Pred začetkom tečaja
AIDE pomeni »napredno okolje za zaznavanje vdorov« in je eden najbolj priljubljenih sistemov za spremljanje sprememb v operacijskih sistemih, ki temeljijo na Linuxu. AIDE se uporablja za zaščito pred zlonamerno programsko opremo, virusi in odkrivanje nepooblaščenih dejavnosti. Za preverjanje celovitosti datoteke in zaznavanje vdorov AIDE ustvari bazo podatkov o datotekah in primerja trenutno stanje sistema s to bazo podatkov. AIDE pomaga skrajšati čas preiskave incidenta tako, da se osredotoči na datoteke, ki so bile spremenjene.
Lastnosti AIDE:
- Podpira različne atribute datoteke, vključno z: vrsto datoteke, inode, uid, gid, dovoljenja, število povezav, mtime, ctime in atime.
- Podpora za stiskanje Gzip, SELinux, XAttrs, Posix ACL in atribute datotečnega sistema.
- Podpira različne algoritme, vključno z md5, sha1, sha256, sha512, rmd160, crc32 itd.
- Pošiljanje obvestil po elektronski pošti.
V tem članku si bomo ogledali, kako namestiti in uporabljati AIDE za zaznavanje vdorov v CentOS 8.
Predpogoji
- Strežnik, ki poganja CentOS 8, z vsaj 2 GB RAM-a.
- korenski dostop
Начинаем
Priporočljivo je, da najprej posodobite sistem. Če želite to narediti, zaženite naslednji ukaz.
dnf update -y
Po posodobitvi znova zaženite sistem, da bodo spremembe začele veljati.
Namestitev AIDE
AIDE je na voljo v privzetem repozitoriju CentOS 8. Z lahkoto ga namestite tako, da zaženete naslednji ukaz:
dnf install aide -y
Ko je namestitev končana, si lahko ogledate različico AIDE z naslednjim ukazom:
aide --version
Morali bi videti naslednje:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Razpoložljive možnosti aide
si lahko ogledate takole:
aide --help
Izdelava in inicializacija baze podatkov
Prva stvar, ki jo morate storiti po namestitvi programa AIDE, je, da ga inicializirate. Inicializacija je sestavljena iz ustvarjanja baze podatkov (posnetek) vseh datotek in imenikov na strežniku.
Za inicializacijo baze podatkov zaženite naslednji ukaz:
aide --init
Morali bi videti naslednje:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Zgornji ukaz bo ustvaril novo bazo podatkov aide.db.new.gz
v katalogu /var/lib/aide
. Ogledate si ga lahko z naslednjim ukazom:
ls -l /var/lib/aide
Rezultat:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ne bo uporabljal te nove datoteke zbirke podatkov, dokler je ne preimenujete v aide.db.gz
. To je mogoče storiti na naslednji način:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Priporočljivo je, da to zbirko podatkov občasno posodobite, da zagotovite pravilno spremljanje sprememb.
Lokacijo baze podatkov lahko spremenite tako, da spremenite parameter DBDIR
v datoteki /etc/aide.conf
.
Izvajanje preverjanja
AIDE je zdaj pripravljen za uporabo nove baze podatkov. Zaženite prvo preverjanje AIDE brez sprememb:
aide --check
Ta ukaz bo trajal nekaj časa, odvisno od velikosti vašega datotečnega sistema in količine RAM-a na vašem strežniku. Ko je skeniranje končano, bi morali videti naslednje:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Zgornji rezultat pravi, da se vse datoteke in imeniki ujemajo z zbirko podatkov AIDE.
Testiranje AIDE
Privzeto AIDE ne sledi privzetemu korenskemu imeniku Apache /var/www/html.
Konfigurirajmo AIDE za ogled. Če želite to narediti, morate spremeniti datoteko /etc/aide.conf
.
nano /etc/aide.conf
Dodajte zgornjo vrstico "/root/CONTENT_EX"
naslednje:
/var/www/html/ CONTENT_EX
Nato ustvarite datoteko aide.txt
v katalogu /var/www/html/
z naslednjim ukazom:
echo "Test AIDE" > /var/www/html/aide.txt
Zdaj zaženite preverjanje AIDE in se prepričajte, da je ustvarjena datoteka zaznana.
aide --check
Morali bi videti naslednje:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Vidimo, da je ustvarjena datoteka zaznana aide.txt
.
Po analizi zaznanih sprememb posodobite bazo podatkov AIDE.
aide --update
Po posodobitvi boste videli naslednje:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Zgornji ukaz bo ustvaril novo bazo podatkov aide.db.new.gz
v katalogu
/var/lib/aide/
Ogledate si ga lahko z naslednjim ukazom:
ls -l /var/lib/aide/
Rezultat:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Zdaj znova preimenujte novo bazo podatkov, tako da bo AIDE uporabljal novo bazo podatkov za sledenje nadaljnjim spremembam. Lahko ga preimenujete na naslednji način:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Ponovno zaženite preverjanje, da zagotovite, da AIDE uporablja novo zbirko podatkov:
aide --check
Morali bi videti naslednje:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Kontrolo avtomatiziramo
Dobro je, da vsak dan izvajate preverjanje AIDE in poročilo pošljete po pošti. Ta postopek je mogoče avtomatizirati s programom cron.
nano /etc/crontab
Če želite zagnati preverjanje AIDE vsak dan ob 10:15, dodajte naslednjo vrstico na konec datoteke:
15 10 * * * root /usr/sbin/aide --check
AIDE vas bo zdaj obvestil po pošti. Svojo pošto lahko preverite z naslednjim ukazom:
tail -f /var/mail/root
Dnevnik AIDE si lahko ogledate z naslednjim ukazom:
tail -f /var/log/aide/aide.log
Zaključek
V tem članku ste se naučili, kako uporabljati AIDE za odkrivanje sprememb datotek in prepoznavanje nepooblaščenega dostopa do strežnika. Za dodatne nastavitve lahko uredite konfiguracijsko datoteko /etc/aide.conf. Iz varnostnih razlogov je priporočljivo, da bazo podatkov in konfiguracijsko datoteko shranite na medij samo za branje. Več informacij najdete v dokumentaciji
Vir: www.habr.com