Чӣ тавр насб кардан ва истифода бурдани AIDE (Муҳити мукаммали ошкоркунии ҳамла) дар CentOS 8

Пеш аз оғози курс "Администратори Linux" Мо тарчумаи материали шавковарро тайёр кардем.

AIDE маънои "Муҳити мукаммали ошкоркунии ҳамла"-ро дорад ва яке аз маъмултарин системаҳо барои мониторинги тағирот дар системаҳои оператсионии Linux мебошад. AIDE барои муҳофизат аз нармафзори зараровар, вирусҳо ва ошкор кардани фаъолиятҳои беиҷозат истифода мешавад. Барои санҷидани якпорчагии файл ва ошкор кардани ҳамлаҳо, AIDE махзани маълумоти файлиро эҷод мекунад ва ҳолати кунунии системаро бо ин махзани маълумот муқоиса мекунад. AIDE ба кам кардани вақти таҳқиқи ҳодиса бо тамаркуз ба файлҳои тағирёфта кӯмак мекунад.

Хусусиятҳои AIDE:

• Атрибутҳои гуногуни файлро дастгирӣ мекунад, аз ҷумла: навъи файл, inode, uid, gid, иҷозатҳо, шумораи истинодҳо, mtime, ctime ва atime.
• Дастгирии фишурдани Gzip, SELinux, XAttrs, Posix ACL ва атрибутҳои системаи файлӣ.
• Алгоритмҳои гуногунро дастгирӣ мекунад, аз ҷумла md5, sha1, sha256, sha512, rmd160, crc32 ва ғайра.
• Ирсоли огоҳиномаҳо тавассути почтаи электронӣ.

Дар ин мақола, мо дида мебароем, ки чӣ гуна AIDE-ро барои ошкор кардани ҳамла дар CentOS 8 насб кардан ва истифода бурдан мумкин аст.

Шарти пешакӣ

• Сервер бо CentOS 8 кор мекунад, ки ҳадди аққал 2 ГБ хотираи оперативӣ дорад.
• дастрасии реша

Оғоз кардан

Тавсия дода мешавад, ки аввал системаро навсозӣ кунед. Барои ин, фармони зеринро иҷро кунед.

dnf update -y

Пас аз навсозӣ, системаи худро бозоғоз намоед, то тағиротҳо эътибор пайдо кунанд.

Насб кардани AIDE

AIDE дар анбори пешфарз CentOS 8 дастрас аст. Шумо метавонед онро бо иҷрои фармони зерин ба осонӣ насб кунед:

dnf install aide -y

Пас аз ба итмом расидани насб, шумо метавонед версияи AIDE-ро бо истифода аз фармони зерин дидан кунед:

aide --version

Шумо бояд инҳоро бинед:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Вариантҳои дастрас aide ба таври зерин дидан мумкин аст:

aide --help

Эҷод ва оғоз кардани пойгоҳи додаҳо

Аввалин чизе, ки шумо бояд пас аз насб кардани AIDE анҷом диҳед, ин оғоз кардани он аст. Оғозсозӣ аз эҷоди пойгоҳи додаҳо (расми) ҳамаи файлҳо ва директорияҳо дар сервер иборат аст.

Барои оғоз кардани пойгоҳи додаҳо, фармони зеринро иҷро кунед:

aide --init

Шумо бояд инҳоро бинед:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Фармони боло пойгоҳи додаи нав эҷод мекунад aide.db.new.gz дар каталог /var/lib/aide. Онро бо истифода аз фармони зерин дидан мумкин аст:

ls -l /var/lib/aide

Натиҷа:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE ин файли нави махзани маълумотро то он даме, ки номи он ба он тағир дода нашавад, истифода намебарад aide.db.gz. Инро метавон ба таври зерин анҷом дод:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Тавсия дода мешавад, ки ин базаи маълумотро давра ба давра навсозӣ кунед, то тағирот дуруст назорат карда шавад.

Шумо метавонед ҷойгиршавии пойгоҳи додаҳоро бо тағир додани параметр тағир диҳед DBDIR дар файл /etc/aide.conf.

Гузаронидани чек

AIDE ҳоло омода аст, ки пойгоҳи навро истифода барад. Санҷиши аввалини AIDE-ро бидуни ворид кардани тағирот иҷро кунед:

aide --check

Ин фармон вобаста ба андозаи системаи файлии шумо ва миқдори RAM дар сервери шумо барои анҷом додани он чанд вақт лозим аст. Пас аз анҷом ёфтани скан, шумо бояд инҳоро бинед:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Натиҷаи боло мегӯяд, ки ҳама файлҳо ва директорияҳо ба пойгоҳи додаҳои AIDE мувофиқат мекунанд.

Санҷиши AIDE

Бо нобаёнӣ, AIDE феҳристи аслии Apache-ро пайгирӣ намекунад /var/www/html. Биёед AIDE-ро барои дидани он танзим кунем. Барои ин ба шумо лозим аст, ки файлро тағир диҳед /etc/aide.conf.

nano /etc/aide.conf

Сатри болоро илова кунед "/root/CONTENT_EX" пас аз он:

/var/www/html/ CONTENT_EX

Баъдан, файл эҷод кунед aide.txt дар каталог /var/www/html/бо истифода аз фармони зерин:

echo "Test AIDE" > /var/www/html/aide.txt

Акнун санҷиши AIDE-ро иҷро кунед ва боварӣ ҳосил кунед, ки файли сохташуда ошкор шудааст.

aide --check

Шумо бояд инҳоро бинед:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Мо мебинем, ки файли сохташуда ошкор карда шудааст aide.txt.
Пас аз таҳлили тағироти ошкоршуда, пойгоҳи додаи AIDE-ро нав кунед.

aide --update

Пас аз навсозӣ шумо инҳоро хоҳед дид:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Фармони боло пойгоҳи додаи нав эҷод мекунад aide.db.new.gz дар каталог

/var/lib/aide/

Шумо метавонед онро бо фармони зерин дидан кунед:

ls -l /var/lib/aide/

Натиҷа:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Акнун номи махзани навро дубора иваз кунед, то AIDE базаи навро барои пайгирии тағйироти минбаъда истифода барад. Шумо метавонед онро ба таври зерин номгузорӣ кунед:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Санҷишро дубора иҷро кунед, то боварӣ ҳосил кунед, ки AIDE базаи навро истифода мебарад:

aide --check

Шумо бояд инҳоро бинед:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Мо чекро автоматй мекунем

Ин як фикри хуб аст, ки ҳар рӯз санҷиши AIDE гузаред ва гузоришро ба почтаи электронӣ фиристед. Ин равандро бо истифода аз cron автоматӣ кардан мумкин аст.

nano /etc/crontab

Барои анҷом додани санҷиши AIDE ҳар рӯз соати 10:15 ба охири файл сатри зеринро илова кунед:

15 10 * * * root /usr/sbin/aide --check

AIDE ҳоло шуморо тавассути почта огоҳ мекунад. Шумо метавонед почтаи худро бо фармони зерин тафтиш кунед:

tail -f /var/mail/root

Сабти AIDE-ро бо истифода аз фармони зерин дидан мумкин аст:

tail -f /var/log/aide/aide.log

хулоса

Дар ин мақола, шумо фаҳмидед, ки чӣ тавр истифода бурдани AIDE барои ошкор кардани тағироти файл ва муайян кардани дастрасии беиҷозат ба сервер. Барои танзимоти иловагӣ, шумо метавонед файли конфигуратсияи /etc/aide.conf-ро таҳрир кунед. Бо сабабҳои амният, тавсия дода мешавад, ки пойгоҳи додаҳо ва файли конфигуратсияро дар васоити танҳо барои хондан нигоҳ доред. Маълумоти бештарро дар ҳуҷҷатҳо пайдо кардан мумкин аст AIDE Doc.

Дар бораи курс маълумоти бештар гиред.

Манбаъ: will.com