Kurs başlamadan önce
AIDE, “Gelişmiş Saldırı Tespit Ortamı” anlamına gelir ve Linux tabanlı işletim sistemlerindeki değişiklikleri izlemek için en popüler sistemlerden biridir. AIDE, kötü amaçlı yazılımlara, virüslere karşı koruma sağlamak ve yetkisiz etkinlikleri tespit etmek için kullanılır. Dosya bütünlüğünü doğrulamak ve izinsiz girişleri tespit etmek için AIDE, dosya bilgilerinin yer aldığı bir veritabanı oluşturur ve sistemin mevcut durumunu bu veritabanıyla karşılaştırır. AIDE, değiştirilen dosyalara odaklanarak olay inceleme süresinin azaltılmasına yardımcı olur.
AIDE'nin özellikleri:
- Aşağıdakiler dahil çeşitli dosya niteliklerini destekler: dosya türü, inode, uid, gid, izinler, bağlantı sayısı, mtime, ctime ve atime.
- Gzip sıkıştırması, SELinux, XAttrs, Posix ACL ve dosya sistemi nitelikleri desteği.
- Md5, sha1, sha256, sha512, rmd160, crc32 vb. dahil olmak üzere çeşitli algoritmaları destekler.
- Bildirimlerin e-postayla gönderilmesi.
Bu makalede, CentOS 8'de izinsiz giriş tespiti için AIDE'nin nasıl kurulacağına ve kullanılacağına bakacağız.
Önkoşullar
- En az 8 GB RAM'e sahip, CentOS 2 çalıştıran sunucu.
- kök erişimi
Başlarken
Öncelikle sistemi güncellemeniz tavsiye edilir. Bunu yapmak için aşağıdaki komutu çalıştırın.
dnf update -y
Güncellemeden sonra değişikliklerin etkili olması için sisteminizi yeniden başlatın.
AIDE'yi yükleme
AIDE, varsayılan CentOS 8 deposunda mevcuttur. Aşağıdaki komutu çalıştırarak kolayca yükleyebilirsiniz:
dnf install aide -y
Kurulum tamamlandıktan sonra aşağıdaki komutu kullanarak AIDE sürümünü görüntüleyebilirsiniz:
aide --version
Aşağıdakileri görmelisiniz:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Mevcut seçenekler aide
şu şekilde görüntülenebilir:
aide --help
Veritabanını oluşturma ve başlatma
AIDE'yi kurduktan sonra yapmanız gereken ilk şey onu başlatmaktır. Başlatma, sunucudaki tüm dosya ve dizinlerin bir veritabanının (anlık görüntüsünün) oluşturulmasından oluşur.
Veritabanını başlatmak için aşağıdaki komutu çalıştırın:
aide --init
Aşağıdakileri görmelisiniz:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Yukarıdaki komut yeni bir veritabanı oluşturacaktır aide.db.new.gz
katalogda /var/lib/aide
. Aşağıdaki komut kullanılarak görülebilir:
ls -l /var/lib/aide
Sonuç:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE, bu yeni veritabanı dosyasını şu şekilde yeniden adlandırılıncaya kadar kullanmayacaktır: aide.db.gz
. Bu şöyle yapılabilir:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Değişikliklerin düzgün bir şekilde izlendiğinden emin olmak için bu veritabanını düzenli aralıklarla güncellemeniz önerilir.
Parametreyi değiştirerek veritabanının konumunu değiştirebilirsiniz. DBDIR
dosyada /etc/aide.conf
.
çek çalıştırma
AIDE artık yeni veritabanını kullanmaya hazır. Herhangi bir değişiklik yapmadan ilk AIDE kontrolünü çalıştırın:
aide --check
Bu komutun tamamlanması, dosya sisteminizin boyutuna ve sunucunuzdaki RAM miktarına bağlı olarak biraz zaman alacaktır. Tarama tamamlandığında aşağıdakileri görmelisiniz:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Yukarıdaki çıktı, tüm dosya ve dizinlerin AIDE veritabanıyla eşleştiğini söylüyor.
AIDE'yi test etme
Varsayılan olarak AIDE, varsayılan Apache kök dizinini izlemez /var/www/html.
AIDE'yi görüntüleyecek şekilde yapılandıralım. Bunu yapmak için dosyayı değiştirmeniz gerekir /etc/aide.conf
.
nano /etc/aide.conf
Yukarıdaki satırı ekle "/root/CONTENT_EX"
aşağıdaki:
/var/www/html/ CONTENT_EX
Sonra bir dosya oluşturun aide.txt
katalogda /var/www/html/
aşağıdaki komutu kullanarak:
echo "Test AIDE" > /var/www/html/aide.txt
Şimdi AIDE kontrolünü çalıştırın ve oluşturulan dosyanın algılandığından emin olun.
aide --check
Aşağıdakileri görmelisiniz:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Oluşturulan dosyanın tespit edildiğini görüyoruz aide.txt
.
Tespit edilen değişiklikleri analiz ettikten sonra AIDE veritabanını güncelleyin.
aide --update
Güncellemeden sonra aşağıdakileri göreceksiniz:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yukarıdaki komut yeni bir veritabanı oluşturacaktır aide.db.new.gz
katalogda
/var/lib/aide/
Aşağıdaki komutla görebilirsiniz:
ls -l /var/lib/aide/
Sonuç:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Şimdi AIDE'nin daha sonraki değişiklikleri izlemek için yeni veritabanını kullanması için yeni veritabanını yeniden adlandırın. Bunu şu şekilde yeniden adlandırabilirsiniz:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE'nin yeni veritabanını kullandığından emin olmak için kontrolü tekrar çalıştırın:
aide --check
Aşağıdakileri görmelisiniz:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Kontrolü otomatikleştiriyoruz
Her gün bir AIDE kontrolü yapmak ve raporu postayla göndermek iyi bir fikirdir. Bu işlem cron kullanılarak otomatikleştirilebilir.
nano /etc/crontab
AIDE kontrolünü her gün saat 10:15'te çalıştırmak için dosyanın sonuna aşağıdaki satırı ekleyin:
15 10 * * * root /usr/sbin/aide --check
AIDE artık sizi posta yoluyla bilgilendirecek. Postanızı aşağıdaki komutla kontrol edebilirsiniz:
tail -f /var/mail/root
AIDE günlüğü aşağıdaki komut kullanılarak görüntülenebilir:
tail -f /var/log/aide/aide.log
Sonuç
Bu makalede, dosya değişikliklerini algılamak ve yetkisiz sunucu erişimini belirlemek için AIDE'yi nasıl kullanacağınızı öğrendiniz. Ek ayarlar için /etc/aide.conf yapılandırma dosyasını düzenleyebilirsiniz. Güvenlik nedeniyle veritabanının ve yapılandırma dosyasının salt okunur ortamda saklanması önerilir. Daha fazla bilgiyi belgelerde bulabilirsiniz
Kaynak: habr.com