Kurs boshlanishidan oldin
AIDE “Advanced Intrusion Detection Environment” degan maʼnoni anglatadi va Linuxga asoslangan operatsion tizimlardagi oʻzgarishlarni kuzatish uchun eng mashhur tizimlardan biridir. AIDE zararli dasturlardan, viruslardan himoya qilish va ruxsatsiz harakatlarni aniqlash uchun ishlatiladi. Fayl yaxlitligini tekshirish va tajovuzlarni aniqlash uchun AIDE fayl ma'lumotlari bazasini yaratadi va tizimning joriy holatini ushbu ma'lumotlar bazasi bilan taqqoslaydi. AIDE o'zgartirilgan fayllarga e'tibor qaratish orqali hodisani tekshirish vaqtini qisqartirishga yordam beradi.
AIDE xususiyatlari:
- Turli xil fayl atributlarini qo'llab-quvvatlaydi, jumladan: fayl turi, inode, uid, gid, ruxsatlar, havolalar soni, mtime, ctime va atime.
- Gzip siqish, SELinux, XAttrs, Posix ACL va fayl tizimi atributlarini qo'llab-quvvatlash.
- Md5, sha1, sha256, sha512, rmd160, crc32 va boshqalarni o'z ichiga olgan turli xil algoritmlarni qo'llab-quvvatlaydi.
- Elektron pochta orqali bildirishnomalarni yuborish.
Ushbu maqolada biz CentOS 8 da bosqinni aniqlash uchun AIDE-ni qanday o'rnatish va undan foydalanishni ko'rib chiqamiz.
Old shartlar
- CentOS 8 operatsion tizimida ishlaydigan server, kamida 2 GB operativ xotiraga ega.
- ildizga kirish
Ishga kirishish
Avval tizimni yangilash tavsiya etiladi. Buning uchun quyidagi buyruqni bajaring.
dnf update -y
Yangilashdan so'ng, o'zgarishlar kuchga kirishi uchun tizimni qayta ishga tushiring.
AIDE o'rnatilmoqda
AIDE standart CentOS 8 omborida mavjud. Siz uni quyidagi buyruqni bajarish orqali osongina oʻrnatishingiz mumkin:
dnf install aide -y
O'rnatish tugallangach, quyidagi buyruq yordamida AIDE versiyasini ko'rishingiz mumkin:
aide --version
Siz quyidagilarni ko'rishingiz kerak:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Mavjud variantlar aide
quyidagicha ko'rish mumkin:
aide --help
Ma'lumotlar bazasini yaratish va ishga tushirish
AIDE-ni o'rnatganingizdan so'ng qilishingiz kerak bo'lgan birinchi narsa uni ishga tushirishdir. Initializatsiya serverdagi barcha fayllar va kataloglarning ma'lumotlar bazasini (snapshot) yaratishdan iborat.
Ma'lumotlar bazasini ishga tushirish uchun quyidagi buyruqni bajaring:
aide --init
Siz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Yuqoridagi buyruq yangi ma'lumotlar bazasini yaratadi aide.db.new.gz
katalogda /var/lib/aide
. Buni quyidagi buyruq yordamida ko'rish mumkin:
ls -l /var/lib/aide
natija:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ushbu yangi ma'lumotlar bazasi fayli nomini o'zgartirmaguncha foydalanmaydi aide.db.gz
. Buni quyidagicha amalga oshirish mumkin:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
O'zgarishlarning to'g'ri kuzatilishini ta'minlash uchun ushbu ma'lumotlar bazasini vaqti-vaqti bilan yangilab turish tavsiya etiladi.
Parametrni o'zgartirish orqali ma'lumotlar bazasining joylashishini o'zgartirishingiz mumkin DBDIR
faylda /etc/aide.conf
.
Skanerlash
AIDE endi yangi ma'lumotlar bazasidan foydalanishga tayyor. Hech qanday o'zgarishsiz birinchi AIDE tekshiruvini bajaring:
aide --check
Ushbu buyruq fayl tizimingiz hajmiga va serveringizdagi RAM miqdoriga qarab bajarilishi uchun biroz vaqt kerak bo'ladi. Skanerlash tugallangandan so'ng siz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Yuqoridagi chiqishda aytilishicha, barcha fayllar va kataloglar AIDE ma'lumotlar bazasiga mos keladi.
AIDE sinovi
Odatiy bo'lib, AIDE standart Apache ildiz katalogini kuzatmaydi /var/www/html.
Keling, uni ko'rish uchun AIDE ni sozlaymiz. Buning uchun siz faylni o'zgartirishingiz kerak /etc/aide.conf
.
nano /etc/aide.conf
Yuqoridagi qatorni qo'shing "/root/CONTENT_EX"
Quyidagilar:
/var/www/html/ CONTENT_EX
Keyin fayl yarating aide.txt
katalogda /var/www/html/
quyidagi buyruq yordamida:
echo "Test AIDE" > /var/www/html/aide.txt
Endi AIDE tekshiruvini bajaring va yaratilgan fayl aniqlanganligiga ishonch hosil qiling.
aide --check
Siz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yaratilgan fayl aniqlanganligini ko'ramiz aide.txt
.
Aniqlangan o'zgarishlarni tahlil qilgandan so'ng, AIDE ma'lumotlar bazasini yangilang.
aide --update
Yangilanishdan so'ng siz quyidagilarni ko'rasiz:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yuqoridagi buyruq yangi ma'lumotlar bazasini yaratadi aide.db.new.gz
katalogda
/var/lib/aide/
Buni quyidagi buyruq bilan ko'rishingiz mumkin:
ls -l /var/lib/aide/
natija:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Endi yangi ma'lumotlar bazasi nomini qayta o'zgartiring, shunda AIDE keyingi o'zgarishlarni kuzatish uchun yangi ma'lumotlar bazasidan foydalanadi. Siz uni quyidagicha nomlashingiz mumkin:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE yangi ma'lumotlar bazasidan foydalanayotganiga ishonch hosil qilish uchun tekshirishni qayta bajaring:
aide --check
Siz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Biz tekshirishni avtomatlashtiramiz
Har kuni AIDE tekshiruvini o'tkazish va hisobotni pochta orqali yuborish yaxshi fikr. Bu jarayon cron yordamida avtomatlashtirilishi mumkin.
nano /etc/crontab
AIDE tekshiruvini har kuni soat 10:15 da bajarish uchun fayl oxiriga quyidagi qatorni qo'shing:
15 10 * * * root /usr/sbin/aide --check
AIDE endi sizni pochta orqali xabardor qiladi. Pochtangizni quyidagi buyruq bilan tekshirishingiz mumkin:
tail -f /var/mail/root
AIDE jurnalini quyidagi buyruq yordamida ko'rish mumkin:
tail -f /var/log/aide/aide.log
xulosa
Ushbu maqolada siz fayl o'zgarishlarini aniqlash va serverga ruxsatsiz kirishni aniqlash uchun AIDE-dan qanday foydalanishni o'rgandingiz. Qo'shimcha sozlamalar uchun /etc/aide.conf konfiguratsiya faylini tahrirlashingiz mumkin. Xavfsizlik nuqtai nazaridan ma'lumotlar bazasi va konfiguratsiya faylini faqat o'qish uchun mo'ljallangan muhitda saqlash tavsiya etiladi. Qo'shimcha ma'lumotni hujjatlarda topishingiz mumkin
Manba: www.habr.com