Kurs boshlanishidan oldin Biz qiziqarli materialning tarjimasini tayyorladik.
AIDE “Advanced Intrusion Detection Environment” degan maʼnoni anglatadi va Linuxga asoslangan operatsion tizimlardagi oʻzgarishlarni kuzatish uchun eng mashhur tizimlardan biridir. AIDE zararli dasturlardan, viruslardan himoya qilish va ruxsatsiz harakatlarni aniqlash uchun ishlatiladi. Fayl yaxlitligini tekshirish va tajovuzlarni aniqlash uchun AIDE fayl ma'lumotlari bazasini yaratadi va tizimning joriy holatini ushbu ma'lumotlar bazasi bilan taqqoslaydi. AIDE o'zgartirilgan fayllarga e'tibor qaratish orqali hodisani tekshirish vaqtini qisqartirishga yordam beradi.
AIDE xususiyatlari:
- Turli xil fayl atributlarini qo'llab-quvvatlaydi, jumladan: fayl turi, inode, uid, gid, ruxsatlar, havolalar soni, mtime, ctime va atime.
- Gzip siqish, SELinux, XAttrs, Posix ACL va fayl tizimi atributlarini qo'llab-quvvatlash.
- Md5, sha1, sha256, sha512, rmd160, crc32 va boshqalarni o'z ichiga olgan turli xil algoritmlarni qo'llab-quvvatlaydi.
- Elektron pochta orqali bildirishnomalarni yuborish.
Ushbu maqolada biz CentOS 8 da bosqinni aniqlash uchun AIDE-ni qanday o'rnatish va undan foydalanishni ko'rib chiqamiz.
Old shartlar
- CentOS 8 operatsion tizimida ishlaydigan server, kamida 2 GB operativ xotiraga ega.
- ildizga kirish
Ishga kirishish
Avval tizimni yangilash tavsiya etiladi. Buning uchun quyidagi buyruqni bajaring.
dnf update -yYangilashdan so'ng, o'zgarishlar kuchga kirishi uchun tizimni qayta ishga tushiring.
AIDE o'rnatilmoqda
AIDE standart CentOS 8 omborida mavjud. Siz uni quyidagi buyruqni bajarish orqali osongina oʻrnatishingiz mumkin:
dnf install aide -yO'rnatish tugallangach, quyidagi buyruq yordamida AIDE versiyasini ko'rishingiz mumkin:
aide --versionSiz quyidagilarni ko'rishingiz kerak:
Aide 0.16
Compiled with the following options:
WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"
Mavjud variantlar aide quyidagicha ko'rish mumkin:
aide --help
Ma'lumotlar bazasini yaratish va ishga tushirish
AIDE-ni o'rnatganingizdan so'ng qilishingiz kerak bo'lgan birinchi narsa uni ishga tushirishdir. Initializatsiya serverdagi barcha fayllar va kataloglarning ma'lumotlar bazasini (snapshot) yaratishdan iborat.
Ma'lumotlar bazasini ishga tushirish uchun quyidagi buyruqni bajaring:
aide --initSiz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79P7hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Yuqoridagi buyruq yangi ma'lumotlar bazasini yaratadi aide.db.new.gz katalogda /var/lib/aide. Buni quyidagi buyruq yordamida ko'rish mumkin:
ls -l /var/lib/aidenatija:
total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE ushbu yangi ma'lumotlar bazasi fayli nomini o'zgartirmaguncha foydalanmaydi aide.db.gz. Buni quyidagicha amalga oshirish mumkin:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzO'zgarishlarning to'g'ri kuzatilishini ta'minlash uchun ushbu ma'lumotlar bazasini vaqti-vaqti bilan yangilab turish tavsiya etiladi.
Parametrni o'zgartirish orqali ma'lumotlar bazasining joylashishini o'zgartirishingiz mumkin DBDIR faylda /etc/aide.conf.
Skanerlash
AIDE endi yangi ma'lumotlar bazasidan foydalanishga tayyor. Hech qanday o'zgarishsiz birinchi AIDE tekshiruvini bajaring:
aide --checkUshbu buyruq fayl tizimingiz hajmiga va serveringizdagi RAM miqdoriga qarab bajarilishi uchun biroz vaqt kerak bo'ladi. Skanerlash tugallangandan so'ng siz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Yuqoridagi chiqishda aytilishicha, barcha fayllar va kataloglar AIDE ma'lumotlar bazasiga mos keladi.
AIDE sinovi
Odatiy bo'lib, AIDE standart Apache ildiz katalogini kuzatmaydi /var/www/html. Keling, uni ko'rish uchun AIDE ni sozlaymiz. Buning uchun siz faylni o'zgartirishingiz kerak /etc/aide.conf.
nano /etc/aide.conf
Yuqoridagi qatorni qo'shing "/root/CONTENT_EX" Quyidagilar:
/var/www/html/ CONTENT_EX
Keyin fayl yarating aide.txt katalogda /var/www/html/quyidagi buyruq yordamida:
echo "Test AIDE" > /var/www/html/aide.txtEndi AIDE tekshiruvini bajaring va yaratilgan fayl aniqlanganligiga ishonch hosil qiling.
aide --checkSiz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yaratilgan fayl aniqlanganligini ko'ramiz aide.txt.
Aniqlangan o'zgarishlarni tahlil qilgandan so'ng, AIDE ma'lumotlar bazasini yangilang.
aide --updateYangilanishdan so'ng siz quyidagilarni ko'rasiz:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz
Summary:
Total number of entries: 49475
Added entries: 1
Removed entries: 0
Changed entries: 0
---------------------------------------------------
Added entries:
---------------------------------------------------
f++++++++++++++++: /var/www/html/aide.txt
Yuqoridagi buyruq yangi ma'lumotlar bazasini yaratadi aide.db.new.gz katalogda
/var/lib/aide/Buni quyidagi buyruq bilan ko'rishingiz mumkin:
ls -l /var/lib/aide/natija:
total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gzEndi yangi ma'lumotlar bazasi nomini qayta o'zgartiring, shunda AIDE keyingi o'zgarishlarni kuzatish uchun yangi ma'lumotlar bazasidan foydalanadi. Siz uni quyidagicha nomlashingiz mumkin:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzAIDE yangi ma'lumotlar bazasidan foydalanayotganiga ishonch hosil qilish uchun tekshirishni qayta bajaring:
aide --checkSiz quyidagilarni ko'rishingiz kerak:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!Biz tekshirishni avtomatlashtiramiz
Har kuni AIDE tekshiruvini o'tkazish va hisobotni pochta orqali yuborish yaxshi fikr. Bu jarayon cron yordamida avtomatlashtirilishi mumkin.
nano /etc/crontabAIDE tekshiruvini har kuni soat 10:15 da bajarish uchun fayl oxiriga quyidagi qatorni qo'shing:
15 10 * * * root /usr/sbin/aide --checkAIDE endi sizni pochta orqali xabardor qiladi. Pochtangizni quyidagi buyruq bilan tekshirishingiz mumkin:
tail -f /var/mail/rootAIDE jurnalini quyidagi buyruq yordamida ko'rish mumkin:
tail -f /var/log/aide/aide.logxulosa
Ushbu maqolada siz fayl o'zgarishlarini aniqlash va serverga ruxsatsiz kirishni aniqlash uchun AIDE-dan qanday foydalanishni o'rgandingiz. Qo'shimcha sozlamalar uchun /etc/aide.conf konfiguratsiya faylini tahrirlashingiz mumkin. Xavfsizlik nuqtai nazaridan ma'lumotlar bazasi va konfiguratsiya faylini faqat o'qish uchun mo'ljallangan muhitda saqlash tavsiya etiladi. Qo'shimcha ma'lumotni hujjatlarda topishingiz mumkin .
Manba: www.habr.com