د کورس له پیل څخه مخکې
AIDE د "پرمختللي مداخلې کشف چاپیریال" لپاره ولاړ دی او د لینکس میشته عملیاتي سیسټمونو کې د بدلونونو نظارت لپاره یو له خورا مشهور سیسټمونو څخه دی. AIDE د مالویر، ویروسونو په وړاندې د ساتنې او غیر مجاز فعالیتونو کشف کولو لپاره کارول کیږي. د فایل بشپړتیا تصدیق کولو او مداخلې موندلو لپاره، AIDE د فایل معلوماتو ډیټابیس رامینځته کوي او د سیسټم اوسنی حالت د دې ډیټابیس سره پرتله کوي. AIDE د هغو فایلونو په تمرکز کولو سره چې تعدیل شوي دي د پیښې تحقیقاتو وخت کمولو کې مرسته کوي.
د AIDE ځانګړتیاوې:
- د مختلف فایل ځانګړتیاو ملاتړ کوي ، پشمول د فایل ډول ، inode ، uid ، gid ، اجازې ، د لینکونو شمیر ، mtime ، ctime او atime.
- د Gzip کمپریشن، SELinux، XAttrs، Posix ACL او د فایل سیسټم ځانګړتیاو لپاره ملاتړ.
- د مختلف الګوریتمونو ملاتړ کوي پشمول md5، sha1، sha256، sha512، rmd160، crc32، او داسې نور.
- د بریښنالیک له لارې خبرتیاوې لیږل.
پدې مقاله کې ، موږ به وګورو چې څنګه په CentOS 8 کې د مداخلې کشف لپاره AIDE نصب او وکاروو.
شرطونه
- سرور چې CentOS 8 چلوي، لږترلږه د 2 GB رام سره.
- ريښي لاسرسی
پیل کول
دا سپارښتنه کیږي چې لومړی سیسټم تازه کړئ. د دې کولو لپاره، لاندې کمانډ چل کړئ.
dnf update -y
د تازه کولو وروسته، خپل سیسټم بیا پیل کړئ ترڅو بدلونونه اغیزمن شي.
د AIDE نصب کول
AIDE په ډیفالټ CentOS 8 ذخیره کې شتون لري. تاسو کولی شئ دا د لاندې کمانډ په چلولو سره په اسانۍ سره نصب کړئ:
dnf install aide -y
یوځل چې نصب بشپړ شي ، تاسو کولی شئ د لاندې کمانډ په کارولو سره د AIDE نسخه وګورئ:
aide --version
تاسو باید لاندې وګورئ:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
شته انتخابونه aide
په لاندې ډول لیدل کیدی شي:
aide --help
د ډیټابیس جوړول او پیل کول
لومړی شی چې تاسو ورته اړتیا لرئ د AIDE نصبولو وروسته یې پیل کړئ. پیل کول په سرور کې د ټولو فایلونو او لارښودونو ډیټابیس (سنیپ شاټ) رامینځته کول دي.
د ډیټابیس پیل کولو لپاره، لاندې کمانډ چل کړئ:
aide --init
تاسو باید لاندې وګورئ:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
پورته کمانډ به یو نوی ډیټابیس رامینځته کړي aide.db.new.gz
په کتالګو کې /var/lib/aide
. دا د لاندې کمانډ په کارولو سره لیدل کیدی شي:
ls -l /var/lib/aide
پایلې:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE به دا نوی ډیټابیس فایل ونه کاروي تر څو چې نوم یې بدل شوی نه وي aide.db.gz
. دا په لاندې ډول ترسره کیدی شي:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
دا سپارښتنه کیږي چې تاسو دا ډیټابیس وخت په وخت تازه کړئ ترڅو ډاډ ترلاسه کړئ چې بدلونونه په سمه توګه څارل شوي.
تاسو کولی شئ د پیرامیټر بدلولو سره د ډیټابیس موقعیت بدل کړئ DBDIR
په دوتنه کې /etc/aide.conf
.
د چک چلول
AIDE اوس د نوي ډیټابیس کارولو لپاره چمتو دی. د AIDE لومړی چک پرته له کوم بدلون څخه پرمخ وړئ:
aide --check
دا کمانډ به ستاسو د فایل سیسټم اندازې او ستاسو په سرور کې د RAM مقدار پورې اړوند بشپړیدو لپاره یو څه وخت ونیسي. یوځل چې سکین بشپړ شي تاسو باید لاندې وګورئ:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
پورته محصول وايي چې ټولې فایلونه او لارښودونه د AIDE ډیټابیس سره سمون لري.
د AIDE ازموینه
په ډیفالټ ډول، AIDE د ډیفالټ اپاچي روټ لارښود نه تعقیبوي /var/www/html.
راځئ چې د لیدلو لپاره AIDE تنظیم کړو. د دې کولو لپاره تاسو اړتیا لرئ فایل بدل کړئ /etc/aide.conf
.
nano /etc/aide.conf
پورته کرښه اضافه کړئ "/root/CONTENT_EX"
لاندې
/var/www/html/ CONTENT_EX
بیا، یو فایل جوړ کړئ aide.txt
په کتالګو کې /var/www/html/
د لاندې کمانډ په کارولو سره:
echo "Test AIDE" > /var/www/html/aide.txt
اوس د AIDE چیک پرمخ وړئ او ډاډ ترلاسه کړئ چې رامینځته شوی فایل کشف شوی.
aide --check
تاسو باید لاندې وګورئ:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
موږ ګورو چې رامینځته شوی فایل کشف شوی aide.txt
.
د کشف شوي بدلونونو تحلیل وروسته، د AIDE ډیټابیس تازه کړئ.
aide --update
د تازه کولو وروسته تاسو به لاندې وګورئ:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
پورته کمانډ به یو نوی ډیټابیس رامینځته کړي aide.db.new.gz
په کتالګو کې
/var/lib/aide/
تاسو کولی شئ دا د لاندې کمانډ سره وګورئ:
ls -l /var/lib/aide/
پایلې:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
اوس د نوي ډیټابیس نوم بدل کړئ ترڅو AIDE د نورو بدلونونو تعقیب لپاره نوي ډیټابیس کاروي. تاسو کولی شئ دا په لاندې ډول بدل کړئ:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
چک بیا پیل کړئ ترڅو ډاډ ترلاسه کړئ چې AIDE نوی ډیټابیس کاروي:
aide --check
تاسو باید لاندې وګورئ:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
موږ چک اتومات کوو
دا یو ښه نظر دی چې هره ورځ د AIDE چیک ترسره کړئ او راپور واستوئ. دا پروسه د کرون په کارولو سره اتومات کیدی شي.
nano /etc/crontab
د AIDE چیک چلولو لپاره هره ورځ په 10:15 کې، لاندې کرښه د فایل پای ته اضافه کړئ:
15 10 * * * root /usr/sbin/aide --check
AIDE به اوس تاسو ته د بریښنالیک له لارې خبر درکړي. تاسو کولی شئ خپل بریښنالیک د لاندې کمانډ سره چیک کړئ:
tail -f /var/mail/root
د AIDE لاګ د لاندې کمانډ په کارولو سره لیدل کیدی شي:
tail -f /var/log/aide/aide.log
پایلې
پدې مقاله کې ، تاسو د فایل بدلونونو موندلو او غیر مجاز سرور لاسرسي پیژندلو لپاره د AIDE کارولو څرنګوالی زده کړل. د اضافي ترتیباتو لپاره، تاسو کولی شئ د /etc/aide.conf ترتیب کولو فایل ترمیم کړئ. د امنیتي دلایلو لپاره، دا سپارښتنه کیږي چې د ډیټابیس او ترتیب کولو فایل په یوازې لوستلو رسنیو کې ذخیره کړئ. نور معلومات په اسنادو کې موندل کیدی شي
سرچینه: www.habr.com