Voor aanvang van de cursus We hebben een vertaling van interessant materiaal voorbereid.
AIDE staat voor “Advanced Intruction Detection Environment” en is een van de meest populaire systemen voor het monitoren van veranderingen in Linux-gebaseerde besturingssystemen. AIDE wordt gebruikt om te beschermen tegen malware en virussen en om ongeoorloofde activiteiten te detecteren. Om de bestandsintegriteit te verifiëren en inbraken te detecteren, creëert AIDE een database met bestandsinformatie en vergelijkt de huidige status van het systeem met deze database. AIDE helpt de onderzoekstijd van incidenten te verkorten door zich te concentreren op bestanden die zijn gewijzigd.
AIDE-functies:
- Ondersteunt verschillende bestandskenmerken, waaronder: bestandstype, inode, uid, gid, machtigingen, aantal links, mtime, ctime en atime.
- Ondersteuning voor Gzip-compressie, SELinux, XAttrs, Posix ACL en bestandssysteemattributen.
- Ondersteunt verschillende algoritmen, waaronder md5, sha1, sha256, sha512, rmd160, crc32, enz.
- Het versturen van notificaties per e-mail.
In dit artikel bekijken we hoe u AIDE kunt installeren en gebruiken voor inbraakdetectie op CentOS 8.
Vereisten
- Server met CentOS 8, met minimaal 2 GB RAM.
- root-toegang
Aan de slag
Het wordt aanbevolen om het systeem eerst te updaten. Om dit te doen, voert u de volgende opdracht uit.
dnf update -yStart na het updaten uw systeem opnieuw op om de wijzigingen door te voeren.
AIDE installeren
AIDE is beschikbaar in de standaard CentOS 8-repository. U kunt het eenvoudig installeren door de volgende opdracht uit te voeren:
dnf install aide -yZodra de installatie is voltooid, kunt u de AIDE-versie bekijken met behulp van de volgende opdracht:
aide --versionJe zou het volgende moeten zien:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Beschikbare opties aide kan als volgt worden bekeken:
aide --help
Het maken en initialiseren van de database
Het eerste dat u moet doen nadat u AIDE hebt geïnstalleerd, is het initialiseren. Initialisatie bestaat uit het maken van een database (momentopname) van alle bestanden en mappen op de server.
Voer de volgende opdracht uit om de database te initialiseren:
aide --initJe zou het volgende moeten zien:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Met de bovenstaande opdracht wordt een nieuwe database gemaakt aide.db.new.gz in de catalogus /var/lib/aide. Het kan worden bekeken met behulp van de volgende opdracht:
ls -l /var/lib/aideResultaat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE zal dit nieuwe databasebestand pas gebruiken nadat het is hernoemd naar aide.db.gz. Dit kan als volgt worden gedaan:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzHet wordt aanbevolen om deze database regelmatig bij te werken om ervoor te zorgen dat wijzigingen goed worden gecontroleerd.
U kunt de locatie van de database wijzigen door de parameter te wijzigen DBDIR in bestand /etc/aide.conf.
Een controle uitvoeren
AIDE is nu klaar om de nieuwe database te gebruiken. Voer de eerste AIDE-controle uit zonder wijzigingen aan te brengen:
aide --checkHet voltooien van deze opdracht zal enige tijd duren, afhankelijk van de grootte van uw bestandssysteem en de hoeveelheid RAM op uw server. Zodra de scan is voltooid, ziet u het volgende:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!De bovenstaande uitvoer zegt dat alle bestanden en mappen overeenkomen met de AIDE-database.
AIDE testen
Standaard volgt AIDE de standaard Apache-hoofdmap niet /var/www/html. Laten we AIDE configureren om het te bekijken. Om dit te doen, moet u het bestand wijzigen /etc/aide.conf.
nano /etc/aide.conf
Bovenstaande regel toevoegen "/root/CONTENT_EX" het volgende:
/var/www/html/ CONTENT_EX
Maak vervolgens een bestand aide.txt in de catalogus /var/www/html/met behulp van de volgende opdracht:
echo "Test AIDE" > /var/www/html/aide.txtVoer nu de AIDE-controle uit en zorg ervoor dat het gemaakte bestand wordt gedetecteerd.
aide --checkJe zou het volgende moeten zien:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
We zien dat het gemaakte bestand wordt gedetecteerd aide.txt.
Na het analyseren van de gedetecteerde wijzigingen, werkt u de AIDE-database bij.
aide --updateNa de update zie je het volgende:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Met de bovenstaande opdracht wordt een nieuwe database gemaakt aide.db.new.gz in de catalogus
/var/lib/aide/Je kunt het zien met het volgende commando:
ls -l /var/lib/aide/Resultaat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzHernoem nu de nieuwe database opnieuw, zodat AIDE de nieuwe database gebruikt om verdere wijzigingen bij te houden. Je kunt de naam als volgt wijzigen:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzVoer de controle opnieuw uit om er zeker van te zijn dat AIDE de nieuwe database gebruikt:
aide --checkJe zou het volgende moeten zien:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Wij automatiseren de controle
Het is een goed idee om elke dag een AIDE-controle uit te voeren en het rapport op te sturen. Dit proces kan worden geautomatiseerd met behulp van cron.
nano /etc/crontabOm de AIDE-controle elke dag om 10:15 uit te voeren, voegt u de volgende regel toe aan het einde van het bestand:
15 10 * * * root /usr/sbin/aide --checkAIDE zal u nu per e-mail op de hoogte stellen. U kunt uw e-mail controleren met het volgende commando:
tail -f /var/mail/rootHet AIDE-logboek kan worden bekeken met behulp van de volgende opdracht:
tail -f /var/log/aide/aide.logConclusie
In dit artikel hebt u geleerd hoe u AIDE kunt gebruiken om bestandswijzigingen te detecteren en ongeautoriseerde servertoegang te identificeren. Voor aanvullende instellingen kunt u het configuratiebestand /etc/aide.conf bewerken. Om veiligheidsredenen wordt aanbevolen om de database en het configuratiebestand op alleen-lezen media op te slaan. Meer informatie vindt u in de documentatie .
Bron: www.habr.com