Get best of the week

كيفية تثبيت واستخدام AIDE (بيئة كشف التسلل المتقدمة) في CentOS 8

تحسبًا لبدء دورة Linux Administrator ، قمنا بإعداد ترجمة لمواد مثيرة للاهتمام.



يشير AIDE إلى "بيئة كشف التسلل المتقدمة" ، وهو أحد أشهر الأنظمة لمراقبة التغييرات في أنظمة التشغيل المستندة إلى Linux. يستخدم AIDE للحماية من البرامج الضارة والفيروسات واكتشاف الإجراءات غير المصرح بها. للتحقق من تكامل الملف واكتشاف الاختراقات ، يقوم AIDE بإنشاء قاعدة بيانات بمعلومات الملف ومقارنة الحالة الحالية للنظام مع قاعدة البيانات هذه. يساعد AIDE في تقليل وقت التحقيق في الحوادث من خلال التركيز على الملفات التي تم تعديلها.

الميزات المساعدة:

  • دعم سمات الملف المختلفة ، بما في ذلك: نوع الملف ، inode ، uid ، gid ، الأذونات ، عدد الروابط ، mtime ، ctime و atime.
  • دعم ضغط سمات Gzip و SELinux و XAttrs و Posix ACL ونظام الملفات.
  • دعم الخوارزميات المختلفة ، بما في ذلك ، md5 ، sha1 ، sha256 ، sha512 ، rmd160 ، crc32 ، إلخ.
  • اشعارات البريد الالكتروني.

في هذه المقالة ، سنلقي نظرة على كيفية تثبيت واستخدام AIDE للكشف عن التطفل في CentOS 8.

المتطلبات الأساسية


  • خادم يقوم بتشغيل CentOS 8 مع ذاكرة وصول عشوائي بسعة 2 جيجابايت على الأقل.
  • وصول الجذر

ابدء


من المستحسن ترقية نظامك أولاً. للقيام بذلك ، قم بتشغيل الأمر التالي.

dnf update -y

بعد الترقية ، أعد تشغيل النظام لتصبح التغييرات سارية المفعول.

تثبيت AIDE


يتوفر AIDE في مستودع CentOS 8. الافتراضي. يمكنك تثبيته بسهولة عن طريق تشغيل الأمر التالي:

dnf install aide -y

بعد اكتمال التثبيت ، يمكنك عرض إصدار AIDE باستخدام الأمر التالي:

aide --version

يجب أن ترى ما يلي:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

aideيمكن الاطلاع على الخيارات المتاحة على النحو التالي:

aide --help



إنشاء قاعدة بيانات وتهيئتها


أول شيء عليك القيام به بعد تثبيت AIDE هو تهيئته. يتكون التهيئة من إنشاء قاعدة بيانات (لقطة) لجميع الملفات والأدلة الموجودة على الخادم.

لتهيئة قاعدة البيانات ، قم بتشغيل الأمر التالي:

aide --init

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

سيقوم الأمر أعلاه بإنشاء قاعدة بيانات جديدة aide.db.new.gzفي الدليل /var/lib/aide. يمكن رؤيته باستخدام الأمر التالي:

ls -l /var/lib/aide

نتيجة:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

لن يستخدم AIDE ملف قاعدة البيانات الجديد هذا حتى تتم إعادة تسميته aide.db.gz. ويمكن القيام بذلك على النحو التالي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

يوصى بتحديث قاعدة البيانات هذه بشكل دوري لتوفير المراقبة اللازمة للتغييرات.

يمكنك تغيير موقع قاعدة البيانات عن طريق تغيير المعلمة DBDIRفي الملف /etc/aide.conf.

تشغيل الاختيار


AIDE جاهز الآن لاستخدام قاعدة البيانات الجديدة. قم بإجراء أول فحص AIDE دون إجراء أي تغييرات:

aide --check

سيستغرق تنفيذ هذا الأمر بعض الوقت اعتمادًا على حجم نظام الملفات الخاص بك وكمية ذاكرة الوصول العشوائي على الخادم الخاص بك. بعد اكتمال الفحص ، سترى ما يلي:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

يقول الإخراج أعلاه أن كافة الملفات والدلائل تتوافق مع قاعدة بيانات AIDE.

اختبار مساعد


بشكل افتراضي ، لا يقوم AIDE بتعقب دليل جذر Apache الافتراضي. /var/www/html.دعنا نقوم بتكوين AIDE لعرضه. للقيام بذلك ، تحتاج إلى تغيير الملف /etc/aide.conf.

nano /etc/aide.conf

أضف ما "/root/CONTENT_EX"يلي فوق الخط :

/var/www/html/ CONTENT_EX

بعد ذلك ، قم بإنشاء ملف aide.txtفي الدليل /var/www/html/باستخدام الأمر التالي:

echo "Test AIDE" > /var/www/html/aide.txt

الآن قم بتشغيل فحص AIDE وتأكد من اكتشاف الملف الذي تم إنشاؤه.

aide --check

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

نرى أنه تم الكشف عن الملف الذي تم إنشاؤه aide.txt.
بعد تحليل التغييرات المكتشفة ، قم بتحديث قاعدة بيانات AIDE.

aide --update

بعد الترقية ، سترى ما يلي:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

سيقوم الأمر أعلاه بإنشاء قاعدة بيانات جديدة aide.db.new.gzفي الدليل

/var/lib/aide/

يمكنك رؤيتها بالأمر التالي:

ls -l /var/lib/aide/

نتيجة:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

الآن أعد تسمية قاعدة البيانات الجديدة مرة أخرى بحيث يستخدم AIDE قاعدة البيانات الجديدة لتتبع المزيد من التغييرات. إعادة التسمية كما يلي:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

شغّل الاختبار مرة أخرى للتحقق من أن AIDE يستخدم قاعدة البيانات الجديدة:

aide --check

يجب أن ترى ما يلي:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

التحقق الآلي


من المستحسن إجراء فحوصات AIDE يوميًا وإرسال التقرير بالبريد. يمكن أتمتة هذه العملية مع كرون.

nano /etc/crontab

لبدء فحص AIDE كل يوم الساعة 10:15 ، أضف السطر في نهاية الملف:

15 10 * * * root /usr/sbin/aide --check

الآن سوف يخطرك AIDE عن طريق البريد. يمكنك التحقق من البريد باستخدام الأمر التالي:

tail -f /var/mail/root

يمكن عرض سجل AIDE باستخدام الأمر التالي:

tail -f /var/log/aide/aide.log

استنتاج


في هذه المقالة ، تعلمت كيفية استخدام AIDE لاكتشاف تغييرات الملفات واكتشاف الوصول غير المصرح به إلى الخادم. للحصول على إعدادات إضافية ، يمكنك تعديل ملف التكوين /etc/aide.conf. لأسباب أمنية ، يوصى بتخزين قاعدة البيانات وملف التكوين على وسائط للقراءة فقط. لمزيد من المعلومات ، راجع وثائق AIDE Doc .


تعلم المزيد عن الدورة.

More articles:


All Articles