Prohoster > Blog > quản lý > Cách cài đặt và sử dụng AIDE (Môi trường phát hiện xâm nhập nâng cao) trên CentOS 8

Cách cài đặt và sử dụng AIDE (Môi trường phát hiện xâm nhập nâng cao) trên CentOS 8

Trước khi bắt đầu khóa học "Quản trị viên Linux" Chúng tôi đã chuẩn bị một bản dịch tài liệu thú vị.

Cách cài đặt và sử dụng AIDE (Môi trường phát hiện xâm nhập nâng cao) trên CentOS 8

AIDE là viết tắt của “Môi trường phát hiện xâm nhập nâng cao” và là một trong những hệ thống phổ biến nhất để giám sát các thay đổi trong hệ điều hành dựa trên Linux. AIDE được sử dụng để bảo vệ khỏi phần mềm độc hại, vi rút và phát hiện các hoạt động trái phép. Để xác minh tính toàn vẹn của tệp và phát hiện sự xâm nhập, AIDE tạo cơ sở dữ liệu thông tin tệp và so sánh trạng thái hiện tại của hệ thống với cơ sở dữ liệu này. AIDE giúp giảm thời gian điều tra sự cố bằng cách tập trung vào các tệp đã được sửa đổi.

Các tính năng của AIDE:

  • Hỗ trợ các thuộc tính tệp khác nhau, bao gồm: loại tệp, inode, uid, gid, quyền, số lượng liên kết, mtime, ctime và atime.
  • Hỗ trợ nén Gzip, SELinux, XAttrs, Posix ACL và các thuộc tính hệ thống tệp.
  • Hỗ trợ các thuật toán khác nhau bao gồm md5, sha1, sha256, sha512, rmd160, crc32, v.v.
  • Gửi thông báo qua email.

Trong bài viết này, chúng ta sẽ xem cách cài đặt và sử dụng AIDE để phát hiện xâm nhập trên CentOS 8.

Điều kiện tiên quyết

  • Máy chủ chạy CentOS 8, có ít nhất 2 GB RAM.
  • quyền truy cập root

Bắt đầu

Nên cập nhật hệ thống trước. Để thực hiện việc này, hãy chạy lệnh sau.

dnf update -y

Sau khi cập nhật, hãy khởi động lại hệ thống của bạn để những thay đổi có hiệu lực.

Cài đặt trợ lý

AIDE có sẵn trong kho lưu trữ mặc định của CentOS 8. Bạn có thể dễ dàng cài đặt nó bằng cách chạy lệnh sau:

dnf install aide -y

Sau khi cài đặt hoàn tất, bạn có thể xem phiên bản AIDE bằng lệnh sau:

aide --version

Bạn sẽ thấy như sau:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Tùy chọn có sẵn aide có thể xem như sau:

aide --help

Cách cài đặt và sử dụng AIDE (Môi trường phát hiện xâm nhập nâng cao) trên CentOS 8

Tạo và khởi tạo cơ sở dữ liệu

Điều đầu tiên bạn cần làm sau khi cài đặt AIDE là khởi tạo nó. Khởi tạo bao gồm việc tạo cơ sở dữ liệu (ảnh chụp nhanh) của tất cả các tệp và thư mục trên máy chủ.

Để khởi tạo cơ sở dữ liệu, hãy chạy lệnh sau:

aide --init

Bạn sẽ thấy như sau:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Lệnh trên sẽ tạo cơ sở dữ liệu mới aide.db.new.gz trong danh mục /var/lib/aide. Nó có thể được nhìn thấy bằng cách sử dụng lệnh sau:

ls -l /var/lib/aide

Kết quả:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE sẽ không sử dụng tệp cơ sở dữ liệu mới này cho đến khi nó được đổi tên thành aide.db.gz. Điều này có thể được thực hiện như sau:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Bạn nên cập nhật cơ sở dữ liệu này định kỳ để đảm bảo rằng các thay đổi được theo dõi đúng cách.

Bạn có thể thay đổi vị trí của cơ sở dữ liệu bằng cách thay đổi tham số DBDIR trong tập tin /etc/aide.conf.

Chạy quét

AIDE hiện đã sẵn sàng để sử dụng cơ sở dữ liệu mới. Chạy kiểm tra AIDE đầu tiên mà không thực hiện bất kỳ thay đổi nào:

aide --check

Lệnh này sẽ mất một chút thời gian để hoàn thành tùy thuộc vào kích thước hệ thống tệp và dung lượng RAM trên máy chủ của bạn. Sau khi quá trình quét hoàn tất, bạn sẽ thấy như sau:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Kết quả đầu ra ở trên cho biết tất cả các tệp và thư mục đều khớp với cơ sở dữ liệu AIDE.

HỖ TRỢ kiểm tra

Theo mặc định, AIDE không theo dõi thư mục gốc mặc định của Apache /var/www/html. Hãy cấu hình AIDE để xem nó. Để làm điều này, bạn cần thay đổi tập tin /etc/aide.conf.

nano /etc/aide.conf

Thêm dòng trên "/root/CONTENT_EX" như sau

/var/www/html/ CONTENT_EX

Tiếp theo, tạo một tập tin aide.txt trong danh mục /var/www/html/sử dụng lệnh sau:

echo "Test AIDE" > /var/www/html/aide.txt

Bây giờ hãy chạy kiểm tra AIDE và đảm bảo rằng tệp đã tạo được phát hiện.

aide --check

Bạn sẽ thấy như sau:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Chúng tôi thấy rằng tập tin đã tạo được phát hiện aide.txt.
Sau khi phân tích các thay đổi được phát hiện, hãy cập nhật cơ sở dữ liệu AIDE.

aide --update

Sau khi cập nhật bạn sẽ thấy như sau:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Lệnh trên sẽ tạo cơ sở dữ liệu mới aide.db.new.gz trong danh mục 

/var/lib/aide/

Bạn có thể nhìn thấy nó bằng lệnh sau:

ls -l /var/lib/aide/

Kết quả:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Bây giờ hãy đổi tên cơ sở dữ liệu mới một lần nữa để AIDE sử dụng cơ sở dữ liệu mới để theo dõi những thay đổi tiếp theo. Bạn có thể đổi tên nó như sau:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Chạy kiểm tra lại để đảm bảo rằng AIDE đang sử dụng cơ sở dữ liệu mới:

aide --check

Bạn sẽ thấy như sau:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Chúng tôi tự động kiểm tra

Bạn nên thực hiện kiểm tra AIDE hàng ngày và gửi báo cáo qua đường bưu điện. Quá trình này có thể được tự động hóa bằng cron.

nano /etc/crontab

Để chạy kiểm tra AIDE hàng ngày vào lúc 10:15, hãy thêm dòng sau vào cuối tệp:

15 10 * * * root /usr/sbin/aide --check

AIDE bây giờ sẽ thông báo cho bạn qua thư. Bạn có thể kiểm tra thư của mình bằng lệnh sau:

tail -f /var/mail/root

Nhật ký AIDE có thể được xem bằng lệnh sau:

tail -f /var/log/aide/aide.log

Kết luận

Trong bài viết này, bạn đã học cách sử dụng AIDE để phát hiện các thay đổi của tệp và xác định truy cập máy chủ trái phép. Để có các cài đặt bổ sung, bạn có thể chỉnh sửa tệp cấu hình /etc/aide.conf. Vì lý do bảo mật, nên lưu trữ cơ sở dữ liệu và tệp cấu hình trên phương tiện chỉ đọc. Thông tin thêm có thể được tìm thấy trong tài liệu tài liệu trợ lý.

Tìm hiểu thêm về khóa học.

Nguồn: www.habr.com

Thêm một lời nhận xét