Pred začiatkom kurzu
AIDE je skratka pre „Advanced Intrusion Detection Environment“ a je jedným z najpopulárnejších systémov na monitorovanie zmien v operačných systémoch založených na Linuxe. AIDE sa používa na ochranu pred škodlivým softvérom, vírusmi a detekciu neoprávnených aktivít. Na overenie integrity súboru a detekciu prienikov AIDE vytvorí databázu informácií o súboroch a porovná aktuálny stav systému s touto databázou. AIDE pomáha skrátiť čas vyšetrovania incidentov tým, že sa zameria na súbory, ktoré boli upravené.
Vlastnosti AIDE:
- Podporuje rôzne atribúty súborov vrátane: typu súboru, inode, uid, gid, oprávnení, počtu odkazov, mtime, ctime a atime.
- Podpora pre kompresiu Gzip, SELinux, XAttrs, Posix ACL a atribúty súborového systému.
- Podporuje rôzne algoritmy vrátane md5, sha1, sha256, sha512, rmd160, crc32 atď.
- Odosielanie upozornení e-mailom.
V tomto článku sa pozrieme na to, ako nainštalovať a používať AIDE na detekciu narušenia na CentOS 8.
Predpoklady
- Server so systémom CentOS 8 s minimálne 2 GB pamäte RAM.
- root prístup
Začíname
Najprv sa odporúča aktualizovať systém. Ak to chcete urobiť, spustite nasledujúci príkaz.
dnf update -y
Po aktualizácii reštartujte systém, aby sa zmeny prejavili.
Inštalácia AIDE
AIDE je k dispozícii v predvolenom úložisku CentOS 8. Môžete ho jednoducho nainštalovať spustením nasledujúceho príkazu:
dnf install aide -y
Po dokončení inštalácie môžete zobraziť verziu AIDE pomocou nasledujúceho príkazu:
aide --version
Mali by ste vidieť nasledovné:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Dostupné možnosti aide
možno vidieť nasledovne:
aide --help
Vytvorenie a inicializácia databázy
Prvá vec, ktorú musíte urobiť po inštalácii AIDE, je inicializovať ho. Inicializácia pozostáva z vytvorenia databázy (snímky) všetkých súborov a adresárov na serveri.
Ak chcete inicializovať databázu, spustite nasledujúci príkaz:
aide --init
Mali by ste vidieť nasledovné:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Vyššie uvedený príkaz vytvorí novú databázu aide.db.new.gz
v katalógu /var/lib/aide
. Dá sa to zobraziť pomocou nasledujúceho príkazu:
ls -l /var/lib/aide
Výsledok:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE nebude používať tento nový databázový súbor, kým nebude premenovaný na aide.db.gz
. Dá sa to urobiť nasledovne:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Odporúča sa, aby ste túto databázu pravidelne aktualizovali, aby ste zaistili správne monitorovanie zmien.
Zmenou parametra môžete zmeniť umiestnenie databázy DBDIR
v súbore /etc/aide.conf
.
Prebieha kontrola
AIDE je teraz pripravený na používanie novej databázy. Spustite prvú kontrolu AIDE bez vykonania akýchkoľvek zmien:
aide --check
Dokončenie tohto príkazu bude chvíľu trvať v závislosti od veľkosti vášho súborového systému a množstva pamäte RAM na vašom serveri. Po dokončení skenovania by ste mali vidieť nasledovné:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Vyššie uvedený výstup hovorí, že všetky súbory a adresáre zodpovedajú databáze AIDE.
Testovanie AIDE
V predvolenom nastavení AIDE nesleduje predvolený koreňový adresár Apache /var/www/html.
Nakonfigurujme AIDE na zobrazenie. Ak to chcete urobiť, musíte zmeniť súbor /etc/aide.conf
.
nano /etc/aide.conf
Pridajte vyššie uvedený riadok "/root/CONTENT_EX"
nasledujúce:
/var/www/html/ CONTENT_EX
Ďalej vytvorte súbor aide.txt
v katalógu /var/www/html/
pomocou nasledujúceho príkazu:
echo "Test AIDE" > /var/www/html/aide.txt
Teraz spustite kontrolu AIDE a uistite sa, že vytvorený súbor je detekovaný.
aide --check
Mali by ste vidieť nasledovné:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Vidíme, že vytvorený súbor je detekovaný aide.txt
.
Po analýze zistených zmien aktualizujte databázu AIDE.
aide --update
Po aktualizácii uvidíte nasledovné:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Vyššie uvedený príkaz vytvorí novú databázu aide.db.new.gz
v katalógu
/var/lib/aide/
Môžete to vidieť pomocou nasledujúceho príkazu:
ls -l /var/lib/aide/
Výsledok:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Teraz znova premenujte novú databázu, aby AIDE použil novú databázu na sledovanie ďalších zmien. Môžete ho premenovať nasledovne:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Znova spustite kontrolu, aby ste sa uistili, že AIDE používa novú databázu:
aide --check
Mali by ste vidieť nasledovné:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Automatizujeme kontrolu
Je dobré každý deň spustiť kontrolu AIDE a poslať správu poštou. Tento proces je možné automatizovať pomocou cronu.
nano /etc/crontab
Ak chcete spustiť kontrolu AIDE každý deň o 10:15, pridajte na koniec súboru nasledujúci riadok:
15 10 * * * root /usr/sbin/aide --check
AIDE vás teraz upozorní poštou. Svoju poštu môžete skontrolovať pomocou nasledujúceho príkazu:
tail -f /var/mail/root
Protokol AIDE je možné zobraziť pomocou nasledujúceho príkazu:
tail -f /var/log/aide/aide.log
Záver
V tomto článku ste sa naučili používať AIDE na zisťovanie zmien súborov a identifikáciu neoprávneného prístupu na server. Pre ďalšie nastavenia môžete upraviť konfiguračný súbor /etc/aide.conf. Z bezpečnostných dôvodov sa odporúča uložiť databázu a konfiguračný súbor na médium určené len na čítanie. Viac informácií nájdete v dokumentácii
Zdroj: hab.com