ProHoster > blog > Utawala > Jinsi ya Kusakinisha na Kutumia AIDE (Mazingira ya Juu ya Ugunduzi wa Uingiliaji) kwenye CentOS 8

Jinsi ya Kusakinisha na Kutumia AIDE (Mazingira ya Juu ya Ugunduzi wa Uingiliaji) kwenye CentOS 8

Kabla ya kuanza kwa kozi "Msimamizi wa Linux" Tumetayarisha tafsiri ya nyenzo za kuvutia.

Jinsi ya Kusakinisha na Kutumia AIDE (Mazingira ya Juu ya Ugunduzi wa Uingiliaji) kwenye CentOS 8

AIDE inasimamia "Mazingira ya Juu ya Kugundua Uingiliaji" na ni mojawapo ya mifumo maarufu zaidi ya ufuatiliaji wa mabadiliko katika mifumo ya uendeshaji inayotegemea Linux. AIDE hutumiwa kulinda dhidi ya programu hasidi, virusi na kugundua shughuli zisizoidhinishwa. Ili kuthibitisha uadilifu wa faili na kugundua uingiliaji, AIDE huunda hifadhidata ya maelezo ya faili na kulinganisha hali ya sasa ya mfumo na hifadhidata hii. AIDE husaidia kupunguza muda wa uchunguzi wa matukio kwa kuzingatia faili ambazo zimerekebishwa.

Vipengele vya AIDE:

  • Inasaidia sifa mbalimbali za faili, ikiwa ni pamoja na: aina ya faili, ingizo, uid, gid, ruhusa, idadi ya viungo, mtime, ctime na atime.
  • Usaidizi wa ukandamizaji wa Gzip, SELinux, XAttrs, Posix ACL na sifa za mfumo wa faili.
  • Inaauni algoriti mbalimbali ikiwa ni pamoja na md5, sha1, sha256, sha512, rmd160, crc32, nk.
  • Kutuma arifa kwa barua pepe.

Katika makala haya, tutaangalia jinsi ya kusakinisha na kutumia AIDE kwa ugunduzi wa uingiliaji kwenye CentOS 8.

Masharti

  • Seva inayoendesha CentOS 8, yenye angalau GB 2 ya RAM.
  • ufikiaji wa mizizi

Kuanza

Inashauriwa kusasisha mfumo kwanza. Ili kufanya hivyo, endesha amri ifuatayo.

dnf update -y

Baada ya kusasisha, anzisha upya mfumo wako ili mabadiliko yaanze kutumika.

Inasakinisha AIDE

AIDE inapatikana katika hazina chaguomsingi ya CentOS 8. Unaweza kuisakinisha kwa urahisi kwa kutekeleza amri ifuatayo:

dnf install aide -y

Mara tu usakinishaji ukamilika, unaweza kutazama toleo la AIDE kwa kutumia amri ifuatayo:

aide --version

Unapaswa kuona yafuatayo:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Chaguzi zinazopatikana aide inaweza kutazamwa kama ifuatavyo:

aide --help

Jinsi ya Kusakinisha na Kutumia AIDE (Mazingira ya Juu ya Ugunduzi wa Uingiliaji) kwenye CentOS 8

Kuunda na kuanzisha hifadhidata

Jambo la kwanza unahitaji kufanya baada ya kusakinisha AIDE ni kuanzisha. Uanzishaji unajumuisha kuunda hifadhidata (picha) ya faili zote na saraka kwenye seva.

Ili kuanzisha hifadhidata, endesha amri ifuatayo:

aide --init

Unapaswa kuona yafuatayo:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Amri iliyo hapo juu itaunda hifadhidata mpya aide.db.new.gz katika orodha /var/lib/aide. Inaweza kuonekana kwa kutumia amri ifuatayo:

ls -l /var/lib/aide

Matokeo:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE haitatumia faili hii mpya ya hifadhidata hadi ipewe jina jipya aide.db.gz. Hii inaweza kufanywa kama ifuatavyo:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Inapendekezwa kuwa usasishe hifadhidata hii mara kwa mara ili kuhakikisha kuwa mabadiliko yanafuatiliwa ipasavyo.

Unaweza kubadilisha eneo la hifadhidata kwa kubadilisha parameter DBDIR katika faili /etc/aide.conf.

Inaendesha skanning

AIDE sasa iko tayari kutumia hifadhidata mpya. Tekeleza ukaguzi wa kwanza wa AIDE bila kufanya mabadiliko yoyote:

aide --check

Amri hii itachukua muda kukamilika kulingana na saizi ya mfumo wako wa faili na kiasi cha RAM kwenye seva yako. Baada ya skanisho kukamilika unapaswa kuona yafuatayo:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Matokeo hapo juu yanasema kwamba faili na saraka zote zinalingana na hifadhidata ya AIDE.

Msaidizi wa Kujaribu

Kwa chaguo-msingi, AIDE haifuatilii saraka ya msingi ya Apache /var/www/html. Wacha tusanidi AIDE ili kuiona. Ili kufanya hivyo, unahitaji kubadilisha faili /etc/aide.conf.

nano /etc/aide.conf

Ongeza mstari hapo juu "/root/CONTENT_EX" zifuatazo:

/var/www/html/ CONTENT_EX

Ifuatayo, unda faili aide.txt katika orodha /var/www/html/kwa kutumia amri ifuatayo:

echo "Test AIDE" > /var/www/html/aide.txt

Sasa endesha hundi ya AIDE na uhakikishe kuwa faili iliyoundwa imegunduliwa.

aide --check

Unapaswa kuona yafuatayo:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Tunaona kwamba faili iliyoundwa imegunduliwa aide.txt.
Baada ya kuchambua mabadiliko yaliyogunduliwa, sasisha hifadhidata ya AIDE.

aide --update

Baada ya sasisho utaona yafuatayo:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Amri iliyo hapo juu itaunda hifadhidata mpya aide.db.new.gz katika orodha 

/var/lib/aide/

Unaweza kuiona kwa amri ifuatayo:

ls -l /var/lib/aide/

Matokeo:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sasa ipe hifadhidata mpya tena ili AIDE itumie hifadhidata mpya kufuatilia mabadiliko zaidi. Unaweza kuiita jina jipya kama ifuatavyo:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Tekeleza ukaguzi tena ili kuhakikisha kuwa AIDE inatumia hifadhidata mpya:

aide --check

Unapaswa kuona yafuatayo:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Sisi hundi otomatiki

Ni wazo nzuri kuendesha ukaguzi wa AIDE kila siku na kutuma ripoti. Utaratibu huu unaweza kuwa otomatiki kwa kutumia cron.

nano /etc/crontab

Ili kutekeleza ukaguzi wa AIDE kila siku saa 10:15, ongeza laini ifuatayo hadi mwisho wa faili:

15 10 * * * root /usr/sbin/aide --check

AIDE sasa itakuarifu kwa barua. Unaweza kuangalia barua pepe yako kwa amri ifuatayo:

tail -f /var/mail/root

Logi ya AIDE inaweza kutazamwa kwa kutumia amri ifuatayo:

tail -f /var/log/aide/aide.log

Hitimisho

Katika nakala hii, umejifunza jinsi ya kutumia AIDE kugundua mabadiliko ya faili na kutambua ufikiaji wa seva isiyoidhinishwa. Kwa mipangilio ya ziada, unaweza kuhariri /etc/aide.conf faili ya usanidi. Kwa sababu za usalama, inashauriwa kuhifadhi hifadhidata na faili ya usanidi kwenye media ya kusoma tu. Habari zaidi inaweza kupatikana katika nyaraka AIDE Doc.

Jifunze zaidi kuhusu kozi.

Chanzo: mapenzi.com

Kuongeza maoni