ProHoster > blog > Amministrazzjoni > Kif Tinstalla u Uża AIDE (Ambjent Avvanzat ta' Sejbien ta' Intrużjoni) fuq CentOS 8

Kif Tinstalla u Uża AIDE (Ambjent Avvanzat ta' Sejbien ta' Intrużjoni) fuq CentOS 8

Qabel il-bidu tal-kors "Amministratur tal-Linux" Ħejjejna traduzzjoni ta’ materjal interessanti.

Kif Tinstalla u Uża AIDE (Ambjent Avvanzat ta' Sejbien ta' Intrużjoni) fuq CentOS 8

AIDE tfisser "Ambjent Avvanzat ta' Sejbien ta' Intrużjoni" u hija waħda mis-sistemi l-aktar popolari għall-monitoraġġ tal-bidliet fis-sistemi operattivi bbażati fuq Linux. AIDE jintuża biex jipproteġi kontra malware, viruses u jiskopri attivitajiet mhux awtorizzati. Biex tivverifika l-integrità tal-fajl u tiskopri intrużjonijiet, AIDE toħloq database ta 'informazzjoni tal-fajl u tqabbel l-istat attwali tas-sistema ma' din id-database. AIDE tgħin biex tnaqqas il-ħin tal-investigazzjoni tal-inċidenti billi tiffoka fuq fajls li ġew modifikati.

Karatteristiċi ta' AIDE:

  • Jappoġġja diversi attributi tal-fajl, inklużi: tip ta 'fajl, inode, uid, gid, permessi, numru ta' links, mtime, ctime u atime.
  • Appoġġ għall-kompressjoni Gzip, SELinux, XAttrs, Posix ACL u attributi tas-sistema tal-fajls.
  • Jappoġġja diversi algoritmi inklużi md5, sha1, sha256, sha512, rmd160, crc32, eċċ.
  • Tibgħat notifiki bl-email.

F'dan l-artikolu, aħna ser inħarsu lejn kif tinstalla u tuża AIDE għall-iskoperta ta 'intrużjoni fuq CentOS 8.

Prerekwiżiti

  • Server li jaħdem CentOS 8, b'mill-inqas 2 GB ta 'RAM.
  • aċċess għall-għeruq

Kif tibda

Huwa rakkomandat li taġġorna s-sistema l-ewwel. Biex tagħmel dan, mexxi l-kmand li ġej.

dnf update -y

Wara li taġġorna, ibda mill-ġdid is-sistema tiegħek biex il-bidliet jidħlu fis-seħħ.

Installazzjoni AIDE

AIDE huwa disponibbli fir-repożitorju default CentOS 8. Tista 'faċilment tinstallah billi tħaddem il-kmand li ġej:

dnf install aide -y

Ladarba l-installazzjoni titlesta, tista 'tara l-verżjoni AIDE billi tuża l-kmand li ġej:

aide --version

Għandek tara dan li ġej:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Għażliet disponibbli aide jista' jitqies kif ġej:

aide --help

Kif Tinstalla u Uża AIDE (Ambjent Avvanzat ta' Sejbien ta' Intrużjoni) fuq CentOS 8

Il-ħolqien u l-inizjalizzazzjoni tad-database

L-ewwel ħaġa li għandek bżonn tagħmel wara li tinstalla AIDE hija li initialize. L-inizjalizzazzjoni tikkonsisti fil-ħolqien ta' database (snapshot) tal-fajls u direttorji kollha fuq is-server.

Biex tibda d-database, mexxi l-kmand li ġej:

aide --init

Għandek tara dan li ġej:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Il-kmand ta 'hawn fuq se joħloq database ġdida aide.db.new.gz fil-katalgu /var/lib/aide. Jista 'jidher bl-użu tal-kmand li ġej:

ls -l /var/lib/aide

Riżultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE mhux se juża dan il-fajl tad-database l-ġdid sakemm jingħata isem ġdid għal aide.db.gz. Dan jista' jsir kif ġej:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Huwa rakkomandat li taġġorna din id-database perjodikament biex tiżgura li l-bidliet jiġu mmonitorjati kif suppost.

Tista' tibdel il-post tad-database billi tibdel il-parametru DBDIR fil-fajl /etc/aide.conf.

Tmexxi verifika

AIDE issa hija lesta biex tuża d-database l-ġdida. Mexxi l-ewwel kontroll AIDE mingħajr ma tagħmel ebda tibdil:

aide --check

Dan il-kmand se jieħu xi żmien biex jitlesta skont id-daqs tas-sistema tal-fajls tiegħek u l-ammont ta 'RAM fuq is-server tiegħek. Ladarba l-iskan ikun lest għandek tara dan li ġej:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

L-output ta 'hawn fuq jgħid li l-fajls u d-direttorji kollha jaqblu mad-database AIDE.

Ittestjar AIDE

B'mod awtomatiku, AIDE ma jsegwix id-direttorju tal-għeruq Apache default /var/www/html. Ejja kkonfigurat AIDE biex tarah. Biex tagħmel dan għandek bżonn tibdel il-fajl /etc/aide.conf.

nano /etc/aide.conf

Żid fuq il-linja "/root/CONTENT_EX" li ġej:

/var/www/html/ CONTENT_EX

Sussegwentement, oħloq fajl aide.txt fil-katalgu /var/www/html/billi tuża l-kmand li ġej:

echo "Test AIDE" > /var/www/html/aide.txt

Issa mexxi l-kontroll AIDE u kun żgur li l-fajl maħluq jiġi skopert.

aide --check

Għandek tara dan li ġej:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Naraw li l-fajl maħluq jiġi skopert aide.txt.
Wara li tanalizza l-bidliet misjuba, aġġorna d-database AIDE.

aide --update

Wara l-aġġornament se tara dan li ġej:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Il-kmand ta 'hawn fuq se joħloq database ġdida aide.db.new.gz fil-katalgu 

/var/lib/aide/

Tista 'taraha bil-kmand li ġej:

ls -l /var/lib/aide/

Riżultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Issa semmi mill-ġdid id-database l-ġdida sabiex AIDE tuża d-database l-ġdida biex issegwi aktar bidliet. Tista' tibdel l-isem kif ġej:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Erġa' agħmel il-kontroll biex tiżgura li AIDE qed tuża d-database l-ġdida:

aide --check

Għandek tara dan li ġej:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Aħna awtomatizzati l-kontroll

Hija idea tajba li tagħmel verifika AIDE kuljum u tibgħat ir-rapport bil-posta. Dan il-proċess jista 'jiġi awtomatizzat bl-użu ta' cron.

nano /etc/crontab

Biex tħaddem il-kontroll AIDE kuljum fl-10:15, żid il-linja li ġejja fl-aħħar tal-fajl:

15 10 * * * root /usr/sbin/aide --check

AIDE issa tinnotifikak bil-posta. Tista' tiċċekkja l-posta tiegħek bil-kmand li ġej:

tail -f /var/mail/root

Ir-reġistru tal-AIDE jista' jaraha billi tuża l-kmand li ġej:

tail -f /var/log/aide/aide.log

Konklużjoni

F'dan l-artikolu, tgħallimt kif tuża AIDE biex tiskopri bidliet fil-fajls u tidentifika aċċess mhux awtorizzat għal server. Għal settings addizzjonali, tista' teditja l-fajl ta' konfigurazzjoni /etc/aide.conf. Għal raġunijiet ta' sigurtà, huwa rakkomandat li d-database u l-fajl tal-konfigurazzjoni jinħażnu fuq midja li tinqara biss. Aktar informazzjoni tinsab fid-dokumentazzjoni AIDE Dok.

Tgħallem aktar dwar il-kors.

Sors: www.habr.com

Żid kumment