Bago magsimula ang kurso Naghanda kami ng pagsasalin ng kawili-wiling materyal.
Ang AIDE ay nangangahulugang "Advanced Intrusion Detection Environment" at isa sa mga pinakasikat na system para sa pagsubaybay sa mga pagbabago sa Linux-based na mga operating system. Ang AIDE ay ginagamit upang maprotektahan laban sa malware, mga virus at makakita ng mga hindi awtorisadong aktibidad. Upang i-verify ang integridad ng file at makita ang mga panghihimasok, gumagawa ang AIDE ng database ng impormasyon ng file at inihahambing ang kasalukuyang estado ng system sa database na ito. Tumutulong ang AIDE na bawasan ang oras ng pagsisiyasat ng insidente sa pamamagitan ng pagtuon sa mga file na binago.
Mga tampok ng AIDE:
- Sinusuportahan ang iba't ibang mga katangian ng file, kabilang ang: uri ng file, inode, uid, gid, mga pahintulot, bilang ng mga link, mtime, ctime at atime.
- Suporta para sa Gzip compression, SELinux, XAttrs, Posix ACL at mga katangian ng file system.
- Sinusuportahan ang iba't ibang mga algorithm kabilang ang md5, sha1, sha256, sha512, rmd160, crc32, atbp.
- Nagpapadala ng mga notification sa pamamagitan ng email.
Sa artikulong ito, titingnan natin kung paano i-install at gamitin ang AIDE para sa intrusion detection sa CentOS 8.
Mga Pangangailangan
- Server na tumatakbo sa CentOS 8, na may hindi bababa sa 2 GB ng RAM.
- pag-access sa ugat
Pagsisimula
Inirerekomenda na i-update muna ang system. Upang gawin ito, patakbuhin ang sumusunod na command.
dnf update -yPagkatapos mag-update, i-restart ang iyong system para magkabisa ang mga pagbabago.
Pag-install ng AIDE
Available ang AIDE sa default na imbakan ng CentOS 8. Madali mo itong mai-install sa pamamagitan ng pagpapatakbo ng sumusunod na command:
dnf install aide -yKapag kumpleto na ang pag-install, maaari mong tingnan ang bersyon ng AIDE gamit ang sumusunod na command:
aide --versionDapat mong makita ang sumusunod:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Magagamit na Mga Pagpipilian aide maaaring matingnan tulad ng sumusunod:
aide --help
Paglikha at pagsisimula ng database
Ang unang bagay na kailangan mong gawin pagkatapos i-install ang AIDE ay ang simulan ito. Ang pagsisimula ay binubuo ng paglikha ng isang database (snapshot) ng lahat ng mga file at direktoryo sa server.
Upang simulan ang database, patakbuhin ang sumusunod na command:
aide --initDapat mong makita ang sumusunod:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Ang utos sa itaas ay lilikha ng bagong database aide.db.new.gz sa catalog /var/lib/aide. Ito ay makikita gamit ang sumusunod na utos:
ls -l /var/lib/aideResulta:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
Hindi gagamitin ng AIDE ang bagong database file na ito hanggang sa mapalitan ito ng pangalan aide.db.gz. Ito ay maaaring gawin tulad ng sumusunod:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzInirerekomenda na pana-panahon mong i-update ang database na ito upang matiyak na ang mga pagbabago ay maayos na sinusubaybayan.
Maaari mong baguhin ang lokasyon ng database sa pamamagitan ng pagbabago ng parameter DBDIR sa file /etc/aide.conf.
Nagpapatakbo ng tseke
Ang AIDE ay handa na ngayong gamitin ang bagong database. Patakbuhin ang first AIDE check nang hindi gumagawa ng anumang mga pagbabago:
aide --checkAng utos na ito ay magtatagal ng ilang oras upang makumpleto depende sa laki ng iyong file system at ang dami ng RAM sa iyong server. Kapag nakumpleto na ang pag-scan dapat mong makita ang sumusunod:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Ang output sa itaas ay nagsasabi na ang lahat ng mga file at direktoryo ay tumutugma sa AIDE database.
Pagsubok ng AIDE
Bilang default, hindi sinusubaybayan ng AIDE ang default na direktoryo ng ugat ng Apache /var/www/html. I-configure natin ang AIDE para tingnan ito. Upang gawin ito kailangan mong baguhin ang file /etc/aide.conf.
nano /etc/aide.conf
Magdagdag ng linya sa itaas "/root/CONTENT_EX" ang mga sumusunod:
/var/www/html/ CONTENT_EX
Susunod, lumikha ng isang file aide.txt sa catalog /var/www/html/gamit ang sumusunod na command:
echo "Test AIDE" > /var/www/html/aide.txtNgayon patakbuhin ang AIDE check at siguraduhin na ang nilikha na file ay nakita.
aide --checkDapat mong makita ang sumusunod:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Nakita namin na nakita ang nilikhang file aide.txt.
Pagkatapos suriin ang mga nakitang pagbabago, i-update ang AIDE database.
aide --updatePagkatapos ng pag-update makikita mo ang sumusunod:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Ang utos sa itaas ay lilikha ng bagong database aide.db.new.gz sa catalog
/var/lib/aide/Makikita mo ito gamit ang sumusunod na utos:
ls -l /var/lib/aide/Resulta:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzNgayon palitan muli ang pangalan ng bagong database upang magamit ng AIDE ang bagong database upang subaybayan ang mga karagdagang pagbabago. Maaari mong palitan ang pangalan nito gaya ng sumusunod:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzPatakbuhin muli ang tseke upang matiyak na ginagamit ng AIDE ang bagong database:
aide --checkDapat mong makita ang sumusunod:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!I-automate namin ang tseke
Magandang ideya na magpatakbo ng tseke ng AIDE araw-araw at ipadala ang ulat. Ang prosesong ito ay maaaring awtomatiko gamit ang cron.
nano /etc/crontabUpang patakbuhin ang AIDE check araw-araw sa 10:15, idagdag ang sumusunod na linya sa dulo ng file:
15 10 * * * root /usr/sbin/aide --checkAabisuhan ka na ngayon ng AIDE sa pamamagitan ng koreo. Maaari mong suriin ang iyong mail gamit ang sumusunod na command:
tail -f /var/mail/rootMaaaring matingnan ang log ng AIDE gamit ang sumusunod na command:
tail -f /var/log/aide/aide.logKonklusyon
Sa artikulong ito, natutunan mo kung paano gamitin ang AIDE upang makita ang mga pagbabago sa file at tukuyin ang hindi awtorisadong pag-access sa server. Para sa mga karagdagang setting, maaari mong i-edit ang /etc/aide.conf configuration file. Para sa mga kadahilanang pangseguridad, inirerekumenda na iimbak ang database at configuration file sa read-only na media. Higit pang impormasyon ay matatagpuan sa dokumentasyon .
Pinagmulan: www.habr.com