ProHoster > Blog > Administrasi > Kumaha Pasang sareng Anggo AIDE (Advanced Intrusion Detection Environment) dina CentOS 8

Kumaha Pasang sareng Anggo AIDE (Advanced Intrusion Detection Environment) dina CentOS 8

Sateuacan ngamimitian kursus "Linux Administrator" Kami parantos nyiapkeun tarjamahan tina bahan anu pikaresepeun.

Kumaha Pasang sareng Anggo AIDE (Advanced Intrusion Detection Environment) dina CentOS 8

AIDE nangtung pikeun "Advanced Intrusion Detection Environment" sareng mangrupikeun salah sahiji sistem anu pang populerna pikeun ngawaskeun parobahan dina sistem operasi basis Linux. AIDE dianggo pikeun ngajagaan tina malware, virus sareng ngadeteksi kagiatan anu henteu sah. Pikeun pariksa integritas file sareng ngadeteksi intrusions, AIDE nyiptakeun database inpormasi file sareng ngabandingkeun kaayaan sistem ayeuna sareng database ieu. AIDE mantuan ngurangan waktu panalungtikan kajadian ku fokus kana file nu geus dirobah.

Fitur AIDE:

  • Ngarojong sababaraha atribut file, kalebet: jinis file, inode, uid, gid, idin, jumlah tautan, mtime, ctime sareng atime.
  • Rojongan pikeun komprési Gzip, SELinux, XAttrs, Posix ACL sareng atribut sistem file.
  • Ngarojong sababaraha algoritma kalebet md5, sha1, sha256, sha512, rmd160, crc32, jsb.
  • Ngirim béwara ku email.

Dina tulisan ieu, urang bakal ningali kumaha masang sareng nganggo AIDE pikeun deteksi intrusion dina CentOS 8.

Prasyarat

  • Server ngajalankeun CentOS 8, kalayan sahenteuna 2 GB RAM.
  • aksés root

Mimiti

Disarankeun pikeun ngapdet sistem heula. Jang ngalampahkeun ieu, ngajalankeun paréntah di handap ieu.

dnf update -y

Saatos ngamutahirkeun, balikan deui sistem anjeun pikeun épéktip.

Masang AIDE

AIDE sayogi dina gudang standar CentOS 8. Anjeun tiasa sacara gampil masangna ku ngajalankeun paréntah di handap ieu:

dnf install aide -y

Sakali pamasangan parantos réngsé, anjeun tiasa ningali versi AIDE nganggo paréntah di handap ieu:

aide --version

Anjeun kedah ningali ieu:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

pilihan sadia aide bisa ditempo kieu:

aide --help

Kumaha Pasang sareng Anggo AIDE (Advanced Intrusion Detection Environment) dina CentOS 8

Nyieun jeung initializing database

Hal kahiji anu anjeun kedah laksanakeun saatos masang AIDE nyaéta ngamimitian. Initialization diwangun ku nyieun database (snapshot) sadaya file na directories dina server.

Pikeun initialize database, ngajalankeun paréntah di handap:

aide --init

Anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Paréntah di luhur bakal nyieun database anyar aide.db.new.gz dina katalog /var/lib/aide. Éta tiasa ditingali nganggo paréntah di handap ieu:

ls -l /var/lib/aide

Hasil:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE moal make file database anyar ieu nepi ka diganti ngaranna jadi aide.db.gz. Ieu bisa dipigawé saperti kieu:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Disarankeun anjeun ngamutahirkeun database ieu périodik pikeun mastikeun yén parobahan diawaskeun leres.

Anjeun tiasa ngarobah lokasi database ku cara ngarobah parameter DBDIR dina file /etc/aide.conf.

Ngajalankeun scan

AIDE ayeuna siap ngagunakeun database anyar. Jalankeun pamariksaan AIDE munggaran tanpa ngalakukeun parobihan:

aide --check

Paréntah ieu bakal butuh sababaraha waktos kanggo réngsé gumantung kana ukuran sistem file anjeun sareng jumlah RAM dina server anjeun. Saatos scan parantos réngsé, anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Output di luhur nyebutkeun yen sakabeh file na directories cocog database AIDE.

Nguji AIDE

Sacara standar, AIDE henteu ngalacak diréktori akar Apache standar /var/www/html. Hayu urang ngonpigurasikeun AIDE pikeun nempo eta. Jang ngalampahkeun ieu anjeun kudu ngarobah file /etc/aide.conf.

nano /etc/aide.conf

Tambahkeun garis luhur "/root/CONTENT_EX" ieu:

/var/www/html/ CONTENT_EX

Salajengna, jieun file aide.txt dina katalog /var/www/html/ngagunakeun paréntah di handap ieu:

echo "Test AIDE" > /var/www/html/aide.txt

Ayeuna ngajalankeun pamariksaan AIDE sareng pastikeun yén file anu diciptakeun dideteksi.

aide --check

Anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kami ningali yén file anu diciptakeun dideteksi aide.txt.
Saatos analisa parobahan anu dideteksi, ngapdet pangkalan data AIDE.

aide --update

Saatos apdet anjeun bakal ningali ieu:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Paréntah di luhur bakal nyieun database anyar aide.db.new.gz dina katalog 

/var/lib/aide/

Anjeun tiasa ningali éta kalayan paréntah di handap ieu:

ls -l /var/lib/aide/

Hasil:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Ayeuna ngaganti ngaran database anyar deui jadi AIDE ngagunakeun database anyar pikeun ngalacak parobahan salajengna. Anjeun tiasa ngagentos nami sapertos kieu:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Jalankeun parios deui pikeun mastikeun yén AIDE nganggo pangkalan data énggal:

aide --check

Anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Urang ngajadikeun otomatis cek

Ieu mangrupakeun ide nu sae pikeun ngajalankeun hiji AIDE dipariksa unggal poé sarta ngirimkeun laporan. Prosés ieu tiasa otomatis nganggo cron.

nano /etc/crontab

Pikeun ngajalankeun pamariksaan AIDE unggal dinten di 10:15, tambahkeun garis di handap ieu kana tungtung file:

15 10 * * * root /usr/sbin/aide --check

AIDE ayeuna bakal ngabéjaan anjeun ku mail. Anjeun tiasa pariksa surat anjeun nganggo paréntah di handap ieu:

tail -f /var/mail/root

Log AIDE tiasa ditingali nganggo paréntah di handap ieu:

tail -f /var/log/aide/aide.log

kacindekan

Dina tulisan ieu, anjeun diajar kumaha ngagunakeun AIDE pikeun ngadeteksi parobahan file sareng ngaidentipikasi aksés server anu henteu sah. Pikeun setélan tambahan, anjeun tiasa ngédit file konfigurasi /etc/aide.conf. Pikeun alesan kaamanan, disarankeun pikeun nyimpen database sareng file konfigurasi dina média ngan ukur dibaca. Inpo nu leuwih lengkep bisa kapanggih dina dokuméntasi AIDE Dok.

Diajar langkung seueur ngeunaan kursus.

sumber: www.habr.com

Tambahkeun komentar