ProHoster > බ්ලොග් > පරිපාලනය > CentOS 8 හි AIDE (උසස් ආක්‍රමණය හඳුනාගැනීමේ පරිසරය) ස්ථාපනය කර භාවිතා කරන්නේ කෙසේද?

CentOS 8 හි AIDE (උසස් ආක්‍රමණය හඳුනාගැනීමේ පරිසරය) ස්ථාපනය කර භාවිතා කරන්නේ කෙසේද?

පාඨමාලාව ආරම්භ කිරීමට පෙර "ලිනක්ස් පරිපාලක" අපි රසවත් ද්රව්ය පරිවර්තනයක් සකස් කර ඇත.

CentOS 8 හි AIDE (උසස් ආක්‍රමණය හඳුනාගැනීමේ පරිසරය) ස්ථාපනය කර භාවිතා කරන්නේ කෙසේද?

AIDE යනු "Advanced Intrusion Detection Environment" යන්නයි අනිෂ්ට මෘදුකාංග, වෛරස් වලින් ආරක්ෂා වීමට සහ අනවසර ක්‍රියාකාරකම් හඳුනා ගැනීමට AIDE භාවිතා කරයි. ගොනු අඛණ්ඩතාව තහවුරු කිරීමට සහ ආක්‍රමණයන් හඳුනා ගැනීමට, AIDE විසින් ගොනු තොරතුරු දත්ත සමුදායක් නිර්මාණය කරන අතර මෙම දත්ත සමුදාය සමඟ පද්ධතියේ වත්මන් තත්ත්වය සංසන්දනය කරයි. AIDE නවීකරණය කරන ලද ගොනු වෙත අවධානය යොමු කිරීමෙන් සිදුවීම් විමර්ශන කාලය අඩු කිරීමට උපකාරී වේ.

AIDE විශේෂාංග:

  • ගොනු වර්ගය, inode, uid, gid, අවසරයන්, සබැඳි ගණන, mtime, ctime සහ atime ඇතුළුව විවිධ ගොනු ගුණාංග සඳහා සහය දක්වයි.
  • Gzip සම්පීඩනය, SELinux, XAttrs, Posix ACL සහ ගොනු පද්ධති ගුණාංග සඳහා සහාය.
  • md5, sha1, sha256, sha512, rmd160, crc32, ඇතුළු විවිධ ඇල්ගොරිතම සඳහා සහය දක්වයි.
  • විද්‍යුත් තැපෑලෙන් දැනුම්දීම් යැවීම.

මෙම ලිපියෙන්, අපි CentOS 8 හි ආක්‍රමණය හඳුනාගැනීම සඳහා AIDE ස්ථාපනය කර භාවිතා කරන්නේ කෙසේදැයි බලමු.

පූර්වාවශ්යතාවයන්

  • අවම වශයෙන් 8 GB RAM සහිත, CentOS 2 ධාවනය වන සේවාදායකය.
  • මූල ප්රවේශය

ආරම්භ කිරීම

මුලින්ම පද්ධතිය යාවත්කාලීන කිරීම රෙකමදාරු කරනු ලැබේ. මෙය සිදු කිරීම සඳහා පහත විධානය ක්‍රියාත්මක කරන්න.

dnf update -y

යාවත්කාලීන කිරීමෙන් පසුව, වෙනස්කම් බලාත්මක වීමට ඔබේ පද්ධතිය නැවත ආරම්භ කරන්න.

AIDE ස්ථාපනය කිරීම

AIDE පෙරනිමි CentOS 8 ගබඩාවේ ඇත. පහත විධානය ක්‍රියාත්මක කිරීමෙන් ඔබට එය පහසුවෙන් ස්ථාපනය කළ හැක:

dnf install aide -y

ස්ථාපනය අවසන් වූ පසු, ඔබට පහත විධානය භාවිතයෙන් AIDE අනුවාදය නැරඹිය හැක:

aide --version

ඔබ පහත සඳහන් දෑ දැකිය යුතුය:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

පවතින විකල්ප aide පහත පරිදි නැරඹිය හැකිය:

aide --help

CentOS 8 හි AIDE (උසස් ආක්‍රමණය හඳුනාගැනීමේ පරිසරය) ස්ථාපනය කර භාවිතා කරන්නේ කෙසේද?

දත්ත සමුදාය නිර්මාණය කිරීම සහ ආරම්භ කිරීම

AIDE ස්ථාපනය කිරීමෙන් පසු ඔබ කළ යුතු පළමු දෙය නම් එය ආරම්භ කිරීමයි. ආරම්භ කිරීම සමන්විත වන්නේ සේවාදායකයේ ඇති සියලුම ගොනු සහ නාමාවලි වල දත්ත සමුදායක් (snapshot) නිර්මාණය කිරීමෙනි.

දත්ත සමුදාය ආරම්භ කිරීම සඳහා, පහත විධානය ක්රියාත්මක කරන්න:

aide --init

ඔබ පහත සඳහන් දෑ දැකිය යුතුය:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

ඉහත විධානය මඟින් නව දත්ත සමුදායක් සාදනු ඇත aide.db.new.gz නාමාවලියෙහි /var/lib/aide. පහත දැක්වෙන විධානය භාවිතයෙන් එය දැකිය හැකිය:

ls -l /var/lib/aide

ප්රතිඵලය:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

එය නැවත නම් කරන තුරු AIDE මෙම නව දත්ත සමුදා ගොනුව භාවිතා නොකරනු ඇත aide.db.gz. මෙය පහත පරිදි කළ හැකිය:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

වෙනස්කම් නිවැරදිව නිරීක්ෂණය කිරීම සහතික කිරීම සඳහා ඔබ මෙම දත්ත සමුදාය වරින් වර යාවත්කාලීන කිරීම නිර්දේශ කෙරේ.

පරාමිතිය වෙනස් කිරීමෙන් ඔබට දත්ත සමුදායේ පිහිටීම වෙනස් කළ හැකිය DBDIR ගොනුවේ /etc/aide.conf.

ස්කෑන් පරීක්ෂණයක් ධාවනය කිරීම

AIDE දැන් නව දත්ත සමුදාය භාවිතා කිරීමට සූදානම්ය. කිසිදු වෙනසක් නොකර පළමු AIDE චෙක්පත ධාවනය කරන්න:

aide --check

ඔබගේ ගොනු පද්ධතියේ ප්‍රමාණය සහ ඔබගේ සේවාදායකයේ ඇති RAM ප්‍රමාණය අනුව මෙම විධානය සම්පූර්ණ වීමට යම් කාලයක් ගතවනු ඇත. ස්කෑන් කිරීම අවසන් වූ පසු ඔබට පහත දෑ දැකිය යුතුය:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

ඉහත ප්‍රතිදානය පවසන්නේ සියලුම ගොනු සහ නාමාවලි AIDE දත්ත ගබඩාවට ගැලපෙන බවයි.

AIDE පරීක්ෂා කිරීම

පෙරනිමියෙන්, AIDE පෙරනිමි Apache මූල නාමාවලිය නිරීක්ෂණය නොකරයි /var/www/html. එය බැලීමට AIDE වින්‍යාස කරමු. මෙය සිදු කිරීම සඳහා, ඔබ ගොනුව වෙනස් කළ යුතුය /etc/aide.conf.

nano /etc/aide.conf

ඉහත පේළිය එක් කරන්න "/root/CONTENT_EX" පහත සඳහන් දෑ:

/var/www/html/ CONTENT_EX

ඊළඟට, ගොනුවක් සාදන්න aide.txt නාමාවලියෙහි /var/www/html/පහත විධානය භාවිතා කරමින්:

echo "Test AIDE" > /var/www/html/aide.txt

දැන් AIDE චෙක්පත ධාවනය කර සාදන ලද ගොනුව හඳුනාගෙන ඇති බවට වග බලා ගන්න.

aide --check

ඔබ පහත සඳහන් දෑ දැකිය යුතුය:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

සාදන ලද ගොනුව හඳුනාගෙන ඇති බව අපට පෙනේ aide.txt.
අනාවරණය කරගත් වෙනස්කම් විශ්ලේෂණය කිරීමෙන් පසුව, AIDE දත්ත සමුදාය යාවත්කාලීන කරන්න.

aide --update

යාවත්කාලීන කිරීමෙන් පසු ඔබට පහත දේ පෙනෙනු ඇත:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

ඉහත විධානය මඟින් නව දත්ත සමුදායක් සාදනු ඇත aide.db.new.gz නාමාවලියෙහි 

/var/lib/aide/

පහත දැක්වෙන විධානය සමඟ ඔබට එය දැකිය හැකිය:

ls -l /var/lib/aide/

ප්රතිඵලය:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

දැන් නව දත්ත සමුදාය නැවත නම් කරන්න එවිට AIDE නව දත්ත සමුදාය වැඩිදුර වෙනස්කම් නිරීක්ෂණය කිරීමට භාවිතා කරයි. ඔබට එය පහත පරිදි නැවත නම් කළ හැකිය:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE නව දත්ත සමුදාය භාවිතා කරන බව සහතික කර ගැනීමට චෙක්පත නැවත ධාවනය කරන්න:

aide --check

ඔබ පහත සඳහන් දෑ දැකිය යුතුය:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

අපි චෙක්පත ස්වයංක්රීය කරමු

සෑම දිනකම AIDE චෙක්පතක් පවත්වා වාර්තාව තැපැල් කිරීම හොඳ අදහසකි. මෙම ක්‍රියාවලිය ක්‍රෝන් භාවිතයෙන් ස්වයංක්‍රීය කළ හැක.

nano /etc/crontab

AIDE චෙක්පත සෑම දිනකම 10:15 ට ධාවනය කිරීමට, ගොනුවේ අවසානයට පහත පේළිය එක් කරන්න:

15 10 * * * root /usr/sbin/aide --check

AIDE දැන් ඔබට තැපෑලෙන් දැනුම් දෙනු ඇත. පහත දැක්වෙන විධානය සමඟ ඔබට ඔබගේ තැපැල් පරීක්ෂා කළ හැක:

tail -f /var/mail/root

AIDE ලොගය පහත විධානය භාවිතයෙන් නැරඹිය හැක:

tail -f /var/log/aide/aide.log

නිගමනය

මෙම ලිපියෙන්, ගොනු වෙනස්කම් හඳුනා ගැනීමට සහ අනවසර සේවාදායක ප්‍රවේශය හඳුනා ගැනීමට AIDE භාවිතා කරන්නේ කෙසේදැයි ඔබ ඉගෙන ගත්තේය. අමතර සැකසුම් සඳහා, ඔබට /etc/aide.conf වින්‍යාස ගොනුව සංස්කරණය කළ හැක. ආරක්ෂක හේතූන් මත, දත්ත සමුදාය සහ වින්‍යාස ගොනුව කියවීමට පමණක් මාධ්‍යයේ ගබඩා කිරීම නිර්දේශ කෙරේ. වැඩි විස්තර ලේඛනයෙන් සොයාගත හැකිය AIDE Doc.

පාඨමාලාව ගැන තව දැනගන්න.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න