පාඨමාලාව ආරම්භ කිරීමට පෙර
AIDE යනු "Advanced Intrusion Detection Environment" යන්නයි අනිෂ්ට මෘදුකාංග, වෛරස් වලින් ආරක්ෂා වීමට සහ අනවසර ක්රියාකාරකම් හඳුනා ගැනීමට AIDE භාවිතා කරයි. ගොනු අඛණ්ඩතාව තහවුරු කිරීමට සහ ආක්රමණයන් හඳුනා ගැනීමට, AIDE විසින් ගොනු තොරතුරු දත්ත සමුදායක් නිර්මාණය කරන අතර මෙම දත්ත සමුදාය සමඟ පද්ධතියේ වත්මන් තත්ත්වය සංසන්දනය කරයි. AIDE නවීකරණය කරන ලද ගොනු වෙත අවධානය යොමු කිරීමෙන් සිදුවීම් විමර්ශන කාලය අඩු කිරීමට උපකාරී වේ.
AIDE විශේෂාංග:
- ගොනු වර්ගය, inode, uid, gid, අවසරයන්, සබැඳි ගණන, mtime, ctime සහ atime ඇතුළුව විවිධ ගොනු ගුණාංග සඳහා සහය දක්වයි.
- Gzip සම්පීඩනය, SELinux, XAttrs, Posix ACL සහ ගොනු පද්ධති ගුණාංග සඳහා සහාය.
- md5, sha1, sha256, sha512, rmd160, crc32, ඇතුළු විවිධ ඇල්ගොරිතම සඳහා සහය දක්වයි.
- විද්යුත් තැපෑලෙන් දැනුම්දීම් යැවීම.
මෙම ලිපියෙන්, අපි CentOS 8 හි ආක්රමණය හඳුනාගැනීම සඳහා AIDE ස්ථාපනය කර භාවිතා කරන්නේ කෙසේදැයි බලමු.
පූර්වාවශ්යතාවයන්
- අවම වශයෙන් 8 GB RAM සහිත, CentOS 2 ධාවනය වන සේවාදායකය.
- මූල ප්රවේශය
ආරම්භ කිරීම
මුලින්ම පද්ධතිය යාවත්කාලීන කිරීම රෙකමදාරු කරනු ලැබේ. මෙය සිදු කිරීම සඳහා පහත විධානය ක්රියාත්මක කරන්න.
dnf update -y
යාවත්කාලීන කිරීමෙන් පසුව, වෙනස්කම් බලාත්මක වීමට ඔබේ පද්ධතිය නැවත ආරම්භ කරන්න.
AIDE ස්ථාපනය කිරීම
AIDE පෙරනිමි CentOS 8 ගබඩාවේ ඇත. පහත විධානය ක්රියාත්මක කිරීමෙන් ඔබට එය පහසුවෙන් ස්ථාපනය කළ හැක:
dnf install aide -y
ස්ථාපනය අවසන් වූ පසු, ඔබට පහත විධානය භාවිතයෙන් AIDE අනුවාදය නැරඹිය හැක:
aide --version
ඔබ පහත සඳහන් දෑ දැකිය යුතුය:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
පවතින විකල්ප aide
පහත පරිදි නැරඹිය හැකිය:
aide --help
දත්ත සමුදාය නිර්මාණය කිරීම සහ ආරම්භ කිරීම
AIDE ස්ථාපනය කිරීමෙන් පසු ඔබ කළ යුතු පළමු දෙය නම් එය ආරම්භ කිරීමයි. ආරම්භ කිරීම සමන්විත වන්නේ සේවාදායකයේ ඇති සියලුම ගොනු සහ නාමාවලි වල දත්ත සමුදායක් (snapshot) නිර්මාණය කිරීමෙනි.
දත්ත සමුදාය ආරම්භ කිරීම සඳහා, පහත විධානය ක්රියාත්මක කරන්න:
aide --init
ඔබ පහත සඳහන් දෑ දැකිය යුතුය:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
ඉහත විධානය මඟින් නව දත්ත සමුදායක් සාදනු ඇත aide.db.new.gz
නාමාවලියෙහි /var/lib/aide
. පහත දැක්වෙන විධානය භාවිතයෙන් එය දැකිය හැකිය:
ls -l /var/lib/aide
ප්රතිඵලය:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
එය නැවත නම් කරන තුරු AIDE මෙම නව දත්ත සමුදා ගොනුව භාවිතා නොකරනු ඇත aide.db.gz
. මෙය පහත පරිදි කළ හැකිය:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
වෙනස්කම් නිවැරදිව නිරීක්ෂණය කිරීම සහතික කිරීම සඳහා ඔබ මෙම දත්ත සමුදාය වරින් වර යාවත්කාලීන කිරීම නිර්දේශ කෙරේ.
පරාමිතිය වෙනස් කිරීමෙන් ඔබට දත්ත සමුදායේ පිහිටීම වෙනස් කළ හැකිය DBDIR
ගොනුවේ /etc/aide.conf
.
ස්කෑන් පරීක්ෂණයක් ධාවනය කිරීම
AIDE දැන් නව දත්ත සමුදාය භාවිතා කිරීමට සූදානම්ය. කිසිදු වෙනසක් නොකර පළමු AIDE චෙක්පත ධාවනය කරන්න:
aide --check
ඔබගේ ගොනු පද්ධතියේ ප්රමාණය සහ ඔබගේ සේවාදායකයේ ඇති RAM ප්රමාණය අනුව මෙම විධානය සම්පූර්ණ වීමට යම් කාලයක් ගතවනු ඇත. ස්කෑන් කිරීම අවසන් වූ පසු ඔබට පහත දෑ දැකිය යුතුය:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
ඉහත ප්රතිදානය පවසන්නේ සියලුම ගොනු සහ නාමාවලි AIDE දත්ත ගබඩාවට ගැලපෙන බවයි.
AIDE පරීක්ෂා කිරීම
පෙරනිමියෙන්, AIDE පෙරනිමි Apache මූල නාමාවලිය නිරීක්ෂණය නොකරයි /var/www/html.
එය බැලීමට AIDE වින්යාස කරමු. මෙය සිදු කිරීම සඳහා, ඔබ ගොනුව වෙනස් කළ යුතුය /etc/aide.conf
.
nano /etc/aide.conf
ඉහත පේළිය එක් කරන්න "/root/CONTENT_EX"
පහත සඳහන් දෑ:
/var/www/html/ CONTENT_EX
ඊළඟට, ගොනුවක් සාදන්න aide.txt
නාමාවලියෙහි /var/www/html/
පහත විධානය භාවිතා කරමින්:
echo "Test AIDE" > /var/www/html/aide.txt
දැන් AIDE චෙක්පත ධාවනය කර සාදන ලද ගොනුව හඳුනාගෙන ඇති බවට වග බලා ගන්න.
aide --check
ඔබ පහත සඳහන් දෑ දැකිය යුතුය:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
සාදන ලද ගොනුව හඳුනාගෙන ඇති බව අපට පෙනේ aide.txt
.
අනාවරණය කරගත් වෙනස්කම් විශ්ලේෂණය කිරීමෙන් පසුව, AIDE දත්ත සමුදාය යාවත්කාලීන කරන්න.
aide --update
යාවත්කාලීන කිරීමෙන් පසු ඔබට පහත දේ පෙනෙනු ඇත:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
ඉහත විධානය මඟින් නව දත්ත සමුදායක් සාදනු ඇත aide.db.new.gz
නාමාවලියෙහි
/var/lib/aide/
පහත දැක්වෙන විධානය සමඟ ඔබට එය දැකිය හැකිය:
ls -l /var/lib/aide/
ප්රතිඵලය:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
දැන් නව දත්ත සමුදාය නැවත නම් කරන්න එවිට AIDE නව දත්ත සමුදාය වැඩිදුර වෙනස්කම් නිරීක්ෂණය කිරීමට භාවිතා කරයි. ඔබට එය පහත පරිදි නැවත නම් කළ හැකිය:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE නව දත්ත සමුදාය භාවිතා කරන බව සහතික කර ගැනීමට චෙක්පත නැවත ධාවනය කරන්න:
aide --check
ඔබ පහත සඳහන් දෑ දැකිය යුතුය:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
අපි චෙක්පත ස්වයංක්රීය කරමු
සෑම දිනකම AIDE චෙක්පතක් පවත්වා වාර්තාව තැපැල් කිරීම හොඳ අදහසකි. මෙම ක්රියාවලිය ක්රෝන් භාවිතයෙන් ස්වයංක්රීය කළ හැක.
nano /etc/crontab
AIDE චෙක්පත සෑම දිනකම 10:15 ට ධාවනය කිරීමට, ගොනුවේ අවසානයට පහත පේළිය එක් කරන්න:
15 10 * * * root /usr/sbin/aide --check
AIDE දැන් ඔබට තැපෑලෙන් දැනුම් දෙනු ඇත. පහත දැක්වෙන විධානය සමඟ ඔබට ඔබගේ තැපැල් පරීක්ෂා කළ හැක:
tail -f /var/mail/root
AIDE ලොගය පහත විධානය භාවිතයෙන් නැරඹිය හැක:
tail -f /var/log/aide/aide.log
නිගමනය
මෙම ලිපියෙන්, ගොනු වෙනස්කම් හඳුනා ගැනීමට සහ අනවසර සේවාදායක ප්රවේශය හඳුනා ගැනීමට AIDE භාවිතා කරන්නේ කෙසේදැයි ඔබ ඉගෙන ගත්තේය. අමතර සැකසුම් සඳහා, ඔබට /etc/aide.conf වින්යාස ගොනුව සංස්කරණය කළ හැක. ආරක්ෂක හේතූන් මත, දත්ත සමුදාය සහ වින්යාස ගොනුව කියවීමට පමණක් මාධ්යයේ ගබඩා කිරීම නිර්දේශ කෙරේ. වැඩි විස්තර ලේඛනයෙන් සොයාගත හැකිය
මූලාශ්රය: www.habr.com