Para fillimit të kursit
AIDE do të thotë "Advanced Intrusion Detection Environment" dhe është një nga sistemet më të njohura për monitorimin e ndryshimeve në sistemet operative të bazuara në Linux. AIDE përdoret për të mbrojtur kundër malware, viruse dhe zbulimin e aktiviteteve të paautorizuara. Për të verifikuar integritetin e skedarit dhe për të zbuluar ndërhyrjet, AIDE krijon një bazë të dhënash të informacionit të skedarit dhe krahason gjendjen aktuale të sistemit me këtë bazë të dhënash. AIDE ndihmon në reduktimin e kohës së hetimit të incidentit duke u fokusuar në dosjet që janë modifikuar.
Karakteristikat e AIDE:
- Mbështet atribute të ndryshme skedari, duke përfshirë: llojin e skedarit, inode, uid, gid, lejet, numrin e lidhjeve, mtime, ctime dhe kohën.
- Mbështetje për kompresimin Gzip, SELinux, XAttrs, Posix ACL dhe atributet e sistemit të skedarëve.
- Mbështet algoritme të ndryshme duke përfshirë md5, sha1, sha256, sha512, rmd160, crc32, etj.
- Dërgimi i njoftimeve me email.
Në këtë artikull, ne do të shikojmë se si të instalojmë dhe përdorim AIDE për zbulimin e ndërhyrjeve në CentOS 8.
Parakushtet
- Server që funksionon CentOS 8, me të paktën 2 GB RAM.
- aksesi në rrënjë
Fillimi
Rekomandohet që së pari të përditësoni sistemin. Për ta bërë këtë, ekzekutoni komandën e mëposhtme.
dnf update -y
Pas përditësimit, rinisni sistemin tuaj që ndryshimet të hyjnë në fuqi.
Instalimi i AIDE
AIDE është i disponueshëm në depon e paracaktuar të CentOS 8. Mund ta instaloni lehtësisht duke ekzekutuar komandën e mëposhtme:
dnf install aide -y
Pasi të përfundojë instalimi, mund të shikoni versionin AIDE duke përdorur komandën e mëposhtme:
aide --version
Ju duhet të shihni sa vijon:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Opsionet e disponueshme aide
mund të shihet si më poshtë:
aide --help
Krijimi dhe inicializimi i bazës së të dhënave
Gjëja e parë që duhet të bëni pas instalimit të AIDE është ta inicializoni atë. Inicializimi konsiston në krijimin e një baze të dhënash (snapshot) të të gjithë skedarëve dhe drejtorive në server.
Për të inicializuar bazën e të dhënave, ekzekutoni komandën e mëposhtme:
aide --init
Ju duhet të shihni sa vijon:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Komanda e mësipërme do të krijojë një bazë të dhënash të re aide.db.new.gz
në katalog /var/lib/aide
. Mund të shihet duke përdorur komandën e mëposhtme:
ls -l /var/lib/aide
Rezultati:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE nuk do ta përdorë këtë skedar të ri të bazës së të dhënave derisa të riemërtohet në aide.db.gz
. Kjo mund të bëhet si më poshtë:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Rekomandohet që të përditësoni periodikisht këtë bazë të dhënash për të siguruar që ndryshimet të monitorohen siç duhet.
Ju mund të ndryshoni vendndodhjen e bazës së të dhënave duke ndryshuar parametrin DBDIR
në dosje /etc/aide.conf
.
Kryerja e një kontrolli
AIDE tani është gati të përdorë bazën e re të të dhënave. Kryeni kontrollin e parë AIDE pa bërë asnjë ndryshim:
aide --check
Kjo komandë do të marrë pak kohë për t'u përfunduar në varësi të madhësisë së sistemit tuaj të skedarëve dhe sasisë së RAM-it në serverin tuaj. Pasi të përfundojë skanimi, duhet të shihni sa vijon:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Dalja e mësipërme thotë se të gjithë skedarët dhe drejtoritë përputhen me bazën e të dhënave AIDE.
Testimi AIDE
Si parazgjedhje, AIDE nuk gjurmon direktorinë rrënjësore të paracaktuar të Apache /var/www/html.
Le të konfigurojmë AIDE për ta parë atë. Për ta bërë këtë, duhet të ndryshoni skedarin /etc/aide.conf
.
nano /etc/aide.conf
Shtoni rreshtin e mësipërm "/root/CONTENT_EX"
sa vijon:
/var/www/html/ CONTENT_EX
Tjetra, krijoni një skedar aide.txt
në katalog /var/www/html/
duke përdorur komandën e mëposhtme:
echo "Test AIDE" > /var/www/html/aide.txt
Tani ekzekutoni kontrollin AIDE dhe sigurohuni që skedari i krijuar të zbulohet.
aide --check
Ju duhet të shihni sa vijon:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Ne shohim që skedari i krijuar është zbuluar aide.txt
.
Pasi të keni analizuar ndryshimet e zbuluara, përditësoni bazën e të dhënave AIDE.
aide --update
Pas përditësimit do të shihni sa vijon:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Komanda e mësipërme do të krijojë një bazë të dhënash të re aide.db.new.gz
në katalog
/var/lib/aide/
Mund ta shihni me komandën e mëposhtme:
ls -l /var/lib/aide/
Rezultati:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Tani riemërtoni përsëri bazën e të dhënave në mënyrë që AIDE të përdorë bazën e re të të dhënave për të gjurmuar ndryshimet e mëtejshme. Mund ta riemërtoni si më poshtë:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Kryeni përsëri kontrollin për t'u siguruar që AIDE po përdor bazën e re të të dhënave:
aide --check
Ju duhet të shihni sa vijon:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Ne e automatizojmë kontrollin
Është një ide e mirë për të kryer një kontroll AIDE çdo ditë dhe për të dërguar raportin me postë. Ky proces mund të automatizohet duke përdorur cron.
nano /etc/crontab
Për të ekzekutuar kontrollin AIDE çdo ditë në orën 10:15, shtoni rreshtin e mëposhtëm në fund të skedarit:
15 10 * * * root /usr/sbin/aide --check
AIDE tani do t'ju njoftojë me postë. Ju mund të kontrolloni postën tuaj me komandën e mëposhtme:
tail -f /var/mail/root
Regjistri AIDE mund të shihet duke përdorur komandën e mëposhtme:
tail -f /var/log/aide/aide.log
Përfundim
Në këtë artikull, mësuat se si të përdorni AIDE për të zbuluar ndryshimet e skedarëve dhe për të identifikuar aksesin e paautorizuar të serverit. Për cilësime shtesë, mund të modifikoni skedarin e konfigurimit /etc/aide.conf. Për arsye sigurie, rekomandohet ruajtja e bazës së të dhënave dhe skedari i konfigurimit në media vetëm për lexim. Më shumë informacion mund të gjeni në dokumentacion
Burimi: www.habr.com