کورس کے آغاز سے پہلے
AIDE کا مطلب ہے "Advanced Intrusion Detection Environment" اور یہ لینکس پر مبنی آپریٹنگ سسٹمز میں ہونے والی تبدیلیوں کی نگرانی کے لیے سب سے مشہور نظاموں میں سے ایک ہے۔ AIDE کا استعمال میلویئر، وائرس سے حفاظت اور غیر مجاز سرگرمیوں کا پتہ لگانے کے لیے کیا جاتا ہے۔ فائل کی سالمیت کی تصدیق کرنے اور مداخلتوں کا پتہ لگانے کے لیے، AIDE فائل کی معلومات کا ایک ڈیٹا بیس بناتا ہے اور اس ڈیٹا بیس سے سسٹم کی موجودہ حالت کا موازنہ کرتا ہے۔ AIDE ان فائلوں پر توجہ مرکوز کرکے واقعہ کی تفتیش کے وقت کو کم کرنے میں مدد کرتا ہے جن میں ترمیم کی گئی ہے۔
AIDE کی خصوصیات:
- فائل کی مختلف خصوصیات کو سپورٹ کرتا ہے، بشمول: فائل کی قسم، inode، uid، gid، اجازتیں، لنکس کی تعداد، mtime، ctime اور atime۔
- Gzip کمپریشن، SELinux، XAttrs، Posix ACL اور فائل سسٹم کی خصوصیات کے لیے سپورٹ۔
- md5، sha1، sha256، sha512، rmd160، crc32، وغیرہ سمیت مختلف الگورتھم کو سپورٹ کرتا ہے۔
- ای میل کے ذریعے اطلاعات بھیجنا۔
اس مضمون میں، ہم دیکھیں گے کہ CentOS 8 پر مداخلت کا پتہ لگانے کے لیے AIDE کو کیسے انسٹال اور استعمال کیا جائے۔
ضروریات۔
- CentOS 8 چلانے والا سرور، کم از کم 2 GB RAM کے ساتھ۔
- جڑ تک رسائی
شروع ہوا چاہتا ہے
پہلے سسٹم کو اپ ڈیٹ کرنے کی سفارش کی جاتی ہے۔ ایسا کرنے کے لیے درج ذیل کمانڈ کو چلائیں۔
dnf update -y
اپ ڈیٹ کرنے کے بعد، تبدیلیوں کے مؤثر ہونے کے لیے اپنے سسٹم کو دوبارہ شروع کریں۔
AIDE انسٹال کرنا
AIDE ڈیفالٹ CentOS 8 ریپوزٹری میں دستیاب ہے۔ آپ درج ذیل کمانڈ کو چلا کر اسے آسانی سے انسٹال کر سکتے ہیں۔
dnf install aide -y
انسٹالیشن مکمل ہونے کے بعد، آپ درج ذیل کمانڈ کا استعمال کرتے ہوئے AIDE ورژن دیکھ سکتے ہیں۔
aide --version
آپ کو درج ذیل دیکھنا چاہئے:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
دستیاب اختیارات aide
مندرجہ ذیل کے طور پر دیکھا جا سکتا ہے:
aide --help
ڈیٹا بیس بنانا اور شروع کرنا
AIDE کو انسٹال کرنے کے بعد آپ کو سب سے پہلے اسے شروع کرنا ہے۔ ابتداء میں سرور پر موجود تمام فائلوں اور ڈائریکٹریوں کا ڈیٹا بیس (اسنیپ شاٹ) بنانا ہوتا ہے۔
ڈیٹا بیس کو شروع کرنے کے لیے، درج ذیل کمانڈ کو چلائیں:
aide --init
آپ کو درج ذیل دیکھنا چاہئے:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
مذکورہ کمانڈ ایک نیا ڈیٹا بیس بنائے گی۔ aide.db.new.gz
کیٹلاگ میں /var/lib/aide
. اسے درج ذیل کمانڈ کا استعمال کرتے ہوئے دیکھا جا سکتا ہے۔
ls -l /var/lib/aide
نتیجہ:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE اس نئی ڈیٹا بیس فائل کو اس وقت تک استعمال نہیں کرے گا جب تک اس کا نام تبدیل نہیں کیا جاتا aide.db.gz
. یہ مندرجہ ذیل طور پر کیا جا سکتا ہے:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
یہ تجویز کیا جاتا ہے کہ آپ اس ڈیٹا بیس کو وقتاً فوقتاً اپ ڈیٹ کرتے رہیں تاکہ یہ یقینی بنایا جا سکے کہ تبدیلیوں کی مناسب نگرانی کی گئی ہے۔
آپ پیرامیٹر کو تبدیل کرکے ڈیٹا بیس کا مقام تبدیل کر سکتے ہیں۔ DBDIR
فائل میں /etc/aide.conf
.
اسکین چل رہا ہے۔
AIDE اب نیا ڈیٹا بیس استعمال کرنے کے لیے تیار ہے۔ بغیر کسی تبدیلی کے پہلا AIDE چیک چلائیں:
aide --check
آپ کے فائل سسٹم کے سائز اور آپ کے سرور پر RAM کی مقدار کے لحاظ سے اس کمانڈ کو مکمل ہونے میں کچھ وقت لگے گا۔ اسکین مکمل ہونے کے بعد آپ کو درج ذیل کو دیکھنا چاہیے:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
مندرجہ بالا آؤٹ پٹ کہتا ہے کہ تمام فائلیں اور ڈائریکٹریز AIDE ڈیٹا بیس سے ملتی ہیں۔
ٹیسٹنگ AIDE
پہلے سے طے شدہ طور پر، AIDE پہلے سے طے شدہ اپاچی روٹ ڈائریکٹری کو ٹریک نہیں کرتا ہے۔ /var/www/html.
آئیے اسے دیکھنے کے لیے AIDE کو ترتیب دیں۔ ایسا کرنے کے لیے آپ کو فائل کو تبدیل کرنے کی ضرورت ہے۔ /etc/aide.conf
.
nano /etc/aide.conf
اوپر لائن شامل کریں۔ "/root/CONTENT_EX"
مندرجہ ذیل:
/var/www/html/ CONTENT_EX
اگلا، ایک فائل بنائیں aide.txt
کیٹلاگ میں /var/www/html/
درج ذیل کمانڈ کا استعمال کرتے ہوئے:
echo "Test AIDE" > /var/www/html/aide.txt
اب AIDE چیک کو چلائیں اور یقینی بنائیں کہ بنائی گئی فائل کا پتہ چلا ہے۔
aide --check
آپ کو درج ذیل دیکھنا چاہئے:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
ہم دیکھتے ہیں کہ بنائی گئی فائل کا پتہ چلا ہے۔ aide.txt
.
پتہ چلنے والی تبدیلیوں کا تجزیہ کرنے کے بعد، AIDE ڈیٹا بیس کو اپ ڈیٹ کریں۔
aide --update
اپ ڈیٹ کے بعد آپ کو درج ذیل چیزیں نظر آئیں گی۔
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
مذکورہ کمانڈ ایک نیا ڈیٹا بیس بنائے گی۔ aide.db.new.gz
کیٹلاگ میں
/var/lib/aide/
آپ اسے درج ذیل کمانڈ کے ساتھ دیکھ سکتے ہیں۔
ls -l /var/lib/aide/
نتیجہ:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
اب نئے ڈیٹا بیس کا نام دوبارہ تبدیل کریں تاکہ AIDE مزید تبدیلیوں کو ٹریک کرنے کے لیے نئے ڈیٹا بیس کا استعمال کرے۔ آپ اس کا نام اس طرح تبدیل کر سکتے ہیں:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
یہ یقینی بنانے کے لیے دوبارہ چیک چلائیں کہ AIDE نیا ڈیٹا بیس استعمال کر رہا ہے:
aide --check
آپ کو درج ذیل دیکھنا چاہئے:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
ہم چیک کو خودکار بناتے ہیں۔
یہ ایک اچھا خیال ہے کہ ہر روز ایک AIDE چیک کروائیں اور رپورٹ بھیجیں۔ اس عمل کو کرون کا استعمال کرتے ہوئے خودکار کیا جا سکتا ہے۔
nano /etc/crontab
ہر روز 10:15 پر AIDE چیک چلانے کے لیے، فائل کے آخر میں درج ذیل لائن شامل کریں:
15 10 * * * root /usr/sbin/aide --check
AIDE اب آپ کو بذریعہ ڈاک مطلع کرے گا۔ آپ درج ذیل کمانڈ کے ساتھ اپنا میل چیک کر سکتے ہیں۔
tail -f /var/mail/root
AIDE لاگ کو درج ذیل کمانڈ کا استعمال کرتے ہوئے دیکھا جا سکتا ہے۔
tail -f /var/log/aide/aide.log
حاصل يہ ہوا
اس مضمون میں، آپ نے سیکھا کہ فائل میں تبدیلیوں کا پتہ لگانے اور سرور کی غیر مجاز رسائی کی شناخت کے لیے AIDE کا استعمال کیسے کریں۔ اضافی سیٹنگز کے لیے، آپ /etc/aide.conf کنفیگریشن فائل میں ترمیم کر سکتے ہیں۔ سیکورٹی وجوہات کی بنا پر، ڈیٹا بیس اور کنفیگریشن فائل کو صرف پڑھنے والے میڈیا پر اسٹور کرنے کی سفارش کی جاتی ہے۔ مزید معلومات دستاویزات میں مل سکتی ہیں۔
ماخذ: www.habr.com