Поиск по сайту:

Как установить и использовать расширенную среду обнаружения вторжений AIDE в CentOS 8


На этой странице

  1. Предпосылки
  2. Начало работы
  3. Установить ПОМОЩЬ
  4. Создание и инициализация базы данных
  5. Проверьте ПОМОЩЬ
  6. Помощник по тестированию
  7. Автоматическая проверка AIDE
  8. Заключение

AIDE расшифровывается как «Усовершенствованная среда обнаружения вторжений» и является одним из самых популярных инструментов для отслеживания изменений в операционных системах на основе Linux. Он используется для защиты вашей системы от вредоносных программ, вирусов и обнаружения несанкционированных действий. Он работает, создавая базу данных файловой системы и сравнивая эту базу данных с системой, чтобы обеспечить целостность файлов и обнаружить вторжения в систему. AIDE помогает сократить время расследования во время реагирования на инциденты, сосредоточив внимание на файлах, которые были изменены.

Возможности

  • Поддерживает различные атрибуты, включая тип файла, индексный дескриптор, Uid, Gid, разрешения, количество ссылок, Mtime, Ctime и Atime.
  • Поддерживает сжатие Gzip, SELinux, XAttrs, Posix ACL и расширенные атрибуты файловой системы.
  • Возможность создания и сравнения различных алгоритмов дайджеста сообщений, включая md5, sha1, sha256, sha512, rmd160, crc32 и т. д.
  • Возможность уведомлять вас по электронной почте.

В этом руководстве мы покажем вам, как установить и использовать AIDE для обнаружения вторжений в CentOS 8.

Предпосылки

  • Сервер под управлением CentOS 8 с оперативной памятью не менее 2 ГБ.
  • На вашем сервере настроен пароль root.

Начиная

Перед началом рекомендуется обновить систему до обновленной версии. Выполните следующую команду, чтобы обновить вашу систему.

dnf update -y

Как только ваша система будет обновлена, перезапустите ее, чтобы изменения вступили в силу.

Установить ПОМОЩЬ

По умолчанию AIDE доступен в репозитории CentOS 8 по умолчанию. Вы можете легко установить его, просто выполнив следующую команду:

dnf install aide -y

После завершения установки вы можете проверить установленную версию AIDE с помощью следующей команды:

aide --version

Вы должны увидеть следующий вывод:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Вы также можете увидеть все параметры, доступные с помощью команды aide, используя следующую команду:

aide --help

Вы должны увидеть следующий экран:

Создайте и инициализируйте базу данных

После установки AIDE первое, что вам нужно сделать, это инициализировать установку. Эта инициализация создаст базу данных (моментальный снимок) всех файлов и каталогов вашего сервера.

Выполните следующую команду для инициализации базы данных:

aide --init

Вы должны увидеть следующий вывод:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Приведенная выше команда создаст новую базу данных AIDE aide.db.new.gz в каталоге /var/lib/aide. Посмотреть его можно с помощью следующей команды:

ls -l /var/lib/aide

Вы должны увидеть следующий вывод:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE не будет использовать новый файл базы данных, пока он не будет переименован в aide.db.gz. Вы можете переименовать его с помощью следующей команды:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Рекомендуется обновлять эту базу данных через установленный период, чтобы обеспечить надлежащий мониторинг изменений. Вы также можете изменить расположение базы данных AIDE, отредактировав файл /etc/aide.conf и изменив значение DBDIR.

Проверьте ПОМОЩЬ

На этом этапе AIDE готова использовать новую базу данных. Теперь запустите первую проверку AIDE, не внося никаких изменений:

aide --check

Эта команда займет некоторое время в зависимости от размера вашей файловой системы и объема оперативной памяти на вашем сервере. После завершения проверки AIDE вы должны увидеть следующий вывод:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Приведенный выше вывод показывает, что каждый файл и каталог соответствуют базе данных AIDE.

Помощник по тестированию

По умолчанию AIDE не настроен на просмотр файлов и каталогов корневого каталога документов Apache по умолчанию /var/www/html. Итак, вам нужно настроить AIDE для просмотра каталога /var/www/html. Вы можете настроить его, отредактировав файл /etc/aide.conf.

nano /etc/aide.conf

Добавьте следующую строку над строкой \/root/CONTENT_EX\:

/var/www/html/ CONTENT_EX

Сохраните и закройте файл, когда закончите.

Затем создайте файл aide.txt в каталоге /var/www/html/ с помощью следующей команды:

echo "Test AIDE" > /var/www/html/aide.txt

Теперь запустите проверку AIDE и убедитесь, что вновь созданный файл обнаружен проверкой.

aide --check

Вы должны увидеть следующий вывод:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Приведенный выше вывод показывает, что только что созданный файл aide.txt обнаружен проверкой помощника.

Затем рекомендуется обновить базу данных AIDE после просмотра изменений, обнаруженных проверкой Aide. Вы можете обновить базу данных AIDE с помощью следующей команды:

aide --update

После обновления базы данных вы должны увидеть следующий вывод:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Приведенная выше команда создаст новую базу данных с именем aide.db.new.gz в каталоге /var/lib/aide/.

Посмотреть его можно с помощью следующей команды:

ls -l /var/lib/aide/

Вы должны увидеть следующий вывод:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Теперь снова переименуйте новую базу данных, чтобы AIDE использовала эту новую базу данных для отслеживания любых новых изменений. Вы можете переименовать базу данных с помощью следующей команды:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Теперь снова запустите проверку AIDE, чтобы проверить, использует ли AIDE новую базу данных или нет:

aide --check

Вы должны увидеть следующий вывод:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Как только вы закончите, вы можете перейти к следующему шагу.

Автоматизируйте проверку AIDE

Рекомендуется автоматизировать проверку AIDE каждый день и отправлять отчет в систему по почте. Вы можете автоматизировать этот процесс с помощью задания cron.

Для этого отредактируйте файл конфигурации cron по умолчанию, как показано ниже:

nano /etc/crontab

Добавьте следующую строку в конец файла, чтобы автоматизировать проверку AIDE каждый день в 10:15:

15 10 * * * root /usr/sbin/aide --check

Сохраните и закройте файл, когда закончите.

Теперь AIDE уведомит вас по системной почте.

Вы можете проверить системную почту с помощью следующей команды:

tail -f /var/mail/root

Вы также можете проверить журнал AIDE с помощью следующей команды:

tail -f /var/log/aide/aide.log

Заключение

В приведенном выше руководстве вы узнали, как использовать AIDE для понимания изменений сервера и выявления несанкционированного доступа к вашему серверу. Вы можете изменить файл /etc/aide.conf, чтобы просмотреть каталог вашего приложения или любые дополнительные настройки. Из соображений безопасности рекомендуется хранить базу данных AIDE и файл конфигурации на носителе только для чтения. Для получения дополнительной информации вы можете проверить документацию AIDE в AIDE Doc.