CentOS 8 တွင် AIDE (Advanced Intrusion Detection Environment) ကို ထည့်သွင်းအသုံးပြုနည်း

သင်တန်းမစတင်မီ "Linux စီမံခန့်ခွဲသူ" ကျွန်ုပ်တို့သည် စိတ်ဝင်စားစရာကောင်းသော အကြောင်းအရာများကို ဘာသာပြန်ရန် ပြင်ဆင်ထားပါသည်။

AIDE သည် "Advanced Intrusion Detection Environment" ကို ကိုယ်စားပြုပြီး Linux-based လည်ပတ်မှုစနစ်များတွင် ပြောင်းလဲမှုများကို စောင့်ကြည့်ရန် ရေပန်းအစားဆုံး စနစ်များထဲမှ တစ်ခုဖြစ်သည်။ AIDE ကို malware၊ ဗိုင်းရပ်စ်များကို ကာကွယ်ရန်နှင့် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်ချက်များကို ရှာဖွေရန် အသုံးပြုသည်။ ဖိုင်ခိုင်မာမှုကို အတည်ပြုရန်နှင့် ကျူးကျော်ဝင်ရောက်မှုများကို ထောက်လှမ်းရန် AIDE သည် ဖိုင်အချက်အလက်ဒေတာဘေ့စ်တစ်ခုကို ဖန်တီးပြီး စနစ်၏ လက်ရှိအခြေအနေကို ဤဒေတာဘေ့စ်နှင့် နှိုင်းယှဉ်ပါသည်။ AIDE သည် ပြုပြင်ထားသော ဖိုင်များကို အာရုံစိုက်ခြင်းဖြင့် အဖြစ်အပျက် စုံစမ်းစစ်ဆေးချိန်ကို လျှော့ချပေးသည်။

AIDE အင်္ဂါရပ်များ

• ဖိုင်အမျိုးအစား၊ inode၊ uid၊ gid၊ ခွင့်ပြုချက်များ၊ လင့်ခ်အရေအတွက်၊ mtime၊ ctime နှင့် atime အပါအဝင် အမျိုးမျိုးသော ဖိုင်အရည်အသွေးများကို ပံ့ပိုးပေးသည်။
• Gzip ချုံ့ခြင်း၊ SELinux၊ XAttrs၊ Posix ACL နှင့် ဖိုင်စနစ် ရည်ညွှန်းချက်များ အတွက် ပံ့ပိုးမှု။
• md5၊ sha1၊ sha256၊ sha512၊ rmd160၊ crc32 စသဖြင့် အမျိုးမျိုးသော algorithms များကို ပံ့ပိုးပေးသည်။
• အီးမေးလ်ဖြင့်အကြောင်းကြားစာများပေးပို့ခြင်း။

ဤဆောင်းပါးတွင်၊ CentOS 8 တွင် ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းရန်အတွက် AIDE ကို မည်ကဲ့သို့ ထည့်သွင်းအသုံးပြုရမည်ကို လေ့လာပါမည်။

လိုအပ်ချက်များ

• အနည်းဆုံး RAM 8GB ပါရှိသော CentOS 2 ကို အသုံးပြုသည့် ဆာဗာ။
• root access

စတင်

စနစ်ကို ဦးစွာ အပ်ဒိတ်လုပ်ရန် အကြံပြုထားသည်။ ဒီလိုလုပ်ဖို့၊ အောက်ပါ command ကို run ပါ။

dnf update -y

အပ်ဒိတ်လုပ်ပြီးနောက် အပြောင်းအလဲများ အကျိုးသက်ရောက်စေရန်အတွက် သင့်စနစ်အား ပြန်လည်စတင်ပါ။

AIDE ကို ထည့်သွင်းခြင်း။

AIDE ကို မူရင်း CentOS 8 repository တွင် ရနိုင်ပါသည်။ အောက်ပါ command ကို အသုံးပြုခြင်းဖြင့် ၎င်းကို အလွယ်တကူ ထည့်သွင်းနိုင်သည်-

dnf install aide -y

တပ်ဆင်မှုပြီးသည်နှင့်၊ သင်သည် အောက်ပါ command ကိုအသုံးပြု၍ AIDE ဗားရှင်းကို ကြည့်ရှုနိုင်သည်-

aide --version

အောက်ပါတို့ကို မြင်သင့်သည်-

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

ရနိုင်သောရွေးချယ်မှုများ aide အောက်ပါအတိုင်းကြည့်ရှုနိုင်သည်-

aide --help

ဒေတာဘေ့စ်ကို ဖန်တီးခြင်းနှင့် စတင်ခြင်း

AIDE ကိုထည့်သွင်းပြီးနောက် သင်လုပ်ဆောင်ရမည့် ပထမဆုံးအရာမှာ ၎င်းကို စတင်ရန်ဖြစ်သည်။ စတင်ခြင်းတွင် ဆာဗာပေါ်ရှိ ဖိုင်များနှင့် လမ်းညွှန်များအားလုံး၏ ဒေတာဘေ့စ် (လျှပ်တစ်ပြက်ရိုက်ချက်) ဖန်တီးခြင်း ပါဝင်သည်။

ဒေတာဘေ့စ်ကို စတင်ရန်၊ အောက်ပါ command ကို run ပါ။

aide --init

အောက်ပါတို့ကို မြင်သင့်သည်-

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

အထက်ပါ command သည် ဒေတာဘေ့စ်အသစ်တစ်ခုကို ဖန်တီးမည်ဖြစ်သည်။ aide.db.new.gz catalog ထဲမှာ /var/lib/aide. အောက်ပါ command ကို အသုံးပြု၍ ကြည့်ရှုနိုင်ပါသည်။

ls -l /var/lib/aide

ရလဒ်:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

အမည်မပြောင်းမချင်း AIDE သည် ဤဒေတာဘေ့စ်ဖိုင်အသစ်ကို အသုံးပြုမည်မဟုတ်ပါ။ aide.db.gz. ၎င်းကို အောက်ပါအတိုင်း လုပ်ဆောင်နိုင်ပါသည်။

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

အပြောင်းအလဲများကို မှန်ကန်စွာ စောင့်ကြည့်ကြောင်း သေချာစေရန် ဤဒေတာဘေ့စ်ကို အခါအားလျော်စွာ အပ်ဒိတ်လုပ်ရန် အကြံပြုအပ်ပါသည်။

ပါရာမီတာကို ပြောင်းခြင်းဖြင့် သင်သည် ဒေတာဘေ့စ်၏ တည်နေရာကို ပြောင်းလဲနိုင်သည်။ DBDIR ဖိုင်ထဲမှာ /etc/aide.conf.

စကင်န်လုပ်ဆောင်ခြင်း။

AIDE သည် ယခုအခါ ဒေတာဘေ့စ်အသစ်ကို အသုံးပြုရန် အဆင်သင့်ဖြစ်နေပါပြီ။ ပြောင်းလဲမှုတစ်စုံတစ်ရာမပြုလုပ်ဘဲ ပထမဆုံး AIDE စစ်ဆေးမှုကို လုပ်ဆောင်ပါ-

aide --check

သင့်ဖိုင်စနစ်အရွယ်အစားနှင့် သင့်ဆာဗာရှိ RAM ပမာဏပေါ်မူတည်၍ ဤအမိန့်ကို အပြီးသတ်ရန် အချိန်အနည်းငယ်ကြာပါမည်။ စကင်န်ဖတ်ခြင်းပြီးပါက အောက်ပါတို့ကို တွေ့ရမည်ဖြစ်ပါသည်။

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

အထက်ဖော်ပြပါ ရလဒ်သည် ဖိုင်များနှင့် လမ်းညွှန်အားလုံးသည် AIDE ဒေတာဘေ့စ်နှင့် ကိုက်ညီသည်ဟု ဆိုသည်။

AIDE စမ်းသပ်ခြင်း။

မူရင်းအားဖြင့် AIDE သည် မူရင်း Apache အမြစ်လမ်းညွှန်ကို ခြေရာခံခြင်းမရှိပါ။ /var/www/html. ၎င်းကိုကြည့်ရှုရန် AIDE ကို configure လုပ်ကြပါစို့။ ဒီလိုလုပ်ဖို့သင်ဖိုင်ကိုပြောင်းဖို့လိုအပ်ပါတယ်။ /etc/aide.conf.

nano /etc/aide.conf

အပေါ်ကစာကြောင်းထည့်ပါ။ "/root/CONTENT_EX" အောက်ပါ:

/var/www/html/ CONTENT_EX

ထို့နောက် ဖိုင်တစ်ခုဖန်တီးပါ။ aide.txt catalog ထဲမှာ /var/www/html/အောက်ပါ command ကို အသုံးပြု.

echo "Test AIDE" > /var/www/html/aide.txt

ယခု AIDE စစ်ဆေးမှုကို လုပ်ဆောင်ပြီး ဖန်တီးထားသည့်ဖိုင်ကို တွေ့ရှိကြောင်း သေချာပါစေ။

aide --check

အောက်ပါတို့ကို မြင်သင့်သည်-

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

ဖန်တီးထားသောဖိုင်ကို တွေ့ရှိကြောင်း ကျွန်ုပ်တို့မြင်သည်။ aide.txt.
တွေ့ရှိထားသောပြောင်းလဲမှုများကို ပိုင်းခြားစိတ်ဖြာပြီးနောက် AIDE ဒေတာဘေ့စ်ကို အပ်ဒိတ်လုပ်ပါ။

aide --update

အပ်ဒိတ်လုပ်ပြီးနောက်တွင် အောက်ပါတို့ကို တွေ့ရလိမ့်မည်-

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

အထက်ပါ command သည် ဒေတာဘေ့စ်အသစ်တစ်ခုကို ဖန်တီးမည်ဖြစ်သည်။ aide.db.new.gz catalog ထဲမှာ

/var/lib/aide/

အောက်ပါ command ဖြင့် သင်မြင်နိုင်သည်-

ls -l /var/lib/aide/

ရလဒ်:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

AIDE သည် နောက်ထပ်ပြောင်းလဲမှုများကို ခြေရာခံရန် ဒေတာဘေ့စ်အသစ်ကို အသုံးပြုနိုင်ရန် ယခု ဒေတာဘေ့စ်အသစ်ကို ထပ်မံအမည်ပြောင်းပါ။ အောက်ပါအတိုင်း အမည်ပြောင်းနိုင်ပါသည်။

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE သည် ဒေတာဘေ့စ်အသစ်ကို အသုံးပြုနေကြောင်း သေချာစေရန် စစ်ဆေးမှုကို ထပ်မံလုပ်ဆောင်ပါ-

aide --check

အောက်ပါတို့ကို မြင်သင့်သည်-

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

ကျွန်ုပ်တို့သည် စစ်ဆေးမှုကို အလိုအလျောက်လုပ်ဆောင်ပါသည်။

AIDE စစ်ဆေးမှုကို နေ့စဉ်လုပ်ဆောင်ပြီး အစီရင်ခံစာကို ပေးပို့ခြင်းသည် ကောင်းသောအကြံဉာဏ်ဖြစ်သည်။ ဤလုပ်ငန်းစဉ်သည် cron ကိုအသုံးပြု၍ အလိုအလျောက်လုပ်ဆောင်နိုင်သည်။

nano /etc/crontab

AIDE စစ်ဆေးမှုကို နေ့စဉ် 10:15 တွင် လုပ်ဆောင်ရန်၊ ဖိုင်၏အဆုံးတွင် အောက်ပါစာကြောင်းကို ထည့်ပါ။

15 10 * * * root /usr/sbin/aide --check

AIDE သည် ယခု သင့်အား မေးလ်ဖြင့် အကြောင်းကြားပါမည်။ သင့်မေးလ်ကို အောက်ပါ command ဖြင့် စစ်ဆေးနိုင်ပါသည်။

tail -f /var/mail/root

AIDE မှတ်တမ်းကို အောက်ပါ command ဖြင့် ကြည့်ရှုနိုင်သည်-

tail -f /var/log/aide/aide.log

ကောက်ချက်

ဤဆောင်းပါးတွင်၊ ဖိုင်ပြောင်းလဲမှုများကို ရှာဖွေရန်နှင့် ခွင့်ပြုချက်မရှိဘဲ ဆာဗာဝင်ရောက်ခွင့်ကို ဖော်ထုတ်ရန် AIDE ကို အသုံးပြုနည်းကို သင်လေ့လာခဲ့သည်။ နောက်ထပ်ဆက်တင်များအတွက်၊ သင်သည် /etc/aide.conf ဖွဲ့စည်းမှုပုံစံဖိုင်ကို တည်းဖြတ်နိုင်သည်။ လုံခြုံရေးအရ၊ ဒေတာဘေ့စ်နှင့် ဖွဲ့စည်းမှုဖိုင်ကို ဖတ်သာမီဒီယာတွင် သိမ်းဆည်းရန် အကြံပြုထားသည်။ စာရွက်စာတမ်းများတွင် ပိုမိုသိရှိနိုင်သည် AIDE Doc.

သင်တန်းအကြောင်းပိုမိုလေ့လာပါ။

source: www.habr.com