ProHoster > Blog > Uprava > Kako namestiti in uporabljati AIDE (napredno okolje za zaznavanje vdorov) na CentOS 8

Kako namestiti in uporabljati AIDE (napredno okolje za zaznavanje vdorov) na CentOS 8

Pred začetkom tečaja "Linux Administrator" Pripravili smo prevod zanimivega gradiva.

Kako namestiti in uporabljati AIDE (napredno okolje za zaznavanje vdorov) na CentOS 8

AIDE pomeni »napredno okolje za zaznavanje vdorov« in je eden najbolj priljubljenih sistemov za spremljanje sprememb v operacijskih sistemih, ki temeljijo na Linuxu. AIDE se uporablja za zaščito pred zlonamerno programsko opremo, virusi in odkrivanje nepooblaščenih dejavnosti. Za preverjanje celovitosti datoteke in zaznavanje vdorov AIDE ustvari bazo podatkov o datotekah in primerja trenutno stanje sistema s to bazo podatkov. AIDE pomaga skrajšati čas preiskave incidenta tako, da se osredotoči na datoteke, ki so bile spremenjene.

Lastnosti AIDE:

  • Podpira različne atribute datoteke, vključno z: vrsto datoteke, inode, uid, gid, dovoljenja, število povezav, mtime, ctime in atime.
  • Podpora za stiskanje Gzip, SELinux, XAttrs, Posix ACL in atribute datotečnega sistema.
  • Podpira različne algoritme, vključno z md5, sha1, sha256, sha512, rmd160, crc32 itd.
  • Pošiljanje obvestil po elektronski pošti.

V tem članku si bomo ogledali, kako namestiti in uporabljati AIDE za zaznavanje vdorov v CentOS 8.

Predpogoji

  • Strežnik, ki poganja CentOS 8, z vsaj 2 GB RAM-a.
  • korenski dostop

Начинаем

Priporočljivo je, da najprej posodobite sistem. Če želite to narediti, zaženite naslednji ukaz.

dnf update -y

Po posodobitvi znova zaženite sistem, da bodo spremembe začele veljati.

Namestitev AIDE

AIDE je na voljo v privzetem repozitoriju CentOS 8. Z lahkoto ga namestite tako, da zaženete naslednji ukaz:

dnf install aide -y

Ko je namestitev končana, si lahko ogledate različico AIDE z naslednjim ukazom:

aide --version

Morali bi videti naslednje:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Razpoložljive možnosti aide si lahko ogledate takole:

aide --help

Kako namestiti in uporabljati AIDE (napredno okolje za zaznavanje vdorov) na CentOS 8

Izdelava in inicializacija baze podatkov

Prva stvar, ki jo morate storiti po namestitvi programa AIDE, je, da ga inicializirate. Inicializacija je sestavljena iz ustvarjanja baze podatkov (posnetek) vseh datotek in imenikov na strežniku.

Za inicializacijo baze podatkov zaženite naslednji ukaz:

aide --init

Morali bi videti naslednje:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Zgornji ukaz bo ustvaril novo bazo podatkov aide.db.new.gz v katalogu /var/lib/aide. Ogledate si ga lahko z naslednjim ukazom:

ls -l /var/lib/aide

Rezultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE ne bo uporabljal te nove datoteke zbirke podatkov, dokler je ne preimenujete v aide.db.gz. To je mogoče storiti na naslednji način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Priporočljivo je, da to zbirko podatkov občasno posodobite, da zagotovite pravilno spremljanje sprememb.

Lokacijo baze podatkov lahko spremenite tako, da spremenite parameter DBDIR v datoteki /etc/aide.conf.

Izvajanje preverjanja

AIDE je zdaj pripravljen za uporabo nove baze podatkov. Zaženite prvo preverjanje AIDE brez sprememb:

aide --check

Ta ukaz bo trajal nekaj časa, odvisno od velikosti vašega datotečnega sistema in količine RAM-a na vašem strežniku. Ko je skeniranje končano, bi morali videti naslednje:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Zgornji rezultat pravi, da se vse datoteke in imeniki ujemajo z zbirko podatkov AIDE.

Testiranje AIDE

Privzeto AIDE ne sledi privzetemu korenskemu imeniku Apache /var/www/html. Konfigurirajmo AIDE za ogled. Če želite to narediti, morate spremeniti datoteko /etc/aide.conf.

nano /etc/aide.conf

Dodajte zgornjo vrstico "/root/CONTENT_EX" naslednje:

/var/www/html/ CONTENT_EX

Nato ustvarite datoteko aide.txt v katalogu /var/www/html/z naslednjim ukazom:

echo "Test AIDE" > /var/www/html/aide.txt

Zdaj zaženite preverjanje AIDE in se prepričajte, da je ustvarjena datoteka zaznana.

aide --check

Morali bi videti naslednje:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vidimo, da je ustvarjena datoteka zaznana aide.txt.
Po analizi zaznanih sprememb posodobite bazo podatkov AIDE.

aide --update

Po posodobitvi boste videli naslednje:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Zgornji ukaz bo ustvaril novo bazo podatkov aide.db.new.gz v katalogu 

/var/lib/aide/

Ogledate si ga lahko z naslednjim ukazom:

ls -l /var/lib/aide/

Rezultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Zdaj znova preimenujte novo bazo podatkov, tako da bo AIDE uporabljal novo bazo podatkov za sledenje nadaljnjim spremembam. Lahko ga preimenujete na naslednji način:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ponovno zaženite preverjanje, da zagotovite, da AIDE uporablja novo zbirko podatkov:

aide --check

Morali bi videti naslednje:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Kontrolo avtomatiziramo

Dobro je, da vsak dan izvajate preverjanje AIDE in poročilo pošljete po pošti. Ta postopek je mogoče avtomatizirati s programom cron.

nano /etc/crontab

Če želite zagnati preverjanje AIDE vsak dan ob 10:15, dodajte naslednjo vrstico na konec datoteke:

15 10 * * * root /usr/sbin/aide --check

AIDE vas bo zdaj obvestil po pošti. Svojo pošto lahko preverite z naslednjim ukazom:

tail -f /var/mail/root

Dnevnik AIDE si lahko ogledate z naslednjim ukazom:

tail -f /var/log/aide/aide.log

Zaključek

V tem članku ste se naučili, kako uporabljati AIDE za odkrivanje sprememb datotek in prepoznavanje nepooblaščenega dostopa do strežnika. Za dodatne nastavitve lahko uredite konfiguracijsko datoteko /etc/aide.conf. Iz varnostnih razlogov je priporočljivo, da bazo podatkov in konfiguracijsko datoteko shranite na medij samo za branje. Več informacij najdete v dokumentaciji POMOČNIK Doc.

Izvedite več o tečaju.

Vir: www.habr.com

Dodaj komentar