🥇 ווי צו ינסטאַלירן און נוצן AIDE (אַוואַנסירטע ינטרוזשאַן דעטעקשאַן סוויווע) אין CentOS 8

איידער די אָנהייב פון דעם קורס "לינוקס אַדמיניסטראַטאָר" מי ר האב ן צוגעגרײ ט א איבערזעצונ ג פו ן אינטערעםאנט ן מאטעריאל .

AIDE שטייט פֿאַר "אַוואַנסירטע ינטרוסיאָן דעטעקשאַן סוויווע" און איז איינער פון די מערסט פאָלקס סיסטעמען פֿאַר מאָניטאָרינג ענדערונגען אין לינוקס-באזירט אָפּערייטינג סיסטעמען. AIDE איז געניצט צו באַשיצן קעגן מאַלוואַרע, ווירוסעס און דעטעקט אַנאָטערייזד אַקטיוויטעטן. צו באַשטעטיקן טעקע אָרנטלעכקייַט און דעטעקט ינטרוזשאַנז, AIDE קריייץ אַ דאַטאַבייס פון טעקע אינפֿאָרמאַציע און קאַמפּערז די קראַנט שטאַט פון די סיסטעם מיט דעם דאַטאַבייס. AIDE העלפּס צו רעדוצירן ינסאַדאַנץ ויספאָרשונג צייט דורך פאָוקיסינג אויף טעקעס וואָס זענען מאַדאַפייד.

AIDE פֿעיִקייטן:

שטיצט פאַרשידן טעקע אַטריביוץ, אַרייַנגערעכנט: טעקע טיפּ, ינאָדע, ויד, גיד, פּערמישאַנז, נומער פון פֿאַרבינדונגען, מטימע, קטימע און צייט.
שטיצן פֿאַר Gzip קאַמפּרעשאַן, SELinux, XAttrs, Posix ACL און טעקע סיסטעם אַטריביוץ.
שטיצט פאַרשידן אַלגערידאַמז אַרייַנגערעכנט md5, sha1, sha256, sha512, rmd160, crc32, עטק.
שיקט נאָוטאַפאַקיישאַנז דורך בליצפּאָסט.

אין דעם אַרטיקל, מיר וועלן קוקן אין ווי צו ינסטאַלירן און נוצן AIDE פֿאַר ינטרוזשאַן דיטעקשאַן אויף CentOS 8.

פּרירעקוואַזאַץ

סערווירער פליסנדיק CentOS 8, מיט לפּחות 2 גיגאבייט פון באַראַן.
וואָרצל אַקסעס

געטינג סטאַרטעד

עס איז רעקאַמענדיד צו דערהייַנטיקן די סיסטעם ערשטער. צו טאָן דאָס, לויפן די פאלגענדע באַפֿעל.

dnf update -y

נאָך אַפּדייטינג, ריסטאַרט דיין סיסטעם פֿאַר די ענדערונגען צו נעמען ווירקונג.

ינסטאַלירן AIDE

AIDE איז בנימצא אין די פעליקייַט CentOS 8 ריפּאַזאַטאָרי. איר קענען לייכט ינסטאַלירן עס דורך לויפן די פאלגענדע באַפֿעל:

dnf install aide -y

אַמאָל די ינסטאַלירונג איז גאַנץ, איר קענען זען די AIDE ווערסיע מיט די פאלגענדע באַפֿעל:

aide --version

איר זאָל זען די פאלגענדע:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

בנימצא אָפּציעס aide קענען זיין געזען ווי גייט:

aide --help

קריייטינג און יניטיאַליזינג די דאַטאַבייס

דער ערשטער זאַך איר דאַרפֿן צו טאָן נאָך ינסטאָלינג AIDE איז צו ינישאַלייז עס. יניטיאַליזאַטיאָן באשטייט פון קריייטינג אַ דאַטאַבייס (סנאַפּשאָט) פון אַלע טעקעס און דירעקטעריז אויף די סערווער.

צו ינישאַלייז די דאַטאַבייס, לויפן די פאלגענדע באַפֿעל:

aide --init

איר זאָל זען די פאלגענדע:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

דער אויבן באַפֿעל וועט שאַפֿן אַ נייַע דאַטאַבייס aide.db.new.gz אין דעם קאַטאַלאָג /var/lib/aide. עס קענען זיין געזען מיט די פאלגענדע באַפֿעל:

ls -l /var/lib/aide

דער רעזולטאַט:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE וועט נישט נוצן דעם נייַע דאַטאַבייס טעקע ביז עס איז ריניימד צו aide.db.gz. דאָס קען זיין געטאן ווי גייט:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

עס איז רעקאַמענדיד צו דערהייַנטיקן דעם דאַטאַבייס פּיריאַדיקלי צו ענשור אַז ענדערונגען זענען רעכט מאָניטאָרעד.

איר קענען טוישן דעם אָרט פון די דאַטאַבייס דורך טשאַנגינג דעם פּאַראַמעטער DBDIR אין טעקע /etc/aide.conf.

פליסנדיק אַ יבערקוקן

AIDE איז איצט גרייט צו נוצן די נייַע דאַטאַבייס. לויפן די ערשטער AIDE טשעק אָן קיין ענדערונגען:

aide --check

דעם באַפֿעל וועט נעמען עטלעכע מאָל צו פאַרענדיקן דיפּענדינג אויף די גרייס פון דיין טעקע סיסטעם און די סומע פון באַראַן אויף דיין סערווער. אַמאָל די יבערקוקן איז גאַנץ, איר זאָל זען די פאלגענדע:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

די אויבן רעזולטאַט זאגט אַז אַלע טעקעס און דיירעקטעריז גלייַכן די AIDE דאַטאַבייס.

טעסטינג AIDE

דורך פעליקייַט, AIDE קען נישט שפּור די פעליקייַט אַפּאַטשי וואָרצל וועגווייַזער /var/www/html. לאָמיר קאַנפיגיער AIDE צו זען עס. צו טאָן דאָס, איר דאַרפֿן צו טוישן די טעקע /etc/aide.conf.

nano /etc/aide.conf

לייג אויבן שורה "/root/CONTENT_EX" following:

/var/www/html/ CONTENT_EX

ווייַטער, שאַפֿן אַ טעקע aide.txt אין דעם קאַטאַלאָג /var/www/html/ניצן די פאלגענדע באַפֿעל:

echo "Test AIDE" > /var/www/html/aide.txt

איצט לויפן די AIDE טשעק און מאַכן זיכער אַז די באשאפן טעקע איז דיטעקטאַד.

aide --check

איר זאָל זען די פאלגענדע:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

מיר זען אַז די באשאפן טעקע איז דיטעקטאַד aide.txt.
נאָך אַנאַלייזינג די דיטעקטאַד ענדערונגען, דערהייַנטיקן די AIDE דאַטאַבייס.

aide --update

נאָך די דערהייַנטיקן איר וועט זען די פאלגענדע:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

דער אויבן באַפֿעל וועט שאַפֿן אַ נייַע דאַטאַבייס aide.db.new.gz אין דעם קאַטאַלאָג

/var/lib/aide/

איר קענען זען עס מיט די פאלגענדע באַפֿעל:

ls -l /var/lib/aide/

דער רעזולטאַט:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

איצט רענאַמע די נייַע דאַטאַבייס ווידער אַזוי אַז AIDE ניצט די נייַע דאַטאַבייס צו שפּור ווייַטער ענדערונגען. איר קענען רענאַמע עס ווי גייט:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

לויפן די טשעק ווידער צו ענשור אַז AIDE איז ניצן די נייַע דאַטאַבייס:

aide --check

איר זאָל זען די פאלגענדע:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

מיר אָטאַמייט די טשעק

עס איז אַ גוטע געדאַנק צו לויפן אַן AIDE טשעק יעדער טאָג און פּאָסט דעם באַריכט. דעם פּראָצעס קענען זיין אָטאַמייטיד מיט Cron.

nano /etc/crontab

צו לויפן די AIDE טשעק יעדער טאָג בייַ 10:15, לייגן די פאלגענדע שורה צו די סוף פון דער טעקע:

15 10 * * * root /usr/sbin/aide --check

AIDE וועט איצט געבנ צו וויסן איר דורך פּאָסט. איר קענט קאָנטראָלירן דיין פּאָסט מיט די פאלגענדע באַפֿעל:

tail -f /var/mail/root

די AIDE קלאָץ קענען זיין וויוד מיט די פאלגענדע באַפֿעל:

tail -f /var/log/aide/aide.log

סאָף

אין דעם אַרטיקל, איר געלערנט ווי צו נוצן AIDE צו דעטעקט טעקע ענדערונגען און ידענטיפיצירן אַנאָטערייזד סערווער אַקסעס. פֿאַר נאָך סעטטינגס, איר קענען רעדאַגירן די /etc/aide.conf קאַנפיגיעריישאַן טעקע. פֿאַר זיכערהייט סיבות, עס איז רעקאַמענדיד צו קראָם די דאַטאַבייס און קאַנפיגיעריישאַן טעקע אויף לייענען-בלויז מידיאַ. מער אינפֿאָרמאַציע קענען זיין געפֿונען אין די דאַקיומענטיישאַן אַידע דאָק.

לערנען מער וועגן דעם קורס.

מקור: www.habr.com

ווי צו ינסטאַלירן און נוצן AIDE (אַוואַנסירטע ינטרוזשאַן דעטעקשאַן סוויווע) אויף CentOS 8

פּרירעקוואַזאַץ

געטינג סטאַרטעד

ינסטאַלירן AIDE

קריייטינג און יניטיאַליזינג די דאַטאַבייס

פליסנדיק אַ יבערקוקן

טעסטינג AIDE

מיר אָטאַמייט די טשעק

סאָף

לייגן אַ באַמערקונג באָטל מאַכן ענטפער