🥇Како инсталирати и користити AIDE (Напредно окружење за детекцију упада) у CentOS КСНУМКС

Пре почетка курса „Администратор Linux» Припремили смо превод занимљивог материјала.

АИДЕ је скраћеница од „Напредно окружење за детекцију упада“ и један је од најпопуларнијих система за праћење промена у оперативним системима заснованим на LinuxAIDE се користи за заштиту од злонамерног софтвера и вируса и откривање неовлашћених радњи. Да би проверио интегритет датотека и открио упаде, AIDE креира базу података са информацијама о датотекама и упоређује тренутно стање система са овом базом података. AIDE помаже у смањењу времена истраге инцидената фокусирајући се на датотеке које су измењене.

АИДЕ карактеристике:

Подржава различите атрибуте датотеке, укључујући: тип датотеке, иноде, уид, гид, дозволе, број веза, мтиме, цтиме и атиме.
Подршка за Gzip, SE компресијуLinux, XAttrs, Posix ACL-ови и атрибути система датотека.
Подржава различите алгоритме укључујући мд5, сха1, сха256, сха512, рмд160, црц32, итд.
Слање обавештења путем е-поште.

У овом чланку ћемо погледати како инсталирати и користити AIDE за детекцију упада у CentOS 8.

Предуслови

Сервер под управљањем CentOS 8, са најмање 2 ГБ РАМ-а.
роот приступ

Геттинг стартед

Препоручује се да прво ажурирате систем. Да бисте то урадили, покрените следећу команду.

dnf update -y

Након ажурирања, поново покрените систем да би промене ступиле на снагу.

Инсталирање АИДЕ

AIDE је доступан у подразумеваном репозиторијуму. CentOS 8. Можете га лако инсталирати покретањем следеће команде:

dnf install aide -y

Када се инсталација заврши, можете погледати АИДЕ верзију користећи следећу команду:

aide --version

Требало би да видите следеће:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Доступне опције aide може се посматрати на следећи начин:

aide --help

Креирање и иницијализација базе података

Прва ствар коју треба да урадите након инсталирања АИДЕ је да га иницијализујете. Иницијализација се састоји од креирања базе података (снимка) свих датотека и директоријума на серверу.

Да бисте иницијализовали базу података, покрените следећу команду:

aide --init

Требало би да видите следеће:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Горња команда ће креирати нову базу података aide.db.new.gz у каталогу /var/lib/aide. То се може видети коришћењем следеће команде:

ls -l /var/lib/aide

Резултат:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

АИДЕ неће користити ову нову датотеку базе података док се не преименује у aide.db.gz. Ово се може урадити на следећи начин:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Препоручује се да повремено ажурирате ову базу података како бисте били сигурни да се промене правилно прате.

Можете променити локацију базе података променом параметра DBDIR у фајлу /etc/aide.conf.

Проверавање

АИДЕ је сада спреман да користи нову базу података. Покрените прву АИДЕ проверу без икаквих промена:

aide --check

Ова команда ће трајати неко време да се заврши у зависности од величине вашег система датотека и количине РАМ-а на вашем серверу. Када се скенирање заврши, требало би да видите следеће:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Горњи излаз каже да се све датотеке и директоријуми подударају са АИДЕ базом података.

Тестинг АИДЕ

Подразумевано, АИДЕ не прати подразумевани Апацхе основни директоријум /var/www/html. Хајде да конфигуришемо АИДЕ да га види. Да бисте то урадили, потребно је да промените датотеку /etc/aide.conf.

nano /etc/aide.conf

Додајте горњи ред "/root/CONTENT_EX" следеће:

/var/www/html/ CONTENT_EX

Затим креирајте датотеку aide.txt у каталогу /var/www/html/користећи следећу команду:

echo "Test AIDE" > /var/www/html/aide.txt

Сада покрените АИДЕ проверу и уверите се да је креирана датотека откривена.

aide --check

Требало би да видите следеће:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Видимо да је креирана датотека откривена aide.txt.
Након анализе откривених промена, ажурирајте АИДЕ базу података.

aide --update

Након ажурирања видећете следеће:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Горња команда ће креирати нову базу података aide.db.new.gz у каталогу

/var/lib/aide/

Можете га видети следећом командом:

ls -l /var/lib/aide/

Резултат:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Сада поново преименујте нову базу података тако да АИДЕ користи нову базу података за праћење даљих промена. Можете га преименовати на следећи начин:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Поново покрените проверу да бисте се уверили да АИДЕ користи нову базу података:

aide --check

Требало би да видите следеће:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Аутоматизујемо проверу

Добра је идеја да сваки дан покренете АИДЕ проверу и пошаљете извештај поштом. Овај процес се може аутоматизовати помоћу црон-а.

nano /etc/crontab

Да бисте покренули АИДЕ проверу сваког дана у 10:15, додајте следећи ред на крај датотеке:

15 10 * * * root /usr/sbin/aide --check

АИДЕ ће вас сада обавестити поштом. Своју пошту можете проверити следећом командом:

tail -f /var/mail/root

АИДЕ дневник се може видети помоћу следеће команде:

tail -f /var/log/aide/aide.log

Закључак

У овом чланку сте научили како да користите АИДЕ за откривање промена датотека и идентификацију неовлашћеног приступа серверу. За додатна подешавања, можете уредити /етц/аиде.цонф конфигурациону датотеку. Из безбедносних разлога, препоручује се складиштење базе података и конфигурационе датотеке на медијуму само за читање. Више информација можете пронаћи у документацији АИДЕ Доц.

Сазнајте више о курсу.

Извор: ввв.хабр.цом