menggunakan arahan berikut:
aide --version
Anda sepatutnya melihat perkara berikut:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Pilihan yang tersedia aide
boleh dilihat seperti berikut:
aide --help
Mencipta dan memulakan pangkalan data
Perkara pertama yang perlu anda lakukan selepas memasang AIDE ialah memulakannya. Inisialisasi terdiri daripada mencipta pangkalan data (snapshot) semua fail dan direktori pada pelayan.
Untuk memulakan pangkalan data, jalankan arahan berikut:
aide --init
Anda sepatutnya melihat perkara berikut:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Perintah di atas akan mencipta pangkalan data baharu aide.db.new.gz
dalam katalog /var/lib/aide
. Ia boleh dilihat menggunakan arahan berikut:
ls -l /var/lib/aide
Keputusan:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE tidak akan menggunakan fail pangkalan data baharu ini sehingga ia dinamakan semula aide.db.gz
. Ini boleh dilakukan seperti berikut:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Adalah disyorkan agar anda mengemas kini pangkalan data ini secara berkala untuk memastikan perubahan dipantau dengan betul.
Anda boleh menukar lokasi pangkalan data dengan menukar parameter DBDIR
dalam fail /etc/aide.conf
.
Menjalankan imbasan
AIDE kini bersedia untuk menggunakan pangkalan data baharu. Jalankan semakan AIDE pertama tanpa membuat sebarang perubahan:
aide --check
Perintah ini akan mengambil sedikit masa untuk diselesaikan bergantung pada saiz sistem fail anda dan jumlah RAM pada pelayan anda. Setelah imbasan selesai, anda akan melihat perkara berikut:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Output di atas mengatakan bahawa semua fail dan direktori sepadan dengan pangkalan data AIDE.
Menguji AIDE
Secara lalai, AIDE tidak menjejaki direktori akar Apache lalai /var/www/html.
Mari konfigurasikan AIDE untuk melihatnya. Untuk melakukan ini, anda perlu menukar fail /etc/aide.conf
.
nano /etc/aide.conf
Tambah baris di atas "/root/CONTENT_EX"
yang berikut:
/var/www/html/ CONTENT_EX
Seterusnya, buat fail aide.txt
dalam katalog /var/www/html/
menggunakan arahan berikut:
echo "Test AIDE" > /var/www/html/aide.txt
Sekarang jalankan semakan AIDE dan pastikan fail yang dibuat dikesan.
aide --check
Anda sepatutnya melihat perkara berikut:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Kami melihat bahawa fail yang dibuat dikesan aide.txt
.
Selepas menganalisis perubahan yang dikesan, kemas kini pangkalan data AIDE.
aide --update
Selepas kemas kini anda akan melihat perkara berikut:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Perintah di atas akan mencipta pangkalan data baharu aide.db.new.gz
dalam katalog
/var/lib/aide/
Anda boleh melihatnya dengan arahan berikut:
ls -l /var/lib/aide/
Keputusan:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Sekarang menamakan semula pangkalan data baharu supaya AIDE menggunakan pangkalan data baharu untuk menjejaki perubahan selanjutnya. Anda boleh menamakan semula seperti berikut:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Jalankan semakan sekali lagi untuk memastikan bahawa AIDE menggunakan pangkalan data baharu:
aide --check
Anda sepatutnya melihat perkara berikut:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Kami mengautomasikan cek
Adalah idea yang baik untuk menjalankan pemeriksaan AIDE setiap hari dan menghantar laporan tersebut. Proses ini boleh diautomasikan menggunakan cron.
nano /etc/crontab
Untuk menjalankan semakan AIDE setiap hari pada 10:15, tambahkan baris berikut pada penghujung fail:
15 10 * * * root /usr/sbin/aide --check
AIDE kini akan memberitahu anda melalui mel. Anda boleh menyemak mel anda dengan arahan berikut:
tail -f /var/mail/root
Log AIDE boleh dilihat menggunakan arahan berikut:
tail -f /var/log/aide/aide.log
Kesimpulan
Dalam artikel ini, anda mempelajari cara menggunakan AIDE untuk mengesan perubahan fail dan mengenal pasti akses pelayan yang tidak dibenarkan. Untuk tetapan tambahan, anda boleh mengedit fail konfigurasi /etc/aide.conf. Atas sebab keselamatan, adalah disyorkan untuk menyimpan pangkalan data dan fail konfigurasi pada media baca sahaja. Maklumat lanjut boleh didapati dalam dokumentasi
Sumber: www.habr.com