ProHoster > Blog > Administrácia > Ako nainštalovať a používať AIDE (Advanced Intrusion Detection Environment) na CentOS 8

Ako nainštalovať a používať AIDE (Advanced Intrusion Detection Environment) na CentOS 8

Pred začiatkom kurzu "Správca Linuxu" Pripravili sme preklad zaujímavého materiálu.

Ako nainštalovať a používať AIDE (Advanced Intrusion Detection Environment) na CentOS 8

AIDE je skratka pre „Advanced Intrusion Detection Environment“ a je jedným z najpopulárnejších systémov na monitorovanie zmien v operačných systémoch založených na Linuxe. AIDE sa používa na ochranu pred škodlivým softvérom, vírusmi a detekciu neoprávnených aktivít. Na overenie integrity súboru a detekciu prienikov AIDE vytvorí databázu informácií o súboroch a porovná aktuálny stav systému s touto databázou. AIDE pomáha skrátiť čas vyšetrovania incidentov tým, že sa zameria na súbory, ktoré boli upravené.

Vlastnosti AIDE:

  • Podporuje rôzne atribúty súborov vrátane: typu súboru, inode, uid, gid, oprávnení, počtu odkazov, mtime, ctime a atime.
  • Podpora pre kompresiu Gzip, SELinux, XAttrs, Posix ACL a atribúty súborového systému.
  • Podporuje rôzne algoritmy vrátane md5, sha1, sha256, sha512, rmd160, crc32 atď.
  • Odosielanie upozornení e-mailom.

V tomto článku sa pozrieme na to, ako nainštalovať a používať AIDE na detekciu narušenia na CentOS 8.

Predpoklady

  • Server so systémom CentOS 8 s minimálne 2 GB pamäte RAM.
  • root prístup

Začíname

Najprv sa odporúča aktualizovať systém. Ak to chcete urobiť, spustite nasledujúci príkaz.

dnf update -y

Po aktualizácii reštartujte systém, aby sa zmeny prejavili.

Inštalácia AIDE

AIDE je k dispozícii v predvolenom úložisku CentOS 8. Môžete ho jednoducho nainštalovať spustením nasledujúceho príkazu:

dnf install aide -y

Po dokončení inštalácie môžete zobraziť verziu AIDE pomocou nasledujúceho príkazu:

aide --version

Mali by ste vidieť nasledovné:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Dostupné možnosti aide možno vidieť nasledovne:

aide --help

Ako nainštalovať a používať AIDE (Advanced Intrusion Detection Environment) na CentOS 8

Vytvorenie a inicializácia databázy

Prvá vec, ktorú musíte urobiť po inštalácii AIDE, je inicializovať ho. Inicializácia pozostáva z vytvorenia databázy (snímky) všetkých súborov a adresárov na serveri.

Ak chcete inicializovať databázu, spustite nasledujúci príkaz:

aide --init

Mali by ste vidieť nasledovné:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Vyššie uvedený príkaz vytvorí novú databázu aide.db.new.gz v katalógu /var/lib/aide. Dá sa to zobraziť pomocou nasledujúceho príkazu:

ls -l /var/lib/aide

Výsledok:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE nebude používať tento nový databázový súbor, kým nebude premenovaný na aide.db.gz. Dá sa to urobiť nasledovne:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Odporúča sa, aby ste túto databázu pravidelne aktualizovali, aby ste zaistili správne monitorovanie zmien.

Zmenou parametra môžete zmeniť umiestnenie databázy DBDIR v súbore /etc/aide.conf.

Prebieha kontrola

AIDE je teraz pripravený na používanie novej databázy. Spustite prvú kontrolu AIDE bez vykonania akýchkoľvek zmien:

aide --check

Dokončenie tohto príkazu bude chvíľu trvať v závislosti od veľkosti vášho súborového systému a množstva pamäte RAM na vašom serveri. Po dokončení skenovania by ste mali vidieť nasledovné:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Vyššie uvedený výstup hovorí, že všetky súbory a adresáre zodpovedajú databáze AIDE.

Testovanie AIDE

V predvolenom nastavení AIDE nesleduje predvolený koreňový adresár Apache /var/www/html. Nakonfigurujme AIDE na zobrazenie. Ak to chcete urobiť, musíte zmeniť súbor /etc/aide.conf.

nano /etc/aide.conf

Pridajte vyššie uvedený riadok "/root/CONTENT_EX" nasledujúce:

/var/www/html/ CONTENT_EX

Ďalej vytvorte súbor aide.txt v katalógu /var/www/html/pomocou nasledujúceho príkazu:

echo "Test AIDE" > /var/www/html/aide.txt

Teraz spustite kontrolu AIDE a uistite sa, že vytvorený súbor je detekovaný.

aide --check

Mali by ste vidieť nasledovné:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vidíme, že vytvorený súbor je detekovaný aide.txt.
Po analýze zistených zmien aktualizujte databázu AIDE.

aide --update

Po aktualizácii uvidíte nasledovné:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vyššie uvedený príkaz vytvorí novú databázu aide.db.new.gz v katalógu 

/var/lib/aide/

Môžete to vidieť pomocou nasledujúceho príkazu:

ls -l /var/lib/aide/

Výsledok:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Teraz znova premenujte novú databázu, aby AIDE použil novú databázu na sledovanie ďalších zmien. Môžete ho premenovať nasledovne:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Znova spustite kontrolu, aby ste sa uistili, že AIDE používa novú databázu:

aide --check

Mali by ste vidieť nasledovné:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Automatizujeme kontrolu

Je dobré každý deň spustiť kontrolu AIDE a poslať správu poštou. Tento proces je možné automatizovať pomocou cronu.

nano /etc/crontab

Ak chcete spustiť kontrolu AIDE každý deň o 10:15, pridajte na koniec súboru nasledujúci riadok:

15 10 * * * root /usr/sbin/aide --check

AIDE vás teraz upozorní poštou. Svoju poštu môžete skontrolovať pomocou nasledujúceho príkazu:

tail -f /var/mail/root

Protokol AIDE je možné zobraziť pomocou nasledujúceho príkazu:

tail -f /var/log/aide/aide.log

Záver

V tomto článku ste sa naučili používať AIDE na zisťovanie zmien súborov a identifikáciu neoprávneného prístupu na server. Pre ďalšie nastavenia môžete upraviť konfiguračný súbor /etc/aide.conf. Z bezpečnostných dôvodov sa odporúča uložiť databázu a konfiguračný súbor na médium určené len na čítanie. Viac informácií nájdete v dokumentácii AIDE Doc.

Zistite viac o kurze.

Zdroj: hab.com

Pridať komentár