ProHoster > blogg > administration > Hur man installerar och använder AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Hur man installerar och använder AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Innan kursstart "Linux-administratör" Vi har förberett en översättning av intressant material.

Hur man installerar och använder AIDE (Advanced Intrusion Detection Environment) på CentOS 8

AIDE står för "Advanced Intrusion Detection Environment" och är ett av de mest populära systemen för att övervaka förändringar i Linux-baserade operativsystem. AIDE används för att skydda mot skadlig programvara, virus och upptäcka obehöriga aktiviteter. För att verifiera filintegriteten och upptäcka intrång skapar AIDE en databas med filinformation och jämför systemets nuvarande tillstånd med denna databas. AIDE hjälper till att minska incidentutredningstiden genom att fokusera på filer som har ändrats.

AIDE-funktioner:

  • Stöder olika filattribut, inklusive: filtyp, inode, uid, gid, behörigheter, antal länkar, mtime, ctime och atime.
  • Stöd för Gzip-komprimering, SELinux, XAttrs, Posix ACL och filsystemattribut.
  • Stöder olika algoritmer inklusive md5, sha1, sha256, sha512, rmd160, crc32, etc.
  • Skicka aviseringar via e-post.

I den här artikeln kommer vi att titta på hur man installerar och använder AIDE för intrångsdetektering på CentOS 8.

Förutsättningar

  • Server som kör CentOS 8, med minst 2 GB RAM.
  • root-åtkomst

Komma igång

Det rekommenderas att uppdatera systemet först. För att göra detta, kör följande kommando.

dnf update -y

Efter uppdatering startar du om ditt system för att ändringarna ska träda i kraft.

Installerar AIDE

AIDE är tillgängligt i standardförrådet för CentOS 8. Du kan enkelt installera det genom att köra följande kommando:

dnf install aide -y

När installationen är klar kan du se AIDE-versionen med följande kommando:

aide --version

Du bör se följande:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Tillgängliga val aide kan ses enligt följande:

aide --help

Hur man installerar och använder AIDE (Advanced Intrusion Detection Environment) på CentOS 8

Skapa och initialisera databasen

Det första du behöver göra efter att du har installerat AIDE är att initiera det. Initiering består av att skapa en databas (snapshot) av alla filer och kataloger på servern.

För att initiera databasen, kör följande kommando:

aide --init

Du bör se följande:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Kommandot ovan skapar en ny databas aide.db.new.gz i katalogen /var/lib/aide. Det kan ses med följande kommando:

ls -l /var/lib/aide

Resultat:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE kommer inte att använda denna nya databasfil förrän den har bytt namn till aide.db.gz. Detta kan göras på följande sätt:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Det rekommenderas att du uppdaterar den här databasen regelbundet för att säkerställa att ändringar övervakas korrekt.

Du kan ändra platsen för databasen genom att ändra parametern DBDIR i fil /etc/aide.conf.

Kör en kontroll

AIDE är nu redo att använda den nya databasen. Kör den första AIDE-kontrollen utan att göra några ändringar:

aide --check

Detta kommando kommer att ta lite tid att slutföra beroende på storleken på ditt filsystem och mängden RAM på din server. När skanningen är klar bör du se följande:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Ovanstående utdata säger att alla filer och kataloger matchar AIDE-databasen.

Testar AIDE

Som standard spårar AIDE inte Apaches standardrotkatalog /var/www/html. Låt oss konfigurera AIDE för att se den. För att göra detta måste du ändra filen /etc/aide.conf.

nano /etc/aide.conf

Lägg till ovanstående rad "/root/CONTENT_EX" följande:

/var/www/html/ CONTENT_EX

Skapa sedan en fil aide.txt i katalogen /var/www/html/med följande kommando:

echo "Test AIDE" > /var/www/html/aide.txt

Kör nu AIDE-kontrollen och se till att den skapade filen upptäcks.

aide --check

Du bör se följande:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Vi ser att den skapade filen detekteras aide.txt.
Efter att ha analyserat de upptäckta ändringarna uppdaterar du AIDE-databasen.

aide --update

Efter uppdateringen kommer du att se följande:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kommandot ovan skapar en ny databas aide.db.new.gz i katalogen 

/var/lib/aide/

Du kan se det med följande kommando:

ls -l /var/lib/aide/

Resultat:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Byt nu namn på den nya databasen igen så att AIDE använder den nya databasen för att spåra ytterligare ändringar. Du kan byta namn på den enligt följande:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Kör kontrollen igen för att säkerställa att AIDE använder den nya databasen:

aide --check

Du bör se följande:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Vi automatiserar kontrollen

Det är en bra idé att göra en AIDE-kontroll varje dag och skicka rapporten. Denna process kan automatiseras med cron.

nano /etc/crontab

För att köra AIDE-kontrollen varje dag klockan 10:15, lägg till följande rad i slutet av filen:

15 10 * * * root /usr/sbin/aide --check

AIDE kommer nu att meddela dig via post. Du kan kontrollera din e-post med följande kommando:

tail -f /var/mail/root

AIDE-loggen kan ses med följande kommando:

tail -f /var/log/aide/aide.log

Slutsats

I den här artikeln lärde du dig hur du använder AIDE för att upptäcka filändringar och identifiera obehörig serveråtkomst. För ytterligare inställningar kan du redigera konfigurationsfilen /etc/aide.conf. Av säkerhetsskäl rekommenderas det att lagra databasen och konfigurationsfilen på skrivskyddade media. Mer information finns i dokumentationen AIDE Doc.

Läs mer om kursen.

Källa: will.com

Lägg en kommentar