پرو ہوسٹر > بلاگ > انتظامیہ > CentOS 8 پر AIDE (Advanced Intrusion Detection Environment) کو انسٹال اور استعمال کرنے کا طریقہ

CentOS 8 پر AIDE (Advanced Intrusion Detection Environment) کو انسٹال اور استعمال کرنے کا طریقہ

کورس کے آغاز سے پہلے "لینکس ایڈمنسٹریٹر" ہم نے دلچسپ مواد کا ترجمہ تیار کیا ہے۔

CentOS 8 پر AIDE (Advanced Intrusion Detection Environment) کو انسٹال اور استعمال کرنے کا طریقہ

AIDE کا مطلب ہے "Advanced Intrusion Detection Environment" اور یہ لینکس پر مبنی آپریٹنگ سسٹمز میں ہونے والی تبدیلیوں کی نگرانی کے لیے سب سے مشہور نظاموں میں سے ایک ہے۔ AIDE کا استعمال میلویئر، وائرس سے حفاظت اور غیر مجاز سرگرمیوں کا پتہ لگانے کے لیے کیا جاتا ہے۔ فائل کی سالمیت کی تصدیق کرنے اور مداخلتوں کا پتہ لگانے کے لیے، AIDE فائل کی معلومات کا ایک ڈیٹا بیس بناتا ہے اور اس ڈیٹا بیس سے سسٹم کی موجودہ حالت کا موازنہ کرتا ہے۔ AIDE ان فائلوں پر توجہ مرکوز کرکے واقعہ کی تفتیش کے وقت کو کم کرنے میں مدد کرتا ہے جن میں ترمیم کی گئی ہے۔

AIDE کی خصوصیات:

  • فائل کی مختلف خصوصیات کو سپورٹ کرتا ہے، بشمول: فائل کی قسم، inode، uid، gid، اجازتیں، لنکس کی تعداد، mtime، ctime اور atime۔
  • Gzip کمپریشن، SELinux، XAttrs، Posix ACL اور فائل سسٹم کی خصوصیات کے لیے سپورٹ۔
  • md5، sha1، sha256، sha512، rmd160، crc32، وغیرہ سمیت مختلف الگورتھم کو سپورٹ کرتا ہے۔
  • ای میل کے ذریعے اطلاعات بھیجنا۔

اس مضمون میں، ہم دیکھیں گے کہ CentOS 8 پر مداخلت کا پتہ لگانے کے لیے AIDE کو کیسے انسٹال اور استعمال کیا جائے۔

ضروریات۔

  • CentOS 8 چلانے والا سرور، کم از کم 2 GB RAM کے ساتھ۔
  • جڑ تک رسائی

شروع ہوا چاہتا ہے

پہلے سسٹم کو اپ ڈیٹ کرنے کی سفارش کی جاتی ہے۔ ایسا کرنے کے لیے درج ذیل کمانڈ کو چلائیں۔

dnf update -y

اپ ڈیٹ کرنے کے بعد، تبدیلیوں کے مؤثر ہونے کے لیے اپنے سسٹم کو دوبارہ شروع کریں۔

AIDE انسٹال کرنا

AIDE ڈیفالٹ CentOS 8 ریپوزٹری میں دستیاب ہے۔ آپ درج ذیل کمانڈ کو چلا کر اسے آسانی سے انسٹال کر سکتے ہیں۔

dnf install aide -y

انسٹالیشن مکمل ہونے کے بعد، آپ درج ذیل کمانڈ کا استعمال کرتے ہوئے AIDE ورژن دیکھ سکتے ہیں۔

aide --version

آپ کو درج ذیل دیکھنا چاہئے:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

دستیاب اختیارات aide مندرجہ ذیل کے طور پر دیکھا جا سکتا ہے:

aide --help

CentOS 8 پر AIDE (Advanced Intrusion Detection Environment) کو انسٹال اور استعمال کرنے کا طریقہ

ڈیٹا بیس بنانا اور شروع کرنا

AIDE کو انسٹال کرنے کے بعد آپ کو سب سے پہلے اسے شروع کرنا ہے۔ ابتداء میں سرور پر موجود تمام فائلوں اور ڈائریکٹریوں کا ڈیٹا بیس (اسنیپ شاٹ) بنانا ہوتا ہے۔

ڈیٹا بیس کو شروع کرنے کے لیے، درج ذیل کمانڈ کو چلائیں:

aide --init

آپ کو درج ذیل دیکھنا چاہئے:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

مذکورہ کمانڈ ایک نیا ڈیٹا بیس بنائے گی۔ aide.db.new.gz کیٹلاگ میں /var/lib/aide. اسے درج ذیل کمانڈ کا استعمال کرتے ہوئے دیکھا جا سکتا ہے۔

ls -l /var/lib/aide

نتیجہ:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE اس نئی ڈیٹا بیس فائل کو اس وقت تک استعمال نہیں کرے گا جب تک اس کا نام تبدیل نہیں کیا جاتا aide.db.gz. یہ مندرجہ ذیل طور پر کیا جا سکتا ہے:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

یہ تجویز کیا جاتا ہے کہ آپ اس ڈیٹا بیس کو وقتاً فوقتاً اپ ڈیٹ کرتے رہیں تاکہ یہ یقینی بنایا جا سکے کہ تبدیلیوں کی مناسب نگرانی کی گئی ہے۔

آپ پیرامیٹر کو تبدیل کرکے ڈیٹا بیس کا مقام تبدیل کر سکتے ہیں۔ DBDIR فائل میں /etc/aide.conf.

اسکین چل رہا ہے۔

AIDE اب نیا ڈیٹا بیس استعمال کرنے کے لیے تیار ہے۔ بغیر کسی تبدیلی کے پہلا AIDE چیک چلائیں:

aide --check

آپ کے فائل سسٹم کے سائز اور آپ کے سرور پر RAM کی مقدار کے لحاظ سے اس کمانڈ کو مکمل ہونے میں کچھ وقت لگے گا۔ اسکین مکمل ہونے کے بعد آپ کو درج ذیل کو دیکھنا چاہیے:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

مندرجہ بالا آؤٹ پٹ کہتا ہے کہ تمام فائلیں اور ڈائریکٹریز AIDE ڈیٹا بیس سے ملتی ہیں۔

ٹیسٹنگ AIDE

پہلے سے طے شدہ طور پر، AIDE پہلے سے طے شدہ اپاچی روٹ ڈائریکٹری کو ٹریک نہیں کرتا ہے۔ /var/www/html. آئیے اسے دیکھنے کے لیے AIDE کو ترتیب دیں۔ ایسا کرنے کے لیے آپ کو فائل کو تبدیل کرنے کی ضرورت ہے۔ /etc/aide.conf.

nano /etc/aide.conf

اوپر لائن شامل کریں۔ "/root/CONTENT_EX" مندرجہ ذیل:

/var/www/html/ CONTENT_EX

اگلا، ایک فائل بنائیں aide.txt کیٹلاگ میں /var/www/html/درج ذیل کمانڈ کا استعمال کرتے ہوئے:

echo "Test AIDE" > /var/www/html/aide.txt

اب AIDE چیک کو چلائیں اور یقینی بنائیں کہ بنائی گئی فائل کا پتہ چلا ہے۔

aide --check

آپ کو درج ذیل دیکھنا چاہئے:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

ہم دیکھتے ہیں کہ بنائی گئی فائل کا پتہ چلا ہے۔ aide.txt.
پتہ چلنے والی تبدیلیوں کا تجزیہ کرنے کے بعد، AIDE ڈیٹا بیس کو اپ ڈیٹ کریں۔

aide --update

اپ ڈیٹ کے بعد آپ کو درج ذیل چیزیں نظر آئیں گی۔

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

مذکورہ کمانڈ ایک نیا ڈیٹا بیس بنائے گی۔ aide.db.new.gz کیٹلاگ میں 

/var/lib/aide/

آپ اسے درج ذیل کمانڈ کے ساتھ دیکھ سکتے ہیں۔

ls -l /var/lib/aide/

نتیجہ:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

اب نئے ڈیٹا بیس کا نام دوبارہ تبدیل کریں تاکہ AIDE مزید تبدیلیوں کو ٹریک کرنے کے لیے نئے ڈیٹا بیس کا استعمال کرے۔ آپ اس کا نام اس طرح تبدیل کر سکتے ہیں:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

یہ یقینی بنانے کے لیے دوبارہ چیک چلائیں کہ AIDE نیا ڈیٹا بیس استعمال کر رہا ہے:

aide --check

آپ کو درج ذیل دیکھنا چاہئے:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

ہم چیک کو خودکار بناتے ہیں۔

یہ ایک اچھا خیال ہے کہ ہر روز ایک AIDE چیک کروائیں اور رپورٹ بھیجیں۔ اس عمل کو کرون کا استعمال کرتے ہوئے خودکار کیا جا سکتا ہے۔

nano /etc/crontab

ہر روز 10:15 پر AIDE چیک چلانے کے لیے، فائل کے آخر میں درج ذیل لائن شامل کریں:

15 10 * * * root /usr/sbin/aide --check

AIDE اب آپ کو بذریعہ ڈاک مطلع کرے گا۔ آپ درج ذیل کمانڈ کے ساتھ اپنا میل چیک کر سکتے ہیں۔

tail -f /var/mail/root

AIDE لاگ کو درج ذیل کمانڈ کا استعمال کرتے ہوئے دیکھا جا سکتا ہے۔

tail -f /var/log/aide/aide.log

حاصل يہ ہوا

اس مضمون میں، آپ نے سیکھا کہ فائل میں تبدیلیوں کا پتہ لگانے اور سرور کی غیر مجاز رسائی کی شناخت کے لیے AIDE کا استعمال کیسے کریں۔ اضافی سیٹنگز کے لیے، آپ /etc/aide.conf کنفیگریشن فائل میں ترمیم کر سکتے ہیں۔ سیکورٹی وجوہات کی بنا پر، ڈیٹا بیس اور کنفیگریشن فائل کو صرف پڑھنے والے میڈیا پر اسٹور کرنے کی سفارش کی جاتی ہے۔ مزید معلومات دستاویزات میں مل سکتی ہیں۔ AIDE ڈاکٹر.

کورس کے بارے میں مزید جانیں۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں