ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > CentOS 8లో AIDE (అడ్వాన్స్‌డ్ ఇంట్రూషన్ డిటెక్షన్ ఎన్విరాన్‌మెంట్)ని ఎలా ఇన్‌స్టాల్ చేయాలి మరియు ఉపయోగించాలి

CentOS 8లో AIDE (అడ్వాన్స్‌డ్ ఇంట్రూషన్ డిటెక్షన్ ఎన్విరాన్‌మెంట్)ని ఎలా ఇన్‌స్టాల్ చేయాలి మరియు ఉపయోగించాలి

కోర్సు ప్రారంభానికి ముందు "Linux అడ్మినిస్ట్రేటర్" మేము ఆసక్తికరమైన విషయాల అనువాదాన్ని సిద్ధం చేసాము.

CentOS 8లో AIDE (అడ్వాన్స్‌డ్ ఇంట్రూషన్ డిటెక్షన్ ఎన్విరాన్‌మెంట్)ని ఎలా ఇన్‌స్టాల్ చేయాలి మరియు ఉపయోగించాలి

AIDE అంటే "అడ్వాన్స్‌డ్ ఇంట్రూషన్ డిటెక్షన్ ఎన్విరాన్‌మెంట్" మరియు Linux-ఆధారిత ఆపరేటింగ్ సిస్టమ్‌లలో మార్పులను పర్యవేక్షించడానికి అత్యంత ప్రజాదరణ పొందిన సిస్టమ్‌లలో ఇది ఒకటి. మాల్వేర్, వైరస్‌ల నుండి రక్షించడానికి మరియు అనధికార కార్యకలాపాలను గుర్తించడానికి AIDE ఉపయోగించబడుతుంది. ఫైల్ సమగ్రతను ధృవీకరించడానికి మరియు చొరబాట్లను గుర్తించడానికి, AIDE ఫైల్ సమాచారం యొక్క డేటాబేస్ను సృష్టిస్తుంది మరియు ఈ డేటాబేస్తో సిస్టమ్ యొక్క ప్రస్తుత స్థితిని సరిపోల్చుతుంది. AIDE సవరించిన ఫైల్‌లపై దృష్టి పెట్టడం ద్వారా సంఘటన విచారణ సమయాన్ని తగ్గించడంలో సహాయపడుతుంది.

AIDE లక్షణాలు:

  • ఫైల్ రకం, ఐనోడ్, uid, gid, అనుమతులు, లింక్‌ల సంఖ్య, mtime, ctime మరియు సమయాలతో సహా వివిధ ఫైల్ లక్షణాలకు మద్దతు ఇస్తుంది.
  • Gzip కంప్రెషన్, SELinux, XAttrs, Posix ACL మరియు ఫైల్ సిస్టమ్ అట్రిబ్యూట్‌లకు మద్దతు.
  • md5, sha1, sha256, sha512, rmd160, crc32 మొదలైన వివిధ అల్గారిథమ్‌లకు మద్దతు ఇస్తుంది.
  • ఇమెయిల్ ద్వారా నోటిఫికేషన్‌లను పంపుతోంది.

ఈ కథనంలో, CentOS 8లో చొరబాట్లను గుర్తించడం కోసం AIDEని ఎలా ఇన్‌స్టాల్ చేసి ఉపయోగించాలో చూద్దాం.

ముందస్తు అవసరాలు

  • కనీసం 8 GB RAMతో, CentOS 2ని అమలు చేస్తున్న సర్వర్.
  • రూట్ యాక్సెస్

ప్రారంభించడం

ముందుగా సిస్టమ్‌ను అప్‌డేట్ చేయాలని సిఫార్సు చేయబడింది. దీన్ని చేయడానికి, కింది ఆదేశాన్ని అమలు చేయండి.

dnf update -y

నవీకరించిన తర్వాత, మార్పులు అమలులోకి రావడానికి మీ సిస్టమ్‌ని పునఃప్రారంభించండి.

AIDEని ఇన్‌స్టాల్ చేస్తోంది

AIDE డిఫాల్ట్ CentOS 8 రిపోజిటరీలో అందుబాటులో ఉంది. మీరు కింది ఆదేశాన్ని అమలు చేయడం ద్వారా దీన్ని సులభంగా ఇన్‌స్టాల్ చేయవచ్చు:

dnf install aide -y

సంస్థాపన పూర్తయిన తర్వాత, మీరు కింది ఆదేశాన్ని ఉపయోగించి AIDE సంస్కరణను చూడవచ్చు:

aide --version

మీరు ఈ క్రింది వాటిని చూడాలి:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

అందుబాటులో ఉన్న ఎంపికలు aide ఈ క్రింది విధంగా చూడవచ్చు:

aide --help

CentOS 8లో AIDE (అడ్వాన్స్‌డ్ ఇంట్రూషన్ డిటెక్షన్ ఎన్విరాన్‌మెంట్)ని ఎలా ఇన్‌స్టాల్ చేయాలి మరియు ఉపయోగించాలి

డేటాబేస్ను సృష్టించడం మరియు ప్రారంభించడం

AIDEని ఇన్‌స్టాల్ చేసిన తర్వాత మీరు చేయవలసిన మొదటి విషయం దాన్ని ప్రారంభించడం. సర్వర్‌లోని అన్ని ఫైల్‌లు మరియు డైరెక్టరీల డేటాబేస్ (స్నాప్‌షాట్) సృష్టించడం ప్రారంభించడం.

డేటాబేస్ను ప్రారంభించడానికి, కింది ఆదేశాన్ని అమలు చేయండి:

aide --init

మీరు ఈ క్రింది వాటిని చూడాలి:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

పై ఆదేశం కొత్త డేటాబేస్ను సృష్టిస్తుంది aide.db.new.gz జాబితాలో /var/lib/aide. కింది ఆదేశాన్ని ఉపయోగించి దీనిని చూడవచ్చు:

ls -l /var/lib/aide

ఫలితంగా:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE ఈ కొత్త డేటాబేస్ ఫైల్ పేరు మార్చే వరకు ఉపయోగించదు aide.db.gz. ఇది క్రింది విధంగా చేయవచ్చు:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

మార్పులు సరిగ్గా పర్యవేక్షించబడుతున్నాయని నిర్ధారించుకోవడానికి మీరు కాలానుగుణంగా ఈ డేటాబేస్ను నవీకరించాలని సిఫార్సు చేయబడింది.

మీరు పరామితిని మార్చడం ద్వారా డేటాబేస్ స్థానాన్ని మార్చవచ్చు DBDIR ఫైల్‌లో /etc/aide.conf.

స్కాన్ రన్ అవుతోంది

AIDE ఇప్పుడు కొత్త డేటాబేస్‌ని ఉపయోగించడానికి సిద్ధంగా ఉంది. ఎటువంటి మార్పులు చేయకుండా మొదటి AIDE తనిఖీని అమలు చేయండి:

aide --check

మీ ఫైల్ సిస్టమ్ పరిమాణం మరియు మీ సర్వర్‌లోని RAM మొత్తాన్ని బట్టి ఈ ఆదేశం పూర్తి కావడానికి కొంత సమయం పడుతుంది. స్కాన్ పూర్తయిన తర్వాత మీరు ఈ క్రింది వాటిని చూడాలి:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

అన్ని ఫైల్‌లు మరియు డైరెక్టరీలు AIDE డేటాబేస్‌తో సరిపోలుతున్నాయని పై అవుట్‌పుట్ చెబుతోంది.

AIDEని పరీక్షిస్తోంది

డిఫాల్ట్‌గా, AIDE డిఫాల్ట్ Apache రూట్ డైరెక్టరీని ట్రాక్ చేయదు /var/www/html. దీన్ని వీక్షించడానికి AIDEని కాన్ఫిగర్ చేద్దాం. దీన్ని చేయడానికి, మీరు ఫైల్‌ను మార్చాలి /etc/aide.conf.

nano /etc/aide.conf

ఎగువ పంక్తిని జోడించండి "/root/CONTENT_EX" కిందివి:

/var/www/html/ CONTENT_EX

తరువాత, ఫైల్‌ను సృష్టించండి aide.txt జాబితాలో /var/www/html/కింది ఆదేశాన్ని ఉపయోగించి:

echo "Test AIDE" > /var/www/html/aide.txt

ఇప్పుడు AIDE తనిఖీని అమలు చేయండి మరియు రూపొందించబడిన ఫైల్ కనుగొనబడిందని నిర్ధారించుకోండి.

aide --check

మీరు ఈ క్రింది వాటిని చూడాలి:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

సృష్టించబడిన ఫైల్ కనుగొనబడినట్లు మేము చూస్తాము aide.txt.
గుర్తించిన మార్పులను విశ్లేషించిన తర్వాత, AIDE డేటాబేస్‌ను నవీకరించండి.

aide --update

నవీకరణ తర్వాత మీరు ఈ క్రింది వాటిని చూస్తారు:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

పై ఆదేశం కొత్త డేటాబేస్ను సృష్టిస్తుంది aide.db.new.gz జాబితాలో 

/var/lib/aide/

మీరు దీన్ని క్రింది కమాండ్‌తో చూడవచ్చు:

ls -l /var/lib/aide/

ఫలితంగా:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

ఇప్పుడు కొత్త డేటాబేస్ పేరు మార్చండి, తద్వారా AIDE తదుపరి మార్పులను ట్రాక్ చేయడానికి కొత్త డేటాబేస్‌ను ఉపయోగిస్తుంది. మీరు ఈ క్రింది విధంగా పేరు మార్చవచ్చు:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

AIDE కొత్త డేటాబేస్‌ని ఉపయోగిస్తోందని నిర్ధారించుకోవడానికి తనిఖీని మళ్లీ అమలు చేయండి:

aide --check

మీరు ఈ క్రింది వాటిని చూడాలి:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

మేము చెక్‌ను ఆటోమేట్ చేస్తాము

ప్రతిరోజూ AIDE తనిఖీని అమలు చేయడం మరియు నివేదికను మెయిల్ చేయడం మంచిది. క్రాన్ ఉపయోగించి ఈ ప్రక్రియను స్వయంచాలకంగా చేయవచ్చు.

nano /etc/crontab

AIDE చెక్‌ను ప్రతిరోజూ 10:15కి అమలు చేయడానికి, ఫైల్ చివర కింది పంక్తిని జోడించండి:

15 10 * * * root /usr/sbin/aide --check

AIDE ఇప్పుడు మీకు మెయిల్ ద్వారా తెలియజేస్తుంది. కింది ఆదేశంతో మీరు మీ మెయిల్‌ను తనిఖీ చేయవచ్చు:

tail -f /var/mail/root

కింది ఆదేశాన్ని ఉపయోగించి AIDE లాగ్‌ను చూడవచ్చు:

tail -f /var/log/aide/aide.log

తీర్మానం

ఈ కథనంలో, ఫైల్ మార్పులను గుర్తించడానికి మరియు అనధికార సర్వర్ యాక్సెస్‌ను గుర్తించడానికి AIDEని ఎలా ఉపయోగించాలో మీరు నేర్చుకున్నారు. అదనపు సెట్టింగ్‌ల కోసం, మీరు /etc/aide.conf కాన్ఫిగరేషన్ ఫైల్‌ని సవరించవచ్చు. భద్రతా కారణాల దృష్ట్యా, డేటాబేస్ మరియు కాన్ఫిగరేషన్ ఫైల్‌ను రీడ్-ఓన్లీ మీడియాలో నిల్వ చేయాలని సిఫార్సు చేయబడింది. మరింత సమాచారం డాక్యుమెంటేషన్‌లో చూడవచ్చు AIDE డాక్.

కోర్సు గురించి మరింత తెలుసుకోండి.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి