Kumaha masang sareng nganggo AIDE (Advanced Intrusion Detection Environment) dina CentOS 8

Sateuacan ngamimitian kursus "Administrator Linux» Kami parantos nyiapkeun tarjamahan tina bahan anu pikaresepeun.

AIDE téh singgetan tina "Advanced Intrusion Detection Environment" sarta mangrupa salah sahiji sistem anu pang populerna pikeun ngawas parobahan dina sistem operasi dumasar kana LinuxAIDE dianggo pikeun ngajaga tina malware sareng virus sareng ngadeteksi tindakan anu teu sah. Pikeun mastikeun integritas file sareng ngadeteksi gangguan, AIDE nyiptakeun database inpormasi file sareng ngabandingkeun kaayaan sistem ayeuna sareng database ieu. AIDE ngabantosan ngirangan waktos panalungtikan kajadian ku cara fokus kana file anu parantos dirobih.

Fitur AIDE:

• Ngarojong sababaraha atribut file, kalebet: jinis file, inode, uid, gid, idin, jumlah tautan, mtime, ctime sareng atime.
• Dukungan pikeun komprési Gzip, SELinux, XAttrs, Posix ACL sareng atribut sistem file.
• Ngarojong sababaraha algoritma kalebet md5, sha1, sha256, sha512, rmd160, crc32, jsb.
• Ngirim béwara ku email.

Dina tulisan ieu, urang bakal ningali kumaha masang sareng nganggo AIDE pikeun deteksi gangguan dina CentOS 8.

Prasyarat

• Server dina manajemen CentOS 8, sahenteuna nganggo RAM 2GB.
• aksés root

Mimiti

Disarankeun pikeun ngapdet sistem heula. Jang ngalampahkeun ieu, ngajalankeun paréntah di handap ieu.

dnf update -y

Saatos ngamutahirkeun, balikan deui sistem anjeun pikeun épéktip.

Masang AIDE

AIDE sayogi dina gudang standar. CentOS 8. Anjeun tiasa sacara gampil masangna ku ngajalankeun paréntah ieu:

dnf install aide -y

Sakali pamasangan parantos réngsé, anjeun tiasa ningali versi AIDE nganggo paréntah di handap ieu:

aide --version

Anjeun kedah ningali ieu:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

pilihan sadia aide bisa ditempo kieu:

aide --help

Nyieun jeung initializing database

Hal kahiji anu anjeun kedah laksanakeun saatos masang AIDE nyaéta ngamimitian. Initialization diwangun ku nyieun database (snapshot) sadaya file na directories dina server.

Pikeun initialize database, ngajalankeun paréntah di handap:

aide --init

Anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Paréntah di luhur bakal nyieun database anyar aide.db.new.gz dina katalog /var/lib/aide. Éta tiasa ditingali nganggo paréntah di handap ieu:

ls -l /var/lib/aide

Hasil:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE moal make file database anyar ieu nepi ka diganti ngaranna jadi aide.db.gz. Ieu bisa dipigawé saperti kieu:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Disarankeun anjeun ngamutahirkeun database ieu périodik pikeun mastikeun yén parobahan diawaskeun leres.

Anjeun tiasa ngarobah lokasi database ku cara ngarobah parameter DBDIR dina file /etc/aide.conf.

Ngajalankeun scan

AIDE ayeuna siap ngagunakeun database anyar. Jalankeun pamariksaan AIDE munggaran tanpa ngalakukeun parobihan:

aide --check

Paréntah ieu bakal butuh sababaraha waktos kanggo réngsé gumantung kana ukuran sistem file anjeun sareng jumlah RAM dina server anjeun. Saatos scan parantos réngsé, anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Output di luhur nyebutkeun yen sakabeh file na directories cocog database AIDE.

Nguji AIDE

Sacara standar, AIDE henteu ngalacak diréktori akar Apache standar /var/www/html. Hayu urang ngonpigurasikeun AIDE pikeun nempo eta. Jang ngalampahkeun ieu anjeun kudu ngarobah file /etc/aide.conf.

nano /etc/aide.conf

Tambahkeun garis luhur "/root/CONTENT_EX" ieu:

/var/www/html/ CONTENT_EX

Salajengna, jieun file aide.txt dina katalog /var/www/html/ngagunakeun paréntah di handap ieu:

echo "Test AIDE" > /var/www/html/aide.txt

Ayeuna ngajalankeun pamariksaan AIDE sareng pastikeun yén file anu diciptakeun dideteksi.

aide --check

Anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kami ningali yén file anu diciptakeun dideteksi aide.txt.
Saatos analisa parobahan anu dideteksi, ngapdet pangkalan data AIDE.

aide --update

Saatos apdet anjeun bakal ningali ieu:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Paréntah di luhur bakal nyieun database anyar aide.db.new.gz dina katalog

/var/lib/aide/

Anjeun tiasa ningali éta kalayan paréntah di handap ieu:

ls -l /var/lib/aide/

Hasil:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Ayeuna ngaganti ngaran database anyar deui jadi AIDE ngagunakeun database anyar pikeun ngalacak parobahan salajengna. Anjeun tiasa ngagentos nami sapertos kieu:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Jalankeun parios deui pikeun mastikeun yén AIDE nganggo pangkalan data énggal:

aide --check

Anjeun kedah ningali ieu:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Urang ngajadikeun otomatis cek

Ieu mangrupakeun ide nu sae pikeun ngajalankeun hiji AIDE dipariksa unggal poé sarta ngirimkeun laporan. Prosés ieu tiasa otomatis nganggo cron.

nano /etc/crontab

Pikeun ngajalankeun pamariksaan AIDE unggal dinten di 10:15, tambahkeun garis di handap ieu kana tungtung file:

15 10 * * * root /usr/sbin/aide --check

AIDE ayeuna bakal ngabéjaan anjeun ku mail. Anjeun tiasa pariksa surat anjeun nganggo paréntah di handap ieu:

tail -f /var/mail/root

Log AIDE tiasa ditingali nganggo paréntah di handap ieu:

tail -f /var/log/aide/aide.log

kacindekan

Dina tulisan ieu, anjeun diajar kumaha ngagunakeun AIDE pikeun ngadeteksi parobahan file sareng ngaidentipikasi aksés server anu henteu sah. Pikeun setélan tambahan, anjeun tiasa ngédit file konfigurasi /etc/aide.conf. Pikeun alesan kaamanan, disarankeun pikeun nyimpen database sareng file konfigurasi dina média ngan ukur dibaca. Inpo nu leuwih lengkep bisa kapanggih dina dokuméntasi AIDE Dok.

Diajar langkung seueur ngeunaan kursus.

sumber: www.habr.com