သင်တန်းမစတင်မီ
AIDE သည် "Advanced Intrusion Detection Environment" ကို ကိုယ်စားပြုပြီး Linux-based လည်ပတ်မှုစနစ်များတွင် ပြောင်းလဲမှုများကို စောင့်ကြည့်ရန် ရေပန်းအစားဆုံး စနစ်များထဲမှ တစ်ခုဖြစ်သည်။ AIDE ကို malware၊ ဗိုင်းရပ်စ်များကို ကာကွယ်ရန်နှင့် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်ချက်များကို ရှာဖွေရန် အသုံးပြုသည်။ ဖိုင်ခိုင်မာမှုကို အတည်ပြုရန်နှင့် ကျူးကျော်ဝင်ရောက်မှုများကို ထောက်လှမ်းရန် AIDE သည် ဖိုင်အချက်အလက်ဒေတာဘေ့စ်တစ်ခုကို ဖန်တီးပြီး စနစ်၏ လက်ရှိအခြေအနေကို ဤဒေတာဘေ့စ်နှင့် နှိုင်းယှဉ်ပါသည်။ AIDE သည် ပြုပြင်ထားသော ဖိုင်များကို အာရုံစိုက်ခြင်းဖြင့် အဖြစ်အပျက် စုံစမ်းစစ်ဆေးချိန်ကို လျှော့ချပေးသည်။
AIDE အင်္ဂါရပ်များ
- ဖိုင်အမျိုးအစား၊ inode၊ uid၊ gid၊ ခွင့်ပြုချက်များ၊ လင့်ခ်အရေအတွက်၊ mtime၊ ctime နှင့် atime အပါအဝင် အမျိုးမျိုးသော ဖိုင်အရည်အသွေးများကို ပံ့ပိုးပေးသည်။
- Gzip ချုံ့ခြင်း၊ SELinux၊ XAttrs၊ Posix ACL နှင့် ဖိုင်စနစ် ရည်ညွှန်းချက်များ အတွက် ပံ့ပိုးမှု။
- md5၊ sha1၊ sha256၊ sha512၊ rmd160၊ crc32 စသဖြင့် အမျိုးမျိုးသော algorithms များကို ပံ့ပိုးပေးသည်။
- အီးမေးလ်ဖြင့်အကြောင်းကြားစာများပေးပို့ခြင်း။
ဤဆောင်းပါးတွင်၊ CentOS 8 တွင် ကျူးကျော်ဝင်ရောက်မှုကို ထောက်လှမ်းရန်အတွက် AIDE ကို မည်ကဲ့သို့ ထည့်သွင်းအသုံးပြုရမည်ကို လေ့လာပါမည်။
လိုအပ်ချက်များ
- အနည်းဆုံး RAM 8GB ပါရှိသော CentOS 2 ကို အသုံးပြုသည့် ဆာဗာ။
- root access
စတင်
စနစ်ကို ဦးစွာ အပ်ဒိတ်လုပ်ရန် အကြံပြုထားသည်။ ဒီလိုလုပ်ဖို့၊ အောက်ပါ command ကို run ပါ။
dnf update -y
အပ်ဒိတ်လုပ်ပြီးနောက် အပြောင်းအလဲများ အကျိုးသက်ရောက်စေရန်အတွက် သင့်စနစ်အား ပြန်လည်စတင်ပါ။
AIDE ကို ထည့်သွင်းခြင်း။
AIDE ကို မူရင်း CentOS 8 repository တွင် ရနိုင်ပါသည်။ အောက်ပါ command ကို အသုံးပြုခြင်းဖြင့် ၎င်းကို အလွယ်တကူ ထည့်သွင်းနိုင်သည်-
dnf install aide -y
တပ်ဆင်မှုပြီးသည်နှင့်၊ သင်သည် အောက်ပါ command ကိုအသုံးပြု၍ AIDE ဗားရှင်းကို ကြည့်ရှုနိုင်သည်-
aide --version
အောက်ပါတို့ကို မြင်သင့်သည်-
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
ရနိုင်သောရွေးချယ်မှုများ aide
အောက်ပါအတိုင်းကြည့်ရှုနိုင်သည်-
aide --help
ဒေတာဘေ့စ်ကို ဖန်တီးခြင်းနှင့် စတင်ခြင်း
AIDE ကိုထည့်သွင်းပြီးနောက် သင်လုပ်ဆောင်ရမည့် ပထမဆုံးအရာမှာ ၎င်းကို စတင်ရန်ဖြစ်သည်။ စတင်ခြင်းတွင် ဆာဗာပေါ်ရှိ ဖိုင်များနှင့် လမ်းညွှန်များအားလုံး၏ ဒေတာဘေ့စ် (လျှပ်တစ်ပြက်ရိုက်ချက်) ဖန်တီးခြင်း ပါဝင်သည်။
ဒေတာဘေ့စ်ကို စတင်ရန်၊ အောက်ပါ command ကို run ပါ။
aide --init
အောက်ပါတို့ကို မြင်သင့်သည်-
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
အထက်ပါ command သည် ဒေတာဘေ့စ်အသစ်တစ်ခုကို ဖန်တီးမည်ဖြစ်သည်။ aide.db.new.gz
catalog ထဲမှာ /var/lib/aide
. အောက်ပါ command ကို အသုံးပြု၍ ကြည့်ရှုနိုင်ပါသည်။
ls -l /var/lib/aide
ရလဒ်:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
အမည်မပြောင်းမချင်း AIDE သည် ဤဒေတာဘေ့စ်ဖိုင်အသစ်ကို အသုံးပြုမည်မဟုတ်ပါ။ aide.db.gz
. ၎င်းကို အောက်ပါအတိုင်း လုပ်ဆောင်နိုင်ပါသည်။
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
အပြောင်းအလဲများကို မှန်ကန်စွာ စောင့်ကြည့်ကြောင်း သေချာစေရန် ဤဒေတာဘေ့စ်ကို အခါအားလျော်စွာ အပ်ဒိတ်လုပ်ရန် အကြံပြုအပ်ပါသည်။
ပါရာမီတာကို ပြောင်းခြင်းဖြင့် သင်သည် ဒေတာဘေ့စ်၏ တည်နေရာကို ပြောင်းလဲနိုင်သည်။ DBDIR
ဖိုင်ထဲမှာ /etc/aide.conf
.
စကင်န်လုပ်ဆောင်ခြင်း။
AIDE သည် ယခုအခါ ဒေတာဘေ့စ်အသစ်ကို အသုံးပြုရန် အဆင်သင့်ဖြစ်နေပါပြီ။ ပြောင်းလဲမှုတစ်စုံတစ်ရာမပြုလုပ်ဘဲ ပထမဆုံး AIDE စစ်ဆေးမှုကို လုပ်ဆောင်ပါ-
aide --check
သင့်ဖိုင်စနစ်အရွယ်အစားနှင့် သင့်ဆာဗာရှိ RAM ပမာဏပေါ်မူတည်၍ ဤအမိန့်ကို အပြီးသတ်ရန် အချိန်အနည်းငယ်ကြာပါမည်။ စကင်န်ဖတ်ခြင်းပြီးပါက အောက်ပါတို့ကို တွေ့ရမည်ဖြစ်ပါသည်။
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
အထက်ဖော်ပြပါ ရလဒ်သည် ဖိုင်များနှင့် လမ်းညွှန်အားလုံးသည် AIDE ဒေတာဘေ့စ်နှင့် ကိုက်ညီသည်ဟု ဆိုသည်။
AIDE စမ်းသပ်ခြင်း။
မူရင်းအားဖြင့် AIDE သည် မူရင်း Apache အမြစ်လမ်းညွှန်ကို ခြေရာခံခြင်းမရှိပါ။ /var/www/html.
၎င်းကိုကြည့်ရှုရန် AIDE ကို configure လုပ်ကြပါစို့။ ဒီလိုလုပ်ဖို့သင်ဖိုင်ကိုပြောင်းဖို့လိုအပ်ပါတယ်။ /etc/aide.conf
.
nano /etc/aide.conf
အပေါ်ကစာကြောင်းထည့်ပါ။ "/root/CONTENT_EX"
အောက်ပါ:
/var/www/html/ CONTENT_EX
ထို့နောက် ဖိုင်တစ်ခုဖန်တီးပါ။ aide.txt
catalog ထဲမှာ /var/www/html/
အောက်ပါ command ကို အသုံးပြု.
echo "Test AIDE" > /var/www/html/aide.txt
ယခု AIDE စစ်ဆေးမှုကို လုပ်ဆောင်ပြီး ဖန်တီးထားသည့်ဖိုင်ကို တွေ့ရှိကြောင်း သေချာပါစေ။
aide --check
အောက်ပါတို့ကို မြင်သင့်သည်-
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
ဖန်တီးထားသောဖိုင်ကို တွေ့ရှိကြောင်း ကျွန်ုပ်တို့မြင်သည်။ aide.txt
.
တွေ့ရှိထားသောပြောင်းလဲမှုများကို ပိုင်းခြားစိတ်ဖြာပြီးနောက် AIDE ဒေတာဘေ့စ်ကို အပ်ဒိတ်လုပ်ပါ။
aide --update
အပ်ဒိတ်လုပ်ပြီးနောက်တွင် အောက်ပါတို့ကို တွေ့ရလိမ့်မည်-
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
အထက်ပါ command သည် ဒေတာဘေ့စ်အသစ်တစ်ခုကို ဖန်တီးမည်ဖြစ်သည်။ aide.db.new.gz
catalog ထဲမှာ
/var/lib/aide/
အောက်ပါ command ဖြင့် သင်မြင်နိုင်သည်-
ls -l /var/lib/aide/
ရလဒ်:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
AIDE သည် နောက်ထပ်ပြောင်းလဲမှုများကို ခြေရာခံရန် ဒေတာဘေ့စ်အသစ်ကို အသုံးပြုနိုင်ရန် ယခု ဒေတာဘေ့စ်အသစ်ကို ထပ်မံအမည်ပြောင်းပါ။ အောက်ပါအတိုင်း အမည်ပြောင်းနိုင်ပါသည်။
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE သည် ဒေတာဘေ့စ်အသစ်ကို အသုံးပြုနေကြောင်း သေချာစေရန် စစ်ဆေးမှုကို ထပ်မံလုပ်ဆောင်ပါ-
aide --check
အောက်ပါတို့ကို မြင်သင့်သည်-
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
ကျွန်ုပ်တို့သည် စစ်ဆေးမှုကို အလိုအလျောက်လုပ်ဆောင်ပါသည်။
AIDE စစ်ဆေးမှုကို နေ့စဉ်လုပ်ဆောင်ပြီး အစီရင်ခံစာကို ပေးပို့ခြင်းသည် ကောင်းသောအကြံဉာဏ်ဖြစ်သည်။ ဤလုပ်ငန်းစဉ်သည် cron ကိုအသုံးပြု၍ အလိုအလျောက်လုပ်ဆောင်နိုင်သည်။
nano /etc/crontab
AIDE စစ်ဆေးမှုကို နေ့စဉ် 10:15 တွင် လုပ်ဆောင်ရန်၊ ဖိုင်၏အဆုံးတွင် အောက်ပါစာကြောင်းကို ထည့်ပါ။
15 10 * * * root /usr/sbin/aide --check
AIDE သည် ယခု သင့်အား မေးလ်ဖြင့် အကြောင်းကြားပါမည်။ သင့်မေးလ်ကို အောက်ပါ command ဖြင့် စစ်ဆေးနိုင်ပါသည်။
tail -f /var/mail/root
AIDE မှတ်တမ်းကို အောက်ပါ command ဖြင့် ကြည့်ရှုနိုင်သည်-
tail -f /var/log/aide/aide.log
ကောက်ချက်
ဤဆောင်းပါးတွင်၊ ဖိုင်ပြောင်းလဲမှုများကို ရှာဖွေရန်နှင့် ခွင့်ပြုချက်မရှိဘဲ ဆာဗာဝင်ရောက်ခွင့်ကို ဖော်ထုတ်ရန် AIDE ကို အသုံးပြုနည်းကို သင်လေ့လာခဲ့သည်။ နောက်ထပ်ဆက်တင်များအတွက်၊ သင်သည် /etc/aide.conf ဖွဲ့စည်းမှုပုံစံဖိုင်ကို တည်းဖြတ်နိုင်သည်။ လုံခြုံရေးအရ၊ ဒေတာဘေ့စ်နှင့် ဖွဲ့စည်းမှုဖိုင်ကို ဖတ်သာမီဒီယာတွင် သိမ်းဆည်းရန် အကြံပြုထားသည်။ စာရွက်စာတမ်းများတွင် ပိုမိုသိရှိနိုင်သည်
source: www.habr.com