پرو هوسٽر > بلاگ > انتظاميه > CentOS 8 تي AIDE (Advanced Intrusion Detection Environment) ڪيئن انسٽال ڪجي ۽ استعمال ڪجي

CentOS 8 تي AIDE (Advanced Intrusion Detection Environment) ڪيئن انسٽال ڪجي ۽ استعمال ڪجي

ڪورس جي شروعات کان اڳ "لينڪس ايڊمنسٽريٽر" اسان دلچسپ مواد جو ترجمو تيار ڪيو آهي.

CentOS 8 تي AIDE (Advanced Intrusion Detection Environment) ڪيئن انسٽال ڪجي ۽ استعمال ڪجي

AIDE جو مطلب آهي "اعلي مداخلت جي چڪاس ماحول" ۽ لينڪس-بنياد آپريٽنگ سسٽم ۾ تبديلين جي نگراني لاءِ مشهور ترين سسٽم مان هڪ آهي. AIDE مالويئر، وائرس جي خلاف حفاظت ڪرڻ ۽ غير مجاز سرگرمين کي ڳولڻ لاء استعمال ڪيو ويندو آهي. فائل جي سالميت جي تصديق ڪرڻ ۽ مداخلت کي ڳولڻ لاء، AIDE فائل جي معلومات جو هڪ ڊيٽابيس ٺاهي ٿو ۽ سسٽم جي موجوده حالت کي هن ڊيٽابيس سان موازنہ ڪري ٿو. AIDE تبديل ٿيل فائلن تي ڌيان ڏيڻ سان واقعن جي تحقيقات جي وقت کي گھٽائڻ ۾ مدد ڪري ٿي.

AIDE خاصيتون:

  • مختلف فائلن جي خاصيتن کي سپورٽ ڪري ٿو، جنهن ۾ شامل آهن: فائل جو قسم، انوڊ، uid، gid، اجازتون، لنڪ جو تعداد، mtime، ctime ۽ atime.
  • Gzip ڪمپريشن، SELinux، XAttrs، Posix ACL ۽ فائل سسٽم خاصيتون لاء سپورٽ.
  • md5، sha1، sha256، sha512، rmd160، crc32 وغيره سميت مختلف الگورتھم کي سپورٽ ڪري ٿو.
  • اي ميل ذريعي اطلاع موڪلڻ.

هن آرٽيڪل ۾، اسان ڏسندا سين ته ڪيئن انسٽال ڪيو ۽ استعمال ڪيو AIDE CentOS 8 تي مداخلت جي ڳولا لاءِ.

شرطون

  • سرور هلائيندڙ CentOS 8، گهٽ ۾ گهٽ 2 GB جي رام سان.
  • روٽ رسائي

شروع ڪريو

اهو پهريون ڀيرو سسٽم کي اپڊيٽ ڪرڻ جي صلاح ڏني وئي آهي. هن کي ڪرڻ لاء، هيٺ ڏنل حڪم هلائي.

dnf update -y

اپڊيٽ ڪرڻ کان پوء، تبديلين کي اثر انداز ڪرڻ لاء توهان جي سسٽم کي ٻيهر شروع ڪريو.

AIDE انسٽال ڪرڻ

AIDE ڊفالٽ CentOS 8 مخزن ۾ موجود آهي. توهان آساني سان انسٽال ڪري سگهو ٿا هيٺ ڏنل حڪم هلائڻ سان:

dnf install aide -y

هڪ دفعو انسٽاليشن مڪمل ٿي وئي آهي، توهان هيٺ ڏنل حڪم استعمال ڪندي AIDE ورجن ڏسي سگهو ٿا:

aide --version

توھان کي ھيٺ ڏنل ڏسڻ گھرجي:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

دستياب اختيارن aide هن ريت ڏسي سگهجي ٿو:

aide --help

CentOS 8 تي AIDE (Advanced Intrusion Detection Environment) ڪيئن انسٽال ڪجي ۽ استعمال ڪجي

ڊيٽابيس ٺاهڻ ۽ شروعات ڪرڻ

AIDE کي انسٽال ڪرڻ کان پوءِ توهان کي پهرين شيءِ جي ضرورت آهي ان کي شروع ڪرڻ. شروعات ۾ سرور تي سڀني فائلن ۽ ڊائريڪٽرن جو ڊيٽابيس (سنيپ شاٽ) ٺاهڻ تي مشتمل آهي.

ڊيٽابيس کي شروع ڪرڻ لاء، ھيٺ ڏنل حڪم جاري ڪريو:

aide --init

توھان کي ھيٺ ڏنل ڏسڻ گھرجي:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

مٿي ڏنل حڪم هڪ نئون ڊيٽابيس ٺاهيندو aide.db.new.gz فهرست ۾ /var/lib/aide. اهو هيٺ ڏنل حڪم استعمال ڪندي ڏسي سگهجي ٿو:

ls -l /var/lib/aide

نتيجو

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE هن نئين ڊيٽابيس فائل کي استعمال نه ڪندي جيستائين ان جو نالو تبديل نه ڪيو وڃي aide.db.gz. اهو هن ريت ڪري سگهجي ٿو:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

اها صلاح ڏني وئي آهي ته توهان هن ڊيٽابيس کي وقتي طور تي اپڊيٽ ڪيو انهي کي يقيني بڻائڻ لاءِ ته تبديلين جي صحيح نگراني ڪئي وئي آهي.

توھان ڊيٽابيس جي جڳھ کي تبديل ڪري سگھو ٿا پيٽرول تبديل ڪندي DBDIR فائل ۾ /etc/aide.conf.

هڪ اسڪين هلائڻ

AIDE ھاڻي نئون ڊيٽابيس استعمال ڪرڻ لاءِ تيار آھي. بغير ڪنهن تبديلي جي پهرين AIDE چيڪ کي هلايو:

aide --check

هي حڪم مڪمل ٿيڻ ۾ ڪجهه وقت وٺندو توهان جي فائل سسٽم جي سائيز ۽ توهان جي سرور تي رام جي مقدار جي لحاظ سان. هڪ دفعو اسڪين مڪمل ٿيڻ بعد توهان کي هيٺ ڏنل ڏسڻ گهرجي:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

مٿين ٻاھرين جو چوڻ آھي ته سڀئي فائلون ۽ ڊائريڪٽريون AIDE ڊيٽابيس سان ملن ٿيون.

ٽيسٽنگ AIDE

ڊفالٽ طور، AIDE ڊفالٽ Apache روٽ ڊاريڪٽري کي ٽريڪ نٿو ڪري /var/www/html. اچو ته ان کي ڏسڻ لاءِ AIDE کي ترتيب ڏيو. هن کي ڪرڻ لاء توهان کي فائل کي تبديل ڪرڻ جي ضرورت آهي /etc/aide.conf.

nano /etc/aide.conf

مٿين لائن شامل ڪريو "/root/CONTENT_EX" هيٺين ريت

/var/www/html/ CONTENT_EX

اڳيون، هڪ فائل ٺاهيو aide.txt فهرست ۾ /var/www/html/هيٺ ڏنل حڪم استعمال ڪندي:

echo "Test AIDE" > /var/www/html/aide.txt

ھاڻي AIDE چيڪ ڪريو ۽ پڪ ڪريو ته ٺاھيل فائل ڳولي وئي آھي.

aide --check

توھان کي ھيٺ ڏنل ڏسڻ گھرجي:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

اسان ڏسون ٿا ته ٺهيل فائل ڳولي وئي آهي aide.txt.
معلوم ڪيل تبديلين جو تجزيو ڪرڻ کان پوء، AIDE ڊيٽابيس کي اپڊيٽ ڪريو.

aide --update

تازه ڪاري کان پوء توھان ھيٺ ڏنل ڏسندا:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

مٿي ڏنل حڪم هڪ نئون ڊيٽابيس ٺاهيندو aide.db.new.gz فهرست ۾ 

/var/lib/aide/

توھان ان کي ھيٺ ڏنل حڪم سان ڏسي سگھو ٿا:

ls -l /var/lib/aide/

نتيجو

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

ھاڻي نئين ڊيٽابيس جو نالو مٽايو ته جيئن AIDE نئين ڊيٽابيس کي وڌيڪ تبديلين کي ٽريڪ ڪرڻ لاء استعمال ڪري. توھان ھيٺ ڏنل نالو تبديل ڪري سگھو ٿا:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

چيڪ کي ٻيهر هلايو انهي کي يقيني بڻائڻ لاءِ ته AIDE نئون ڊيٽابيس استعمال ڪري رهيو آهي:

aide --check

توھان کي ھيٺ ڏنل ڏسڻ گھرجي:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

اسان چيڪ کي خودڪار ڪريون ٿا

اهو هڪ سٺو خيال آهي ته هر روز AIDE چيڪ کي هلائڻ ۽ رپورٽ کي ميل ڪريو. اهو عمل خودڪار ٿي سگهي ٿو cron استعمال ڪندي.

nano /etc/crontab

AIDE کي هلائڻ لاءِ هر روز 10:15 تي چيڪ ڪريو، فائل جي آخر ۾ ھيٺيون لائين شامل ڪريو:

15 10 * * * root /usr/sbin/aide --check

AIDE ھاڻي توھان کي ميل ذريعي اطلاع ڏيندو. توھان ھيٺ ڏنل حڪم سان پنھنجي ميل چيڪ ڪري سگھو ٿا:

tail -f /var/mail/root

AIDE لاگ ھيٺ ڏنل حڪم استعمال ڪندي ڏسي سگھجي ٿو:

tail -f /var/log/aide/aide.log

ٿڪل

هن آرٽيڪل ۾، توهان سکيو ته ڪيئن استعمال ڪجي AIDE فائل تبديلين کي ڳولڻ ۽ غير مجاز سرور جي رسائي جي سڃاڻپ ڪرڻ لاء. اضافي سيٽنگن لاءِ، توھان ايڊٽ ڪري سگھوٿا /etc/aide.conf ٺاھ جوڙ واري فائيل. سيڪيورٽي سببن لاء، اها سفارش ڪئي وئي آهي ته ڊيٽابيس ۽ ترتيب واري فائل کي صرف پڙهڻ لاء ميڊيا تي ذخيرو ڪريو. وڌيڪ معلومات ملي ڪري سگهجي ٿو دستاويز ۾ AIDE ڊاڪٽر.

ڪورس بابت وڌيڪ ڄاڻو.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو