ProHoster > Log > administrasjon > Hvordan installere og bruke AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Hvordan installere og bruke AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Før kursstart "Linux-administrator" Vi har utarbeidet en oversettelse av interessant materiale.

Hvordan installere og bruke AIDE (Advanced Intrusion Detection Environment) på CentOS 8

AIDE står for "Advanced Intrusion Detection Environment" og er et av de mest populære systemene for å overvåke endringer i Linux-baserte operativsystemer. AIDE brukes til å beskytte mot skadelig programvare, virus og oppdage uautoriserte aktiviteter. For å verifisere filintegritet og oppdage inntrenging, oppretter AIDE en database med filinformasjon og sammenligner den nåværende tilstanden til systemet med denne databasen. AIDE bidrar til å redusere hendelsesundersøkelsestiden ved å fokusere på filer som har blitt endret.

AIDE-funksjoner:

  • Støtter ulike filattributter, inkludert: filtype, inode, uid, gid, tillatelser, antall lenker, mtime, ctime og atime.
  • Støtte for Gzip-komprimering, SELinux, XAttrs, Posix ACL og filsystemattributter.
  • Støtter ulike algoritmer inkludert md5, sha1, sha256, sha512, rmd160, crc32, etc.
  • Sende varsler på e-post.

I denne artikkelen skal vi se på hvordan du installerer og bruker AIDE for inntrengningsdeteksjon på CentOS 8.

Forutsetninger

  • Server som kjører CentOS 8, med minst 2 GB RAM.
  • rot tilgang

Komme i gang

Det anbefales å oppdatere systemet først. For å gjøre dette, kjør følgende kommando.

dnf update -y

Etter oppdatering starter du systemet på nytt for at endringene skal tre i kraft.

Installerer AIDE

AIDE er tilgjengelig i standard CentOS 8-lageret. Du kan enkelt installere det ved å kjøre følgende kommando:

dnf install aide -y

Når installasjonen er fullført, kan du se AIDE-versjonen ved å bruke følgende kommando:

aide --version

Du bør se følgende:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Tilgjengelige alternativer aide kan sees som følger:

aide --help

Hvordan installere og bruke AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Opprette og initialisere databasen

Det første du må gjøre etter å ha installert AIDE er å initialisere det. Initialisering består av å lage en database (snapshot) av alle filer og kataloger på serveren.

For å initialisere databasen, kjør følgende kommando:

aide --init

Du bør se følgende:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Kommandoen ovenfor vil opprette en ny database aide.db.new.gz i katalogen /var/lib/aide. Det kan sees ved hjelp av følgende kommando:

ls -l /var/lib/aide

Resultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE vil ikke bruke denne nye databasefilen før den er omdøpt til aide.db.gz. Dette kan gjøres som følger:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Det anbefales at du oppdaterer denne databasen med jevne mellomrom for å sikre at endringer overvåkes på riktig måte.

Du kan endre plasseringen av databasen ved å endre parameteren DBDIR i fil /etc/aide.conf.

Kjører en sjekk

AIDE er nå klar til å bruke den nye databasen. Kjør den første AIDE-kontrollen uten å gjøre noen endringer:

aide --check

Denne kommandoen vil ta litt tid å fullføre avhengig av størrelsen på filsystemet og mengden RAM på serveren. Når skanningen er fullført, bør du se følgende:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ovennevnte utgang sier at alle filer og kataloger samsvarer med AIDE-databasen.

Tester AIDE

Som standard sporer ikke AIDE standard Apache-rotkatalogen /var/www/html. La oss konfigurere AIDE for å se den. For å gjøre dette må du endre filen /etc/aide.conf.

nano /etc/aide.conf

Legg til over linjen "/root/CONTENT_EX" følgende:

/var/www/html/ CONTENT_EX

Deretter oppretter du en fil aide.txt i katalogen /var/www/html/ved å bruke følgende kommando:

echo "Test AIDE" > /var/www/html/aide.txt

Kjør nå AIDE-sjekken og sørg for at den opprettede filen blir oppdaget.

aide --check

Du bør se følgende:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vi ser at den opprettede filen blir oppdaget aide.txt.
Etter å ha analysert de oppdagede endringene, oppdater AIDE-databasen.

aide --update

Etter oppdateringen vil du se følgende:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kommandoen ovenfor vil opprette en ny database aide.db.new.gz i katalogen 

/var/lib/aide/

Du kan se det med følgende kommando:

ls -l /var/lib/aide/

Resultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Gi nytt navn til den nye databasen igjen slik at AIDE bruker den nye databasen til å spore ytterligere endringer. Du kan gi det nytt navn på følgende måte:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Kjør sjekken på nytt for å sikre at AIDE bruker den nye databasen:

aide --check

Du bør se følgende:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Vi automatiserer sjekken

Det er en god idé å kjøre en AIDE-sjekk hver dag og sende rapporten. Denne prosessen kan automatiseres ved hjelp av cron.

nano /etc/crontab

For å kjøre AIDE-sjekken hver dag klokken 10:15, legg til følgende linje på slutten av filen:

15 10 * * * root /usr/sbin/aide --check

AIDE vil nå varsle deg via post. Du kan sjekke e-posten din med følgende kommando:

tail -f /var/mail/root

AIDE-loggen kan vises ved å bruke følgende kommando:

tail -f /var/log/aide/aide.log

Konklusjon

I denne artikkelen lærte du hvordan du bruker AIDE til å oppdage filendringer og identifisere uautorisert servertilgang. For ytterligere innstillinger kan du redigere /etc/aide.conf konfigurasjonsfilen. Av sikkerhetsgrunner anbefales det å lagre databasen og konfigurasjonsfilen på skrivebeskyttede medier. Mer informasjon finnes i dokumentasjonen AIDE Dok.

Lær mer om kurset.

Kilde: www.habr.com

Legg til en kommentar