ProHoster > بلاګ > اداره > په CentOS 8 کې د AIDE (پرمختللي مداخلې کشف چاپیریال) څنګه نصب او وکاروئ

په CentOS 8 کې د AIDE (پرمختللي مداخلې کشف چاپیریال) څنګه نصب او وکاروئ

د کورس له پیل څخه مخکې "د لینکس مدیر" موږ د زړه پورې موادو ژباړه چمتو کړې ده.

په CentOS 8 کې د AIDE (پرمختللي مداخلې کشف چاپیریال) څنګه نصب او وکاروئ

AIDE د "پرمختللي مداخلې کشف چاپیریال" لپاره ولاړ دی او د لینکس میشته عملیاتي سیسټمونو کې د بدلونونو نظارت لپاره یو له خورا مشهور سیسټمونو څخه دی. AIDE د مالویر، ویروسونو په وړاندې د ساتنې او غیر مجاز فعالیتونو کشف کولو لپاره کارول کیږي. د فایل بشپړتیا تصدیق کولو او مداخلې موندلو لپاره، AIDE د فایل معلوماتو ډیټابیس رامینځته کوي او د سیسټم اوسنی حالت د دې ډیټابیس سره پرتله کوي. AIDE د هغو فایلونو په تمرکز کولو سره چې تعدیل شوي دي د پیښې تحقیقاتو وخت کمولو کې مرسته کوي.

د AIDE ځانګړتیاوې:

  • د مختلف فایل ځانګړتیاو ملاتړ کوي ، پشمول د فایل ډول ، inode ، uid ، gid ، اجازې ، د لینکونو شمیر ، mtime ، ctime او atime.
  • د Gzip کمپریشن، SELinux، XAttrs، Posix ACL او د فایل سیسټم ځانګړتیاو لپاره ملاتړ.
  • د مختلف الګوریتمونو ملاتړ کوي پشمول md5، sha1، sha256، sha512، rmd160، crc32، او داسې نور.
  • د بریښنالیک له لارې خبرتیاوې لیږل.

پدې مقاله کې ، موږ به وګورو چې څنګه په CentOS 8 کې د مداخلې کشف لپاره AIDE نصب او وکاروو.

شرطونه

  • سرور چې CentOS 8 چلوي، لږترلږه د 2 GB رام سره.
  • ريښي لاسرسی

پیل کول

دا سپارښتنه کیږي چې لومړی سیسټم تازه کړئ. د دې کولو لپاره، لاندې کمانډ چل کړئ.

dnf update -y

د تازه کولو وروسته، خپل سیسټم بیا پیل کړئ ترڅو بدلونونه اغیزمن شي.

د AIDE نصب کول

AIDE په ډیفالټ CentOS 8 ذخیره کې شتون لري. تاسو کولی شئ دا د لاندې کمانډ په چلولو سره په اسانۍ سره نصب کړئ:

dnf install aide -y

یوځل چې نصب بشپړ شي ، تاسو کولی شئ د لاندې کمانډ په کارولو سره د AIDE نسخه وګورئ:

aide --version

تاسو باید لاندې وګورئ:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

شته انتخابونه aide په لاندې ډول لیدل کیدی شي:

aide --help

په CentOS 8 کې د AIDE (پرمختللي مداخلې کشف چاپیریال) څنګه نصب او وکاروئ

د ډیټابیس جوړول او پیل کول

لومړی شی چې تاسو ورته اړتیا لرئ د AIDE نصبولو وروسته یې پیل کړئ. پیل کول په سرور کې د ټولو فایلونو او لارښودونو ډیټابیس (سنیپ شاټ) رامینځته کول دي.

د ډیټابیس پیل کولو لپاره، لاندې کمانډ چل کړئ:

aide --init

تاسو باید لاندې وګورئ:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

پورته کمانډ به یو نوی ډیټابیس رامینځته کړي aide.db.new.gz په کتالګو کې /var/lib/aide. دا د لاندې کمانډ په کارولو سره لیدل کیدی شي:

ls -l /var/lib/aide

پایلې:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE به دا نوی ډیټابیس فایل ونه کاروي تر څو چې نوم یې بدل شوی نه وي aide.db.gz. دا په لاندې ډول ترسره کیدی شي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

دا سپارښتنه کیږي چې تاسو دا ډیټابیس وخت په وخت تازه کړئ ترڅو ډاډ ترلاسه کړئ چې بدلونونه په سمه توګه څارل شوي.

تاسو کولی شئ د پیرامیټر بدلولو سره د ډیټابیس موقعیت بدل کړئ DBDIR په دوتنه کې /etc/aide.conf.

د چک چلول

AIDE اوس د نوي ډیټابیس کارولو لپاره چمتو دی. د AIDE لومړی چک پرته له کوم بدلون څخه پرمخ وړئ:

aide --check

دا کمانډ به ستاسو د فایل سیسټم اندازې او ستاسو په سرور کې د RAM مقدار پورې اړوند بشپړیدو لپاره یو څه وخت ونیسي. یوځل چې سکین بشپړ شي تاسو باید لاندې وګورئ:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

پورته محصول وايي چې ټولې فایلونه او لارښودونه د AIDE ډیټابیس سره سمون لري.

د AIDE ازموینه

په ډیفالټ ډول، AIDE د ډیفالټ اپاچي روټ لارښود نه تعقیبوي /var/www/html. راځئ چې د لیدلو لپاره AIDE تنظیم کړو. د دې کولو لپاره تاسو اړتیا لرئ فایل بدل کړئ /etc/aide.conf.

nano /etc/aide.conf

پورته کرښه اضافه کړئ "/root/CONTENT_EX" لاندې

/var/www/html/ CONTENT_EX

بیا، یو فایل جوړ کړئ aide.txt په کتالګو کې /var/www/html/د لاندې کمانډ په کارولو سره:

echo "Test AIDE" > /var/www/html/aide.txt

اوس د AIDE چیک پرمخ وړئ او ډاډ ترلاسه کړئ چې رامینځته شوی فایل کشف شوی.

aide --check

تاسو باید لاندې وګورئ:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

موږ ګورو چې رامینځته شوی فایل کشف شوی aide.txt.
د کشف شوي بدلونونو تحلیل وروسته، د AIDE ډیټابیس تازه کړئ.

aide --update

د تازه کولو وروسته تاسو به لاندې وګورئ:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

پورته کمانډ به یو نوی ډیټابیس رامینځته کړي aide.db.new.gz په کتالګو کې 

/var/lib/aide/

تاسو کولی شئ دا د لاندې کمانډ سره وګورئ:

ls -l /var/lib/aide/

پایلې:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

اوس د نوي ډیټابیس نوم بدل کړئ ترڅو AIDE د نورو بدلونونو تعقیب لپاره نوي ډیټابیس کاروي. تاسو کولی شئ دا په لاندې ډول بدل کړئ:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

چک بیا پیل کړئ ترڅو ډاډ ترلاسه کړئ چې AIDE نوی ډیټابیس کاروي:

aide --check

تاسو باید لاندې وګورئ:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

موږ چک اتومات کوو

دا یو ښه نظر دی چې هره ورځ د AIDE چیک ترسره کړئ او راپور واستوئ. دا پروسه د کرون په کارولو سره اتومات کیدی شي.

nano /etc/crontab

د AIDE چیک چلولو لپاره هره ورځ په 10:15 کې، لاندې کرښه د فایل پای ته اضافه کړئ:

15 10 * * * root /usr/sbin/aide --check

AIDE به اوس تاسو ته د بریښنالیک له لارې خبر درکړي. تاسو کولی شئ خپل بریښنالیک د لاندې کمانډ سره چیک کړئ:

tail -f /var/mail/root

د AIDE لاګ د لاندې کمانډ په کارولو سره لیدل کیدی شي:

tail -f /var/log/aide/aide.log

پایلې

پدې مقاله کې ، تاسو د فایل بدلونونو موندلو او غیر مجاز سرور لاسرسي پیژندلو لپاره د AIDE کارولو څرنګوالی زده کړل. د اضافي ترتیباتو لپاره، تاسو کولی شئ د /etc/aide.conf ترتیب کولو فایل ترمیم کړئ. د امنیتي دلایلو لپاره، دا سپارښتنه کیږي چې د ډیټابیس او ترتیب کولو فایل په یوازې لوستلو رسنیو کې ذخیره کړئ. نور معلومات په اسنادو کې موندل کیدی شي AIDE Doc.

د کورس په اړه نور معلومات ترلاسه کړئ.

سرچینه: www.habr.com

Add a comment