பாடநெறி தொடங்கும் முன்
AIDE என்பது "மேம்பட்ட ஊடுருவல் கண்டறிதல் சூழல்" மற்றும் லினக்ஸ் அடிப்படையிலான இயக்க முறைமைகளில் ஏற்படும் மாற்றங்களைக் கண்காணிப்பதற்கான மிகவும் பிரபலமான அமைப்புகளில் ஒன்றாகும். AIDE தீம்பொருள், வைரஸ்கள் ஆகியவற்றிலிருந்து பாதுகாக்க மற்றும் அங்கீகரிக்கப்படாத செயல்பாடுகளைக் கண்டறிய பயன்படுகிறது. கோப்பு ஒருமைப்பாட்டை சரிபார்க்க மற்றும் ஊடுருவல்களை கண்டறிய, AIDE ஆனது கோப்பு தகவலின் தரவுத்தளத்தை உருவாக்குகிறது மற்றும் இந்த தரவுத்தளத்துடன் கணினியின் தற்போதைய நிலையை ஒப்பிடுகிறது. மாற்றப்பட்ட கோப்புகளில் கவனம் செலுத்துவதன் மூலம் சம்பவ விசாரணை நேரத்தை குறைக்க AIDE உதவுகிறது.
AIDE அம்சங்கள்:
- கோப்பு வகை, ஐனோட், uid, gid, அனுமதிகள், இணைப்புகளின் எண்ணிக்கை, mtime, ctime மற்றும் atime உள்ளிட்ட பல்வேறு கோப்பு பண்புக்கூறுகளை ஆதரிக்கிறது.
- Gzip சுருக்க, SELinux, XAttrs, Posix ACL மற்றும் கோப்பு முறைமை பண்புக்கூறுகளுக்கான ஆதரவு.
- md5, sha1, sha256, sha512, rmd160, crc32, போன்ற பல்வேறு அல்காரிதம்களை ஆதரிக்கிறது.
- மின்னஞ்சல் மூலம் அறிவிப்புகளை அனுப்புகிறது.
இந்த கட்டுரையில், CentOS 8 இல் ஊடுருவலைக் கண்டறிவதற்கு AIDE ஐ எவ்வாறு நிறுவுவது மற்றும் பயன்படுத்துவது என்பதைப் பார்ப்போம்.
முன்நிபந்தனைகள்
- சேவையகம் CentOS 8 இல் இயங்குகிறது, குறைந்தது 2 ஜிபி ரேம் கொண்டது.
- ரூட் அணுகல்
தொடங்குதல்
முதலில் கணினியைப் புதுப்பிக்க பரிந்துரைக்கப்படுகிறது. இதைச் செய்ய, பின்வரும் கட்டளையை இயக்கவும்.
dnf update -y
புதுப்பித்த பிறகு, மாற்றங்கள் நடைமுறைக்கு வர உங்கள் கணினியை மறுதொடக்கம் செய்யுங்கள்.
AIDE ஐ நிறுவுகிறது
இயல்புநிலை CentOS 8 களஞ்சியத்தில் AIDE கிடைக்கிறது. பின்வரும் கட்டளையை இயக்குவதன் மூலம் அதை எளிதாக நிறுவலாம்:
dnf install aide -y
நிறுவல் முடிந்ததும், பின்வரும் கட்டளையைப் பயன்படுத்தி AIDE பதிப்பைப் பார்க்கலாம்:
aide --version
பின்வருவனவற்றை நீங்கள் பார்க்க வேண்டும்:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
கிடைக்கும் விருப்பங்கள் aide
பின்வருமாறு பார்க்க முடியும்:
aide --help
தரவுத்தளத்தை உருவாக்குதல் மற்றும் துவக்குதல்
AIDE ஐ நிறுவிய பின் நீங்கள் செய்ய வேண்டிய முதல் விஷயம், அதை துவக்க வேண்டும். துவக்கம் என்பது சர்வரில் உள்ள அனைத்து கோப்புகள் மற்றும் கோப்பகங்களின் தரவுத்தளத்தை (ஸ்னாப்ஷாட்) உருவாக்குவதைக் கொண்டுள்ளது.
தரவுத்தளத்தை துவக்க, பின்வரும் கட்டளையை இயக்கவும்:
aide --init
பின்வருவனவற்றை நீங்கள் பார்க்க வேண்டும்:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
மேலே உள்ள கட்டளை புதிய தரவுத்தளத்தை உருவாக்கும் aide.db.new.gz
பட்டியலில் /var/lib/aide
. பின்வரும் கட்டளையைப் பயன்படுத்தி இதைக் காணலாம்:
ls -l /var/lib/aide
முடிவு:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE இந்த புதிய தரவுத்தள கோப்பை மறுபெயரிடும் வரை பயன்படுத்தாது aide.db.gz
. இதை பின்வருமாறு செய்யலாம்:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
மாற்றங்கள் சரியாக கண்காணிக்கப்படுவதை உறுதிசெய்ய, இந்த தரவுத்தளத்தை அவ்வப்போது புதுப்பிக்க பரிந்துரைக்கப்படுகிறது.
அளவுருவை மாற்றுவதன் மூலம் தரவுத்தளத்தின் இருப்பிடத்தை மாற்றலாம் DBDIR
கோப்பில் /etc/aide.conf
.
ஸ்கேன் இயக்குகிறது
AIDE இப்போது புதிய தரவுத்தளத்தைப் பயன்படுத்த தயாராக உள்ளது. எந்த மாற்றமும் செய்யாமல் முதல் AIDE சரிபார்ப்பை இயக்கவும்:
aide --check
உங்கள் கோப்பு முறைமையின் அளவு மற்றும் உங்கள் சர்வரில் உள்ள RAM அளவைப் பொறுத்து இந்த கட்டளையை முடிக்க சிறிது நேரம் எடுக்கும். ஸ்கேன் முடிந்ததும், பின்வருவனவற்றைப் பார்க்க வேண்டும்:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
மேலே உள்ள வெளியீடு அனைத்து கோப்புகளும் கோப்பகங்களும் AIDE தரவுத்தளத்துடன் பொருந்துகிறது என்று கூறுகிறது.
AIDE ஐ சோதிக்கிறது
முன்னிருப்பாக, AIDE ஆனது இயல்புநிலை Apache ரூட் கோப்பகத்தைக் கண்காணிக்காது /var/www/html.
அதைப் பார்க்க AIDE ஐ உள்ளமைப்போம். இதைச் செய்ய, நீங்கள் கோப்பை மாற்ற வேண்டும் /etc/aide.conf
.
nano /etc/aide.conf
மேலே உள்ள வரியைச் சேர்க்கவும் "/root/CONTENT_EX"
பின்வரும்:
/var/www/html/ CONTENT_EX
அடுத்து, ஒரு கோப்பை உருவாக்கவும் aide.txt
பட்டியலில் /var/www/html/
பின்வரும் கட்டளையைப் பயன்படுத்தி:
echo "Test AIDE" > /var/www/html/aide.txt
இப்போது AIDE சரிபார்ப்பை இயக்கவும் மற்றும் உருவாக்கப்பட்ட கோப்பு கண்டறியப்பட்டதா என்பதை உறுதிப்படுத்தவும்.
aide --check
பின்வருவனவற்றை நீங்கள் பார்க்க வேண்டும்:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
உருவாக்கப்பட்ட கோப்பு கண்டறியப்பட்டதைக் காண்கிறோம் aide.txt
.
கண்டறியப்பட்ட மாற்றங்களை பகுப்பாய்வு செய்த பிறகு, AIDE தரவுத்தளத்தைப் புதுப்பிக்கவும்.
aide --update
புதுப்பித்தலுக்குப் பிறகு, பின்வருவனவற்றைக் காண்பீர்கள்:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
மேலே உள்ள கட்டளை புதிய தரவுத்தளத்தை உருவாக்கும் aide.db.new.gz
பட்டியலில்
/var/lib/aide/
பின்வரும் கட்டளையுடன் நீங்கள் அதைக் காணலாம்:
ls -l /var/lib/aide/
முடிவு:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
இப்போது புதிய தரவுத்தளத்தை மறுபெயரிடுங்கள், இதனால் AIDE மேலும் மாற்றங்களைக் கண்காணிக்க புதிய தரவுத்தளத்தைப் பயன்படுத்துகிறது. நீங்கள் அதை பின்வருமாறு மறுபெயரிடலாம்:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE புதிய தரவுத்தளத்தைப் பயன்படுத்துகிறதா என்பதை உறுதிப்படுத்த மீண்டும் சோதனையை இயக்கவும்:
aide --check
பின்வருவனவற்றை நீங்கள் பார்க்க வேண்டும்:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
காசோலையை தானியக்கமாக்குகிறோம்
ஒவ்வொரு நாளும் AIDE சோதனையை நடத்தி அறிக்கையை அஞ்சல் மூலம் அனுப்புவது நல்லது. கிரானைப் பயன்படுத்தி இந்த செயல்முறையை தானியக்கமாக்க முடியும்.
nano /etc/crontab
AIDE சரிபார்ப்பை ஒவ்வொரு நாளும் 10:15 மணிக்கு இயக்க, கோப்பின் முடிவில் பின்வரும் வரியைச் சேர்க்கவும்:
15 10 * * * root /usr/sbin/aide --check
AIDE இப்போது உங்களுக்கு அஞ்சல் மூலம் தெரிவிக்கும். பின்வரும் கட்டளையைப் பயன்படுத்தி உங்கள் அஞ்சலைச் சரிபார்க்கலாம்:
tail -f /var/mail/root
AIDE பதிவை பின்வரும் கட்டளையைப் பயன்படுத்தி பார்க்கலாம்:
tail -f /var/log/aide/aide.log
முடிவுக்கு
இந்தக் கட்டுரையில், கோப்பு மாற்றங்களைக் கண்டறிவதற்கும் அங்கீகரிக்கப்படாத சேவையக அணுகலைக் கண்டறிவதற்கும் AIDE ஐ எவ்வாறு பயன்படுத்துவது என்பதை நீங்கள் கற்றுக்கொண்டீர்கள். கூடுதல் அமைப்புகளுக்கு, /etc/aide.conf உள்ளமைவு கோப்பை நீங்கள் திருத்தலாம். பாதுகாப்பு காரணங்களுக்காக, தரவுத்தளத்தையும் உள்ளமைவு கோப்பையும் படிக்க-மட்டும் மீடியாவில் சேமிக்க பரிந்துரைக்கப்படுகிறது. மேலும் தகவல்களை ஆவணத்தில் காணலாம்
ஆதாரம்: www.habr.com