AIDE znamená „Advanced Intrusion Detection Environment“ je jedním z nejpopulárnějších nástrojů pro sledování změn operačních systémů založených na Linuxu. Slouží k ochraně vašeho systému proti malwaru, virům a detekci neoprávněných aktivit. Funguje tak, že vytvoří databázi systému souborů a porovná tuto databázi se systémem, aby byla zajištěna integrita souborů a detekce narušení systému. AIDE vám pomůže zkrátit dobu vyšetřování během reakce na incident tím, že se zaměří na soubory, které byly změněny.
Funkce
- Podporuje různé atributy včetně, Typ souboru, Inode, Uid, Gid, Oprávnění, Počet odkazů, Mtime, Ctime a Atime.
- Podporuje kompresi Gzip, SELinux, XAttrs, Posix ACL a atributy systému souborů Extended.
- Schopný vytvářet a porovnávat různé algoritmy pro zpracování zpráv včetně md5, sha1, sha256, sha512, rmd160, crc32 atd.
- Schopnost vás upozornit e-mailem.
V tomto tutoriálu vám ukážeme, jak nainstalovat a používat AIDE k detekci narušení v CentOS 8.
Předpoklady
- Server se systémem CentOS 8 s minimálně 2 GB RAM.
- Na vašem serveru je nakonfigurováno heslo uživatele root.
Začínáme
Než začnete, je dobré aktualizovat systém na aktualizovanou verzi. Spusťte následující příkaz pro aktualizaci systému.
aktualizace dnf -y
Jakmile je váš systém aktualizován, restartujte jej, aby se změny implementovaly.
Instalovat AIDE
Ve výchozím nastavení je AIDE k dispozici ve výchozím úložišti CentOS 8. Můžete jej snadno nainstalovat spuštěním následujícího příkazu:
Pomoc při instalaci dnf -y
Po dokončení instalace můžete zkontrolovat nainstalovanou verzi AIDE pomocí následujícího příkazu:
aide --version
Měli byste vidět následující výstup:
Aide 0.16Zkompilovaný s následujícími možnostmi:WITH_MMAPWITH_PCREWITH_POSIX_ACLWITH_SELINUXWITH_XATTRWITH_E2FSATTRSWITH_LSTAT64WITH_READDIR64WITH_ZLIBWITH_CURLWITH_GCRYPTWITH_AUDLEITCONIDE "Můžete také zobrazit všechny možnosti dostupné s příkazem aide pomocí následujícího příkazu:
aide --helpMěli byste vidět následující obrazovku:
Vytvoření a inicializace databáze
Po instalaci AIDE je první věcí, kterou musíte udělat, je inicializovat nastavení. Tato inicializace vytvoří databázi (snímek) všech souborů a adresářů vašeho serveru.
Spusťte následující příkaz pro inicializaci databáze:
aide --initMěli byste vidět následující výstup:
Časové razítko zahájení:2020-01-16 03:03:19 -0500 (AIDE 0.16) Databáze inicializovaná AIDE na /var/lib/aide/aide.db.new.gzPočet položek:49472------ ---------------------------------------------Atributy ( nekomprimované) databáze:------------------------------------------- -------- / var / lib / asistent / aide.db.new.gz MD5:4N79P7hPE2uxJJ1o7na9sA ==SHA1:Ic2XBj50MKiPd1UGrtcUk4LGs0M =RMD160:rHMMy5WwHVb9TGUc + TBHFHsPCrk =TIGER:vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0 SHA256:tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9 xWXT2iaEHgQ =SHA512:VPMRQnz72 + JRgNQhL16dxQC9c +GiYB8g uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI nDw6lgDNI/ls2esijukliQ==Časové razítko konce:2020-01-16 03:03:44 -0500 (doba běhu:0m před> 25s)Výše uvedený příkaz vytvoří novou databázi AIDE aide.db.new.gz v adresáři /var/lib/aide. Můžete to vidět pomocí následujícího příkazu:
ls -l /var/lib/aideMěli byste vidět následující výstup:
celkem 2800-rw------- 1 kořenový kořen 2863809 16. ledna 03:03 aide.db.new.gzAIDE nebude používat nový databázový soubor, dokud nebude přejmenován na aide.db.gz. Můžete jej přejmenovat pomocí následujícího příkazu:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzDoporučuje se aktualizovat tuto databázi ve stanoveném období, aby bylo zajištěno náležité sledování změn. Můžete také změnit umístění databáze AIDE úpravou souboru /etc/aide.conf a úpravou hodnoty DBDIR.
Zkontrolujte AIDE
V tomto okamžiku je AIDE připraveno použít novou databázi. Nyní spusťte svou první kontrolu AIDE bez provedení jakýchkoli změn:
aide --checkTento příkaz bude nějakou dobu trvat v závislosti na velikosti systému souborů a velikosti paměti RAM na serveru. Po dokončení kontroly AIDE byste měli vidět následující výstup:
Časové razítko zahájení:2020-01-16 03:05:07 -0500 (AIDE 0.16)AIDE nenalezla ŽÁDNÉ rozdíly mezi databází a souborovým systémem. Vypadá dobře!!Výše uvedený výstup ukazuje, že každý soubor a adresář odpovídá databázi AIDE.
Test AIDE
Ve výchozím nastavení není AIDE nakonfigurováno ke sledování souborů a adresářů výchozího kořenového dokumentu Apache /var/www/html. Budete tedy muset nakonfigurovat AIDE tak, aby sledovalo adresář /var/www/html. Můžete jej nakonfigurovat úpravou souboru /etc/aide.conf.
nano /etc/aide.confPřidejte následující řádek nad řádek "/root/ CONTENT_EX":
/var/www/html/ CONTENT_EXPo dokončení uložte a zavřete soubor.
Dále vytvořte soubor aide.txt v adresáři /var/www/html/ pomocí následujícího příkazu:
echo "Test AIDE"> /var/www/html/aide.txtNyní spusťte kontrolu AIDE a ověřte, zda je nově vytvořený soubor detekován kontrolou asistenta.
aide --checkMěli byste vidět následující výstup:
Časové razítko zahájení:2020-01-16 03:09:40 -0500 (AIDE 0.16)AIDE zjistila rozdíly mezi databází a souborovým systémem!!Shrnutí:Celkový počet záznamů:49475 Přidaných záznamů:1 Odebraných záznamů:0 Změněných záznamů:0------------------------------------------------- --Přidané položky:--------------------------------------------- ------f++++++++++++++++:/var/www/html/aide.txtVýše uvedený výstup indikuje, že nově vytvořený soubor aide.txt je detekován kontrolou asistenta.
Dále je dobré aktualizovat databázi AIDE po kontrole změn zjištěných asistentskou kontrolou. Databázi AIDE můžete aktualizovat pomocí následujícího příkazu:
aide --updatePo aktualizaci databáze byste měli vidět následující výstup:
Časové razítko zahájení:2020-01-16 03:10:41 -0500 (AIDE 0.16)AIDE zjistila rozdíly mezi databází a souborovým systémem!!Nová databáze AIDE zapsaná do /var/lib/aide/aide.db.new.gzSummary :Celkový počet záznamů:49475 Přidaných záznamů:1 Odebraných záznamů:0 Změněných záznamů:0-------------------------------- --------------------Přidané položky:--------------------------- ------------------------f++++++++++++++++:/var/www/html/aide.txtVýše uvedený příkaz vytvoří novou databázi s názvem aide.db.new.gz v adresáři /var/lib/aide/.
Můžete to vidět pomocí následujícího příkazu:
ls -l /var/lib/aide/Měli byste vidět následující výstup:
celkem 5600-rw------- 1 kořenový kořen 2864012 16. ledna 03:09 aide.db.gz-rw------- 1 kořenový kořen 2864100 16. ledna 03:11 aide.db. new.gzNyní novou databázi znovu přejmenujte, aby AIDE používala tuto novou databázi ke sledování všech nových změn. Databázi můžete přejmenovat pomocí následujícího příkazu:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzNyní znovu spusťte kontrolu AIDE a zkontrolujte, zda AIDE používá novou databázi:
aide --checkMěli byste vidět následující výstup:
Časové razítko zahájení:2020-01-16 03:12:29 -0500 (AIDE 0.16)AIDE nenalezla ŽÁDNÉ rozdíly mezi databází a souborovým systémem. Vypadá dobře!!Jakmile budete hotovi, můžete přejít k dalšímu kroku.
Automatizovat kontrolu AIDE
Je dobré zautomatizovat AIDE kontrolu každý den a odeslat zprávu do systému poštou. Tento proces můžete automatizovat pomocí úlohy cron.
Chcete-li to provést, upravte výchozí konfigurační soubor cronu, jak je znázorněno níže:
nano /etc/crontabChcete-li automatizovat kontrolu AIDE každý den v 10:15, přidejte na konec souboru následující řádek:
15 10 * * * root /usr/sbin/aide --checkPo dokončení uložte a zavřete soubor.
Nyní vás AIDE upozorní prostřednictvím systémové pošty.
Systémovou poštu můžete zkontrolovat pomocí následujícího příkazu:
tail -f /var/mail/rootMůžete také zkontrolovat protokol AIDE pomocí následujícího příkazu:
tail -f /var/log/aide/aide.logZávěr
Ve výše uvedeném tutoriálu jste se naučili používat AIDE k pochopení změn serveru a identifikaci neoprávněného přístupu k vašemu serveru. Můžete upravit soubor /etc/aide.conf, abyste mohli sledovat adresář vaší aplikace nebo jakákoli pokročilá nastavení. Z bezpečnostních důvodů se doporučuje uchovávat databázi AIDE a konfigurační soubor na médiu pouze pro čtení. Další informace naleznete v dokumentaci AIDE v AIDE Doc.
Jak nainstalovat Ruby on Rails na CentOS 8 Jak nainstalovat DokuWiki s Nginx a šifrovat SSL na CentOS 8Cent OS
