Get best of the week

So installieren und verwenden Sie AIDE (Advanced Intrusion Detection Environment) in CentOS 8

Im Vorfeld des Beginns des Linux Administrator- Kurses haben wir eine Übersetzung von interessantem Material vorbereitet.



AIDE steht für "Advanced Intrusion Detection Environment", eines der beliebtesten Systeme zur Überwachung von Änderungen an Linux-basierten Betriebssystemen. AIDE wird zum Schutz vor Malware und Viren sowie zum Erkennen nicht autorisierter Aktionen verwendet. Um die Dateiintegrität und die Erkennung von Eindringlingen zu überprüfen, erstellt AIDE eine Datenbank mit Dateiinformationen und vergleicht den aktuellen Status des Systems mit dieser Datenbank. AIDE verkürzt die Untersuchungszeit für Vorfälle, indem es sich auf geänderte Dateien konzentriert.

AIDE-Funktionen:

  • Unterstützung für verschiedene Dateiattribute, einschließlich: Dateityp, Inode, UID, GID, Berechtigungen, Anzahl der Links, mtime, ctime und atime.
  • Unterstützung für die Komprimierung von Gzip-, SELinux-, XAttrs-, Posix-ACL- und Dateisystemattributen.
  • Unterstützung für verschiedene Algorithmen, einschließlich md5, sha1, sha256, sha512, rmd160, crc32 usw.
  • E-Mail Benachrichtigungen.

In diesem Artikel erfahren Sie, wie Sie AIDE installieren und verwenden, um Eingriffe in CentOS 8 zu erkennen.

Voraussetzungen


  • Ein Server mit CentOS 8 mit mindestens 2 GB RAM.
  • Root-Zugriff

Loslegen


Es wird empfohlen, dass Sie zuerst Ihr System aktualisieren. Führen Sie dazu den folgenden Befehl aus.

dnf update -y

Starten Sie das System nach dem Upgrade neu, damit die Änderungen wirksam werden.

Installieren Sie AIDE


AIDE ist im Standard-CentOS 8-Repository verfügbar. Sie können es einfach installieren, indem Sie den folgenden Befehl ausführen:

dnf install aide -y

Nach Abschluss der Installation können Sie die AIDE-Version mit dem folgenden Befehl anzeigen:

aide --version

Sie sollten Folgendes sehen:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Die verfügbaren Optionen aidekönnen wie folgt angezeigt werden:

aide --help



Erstellen und Initialisieren einer Datenbank


Das erste, was Sie nach der Installation von AIDE tun müssen, ist die Initialisierung. Die Initialisierung besteht darin, eine Datenbank (Snapshot) aller Dateien und Verzeichnisse des Servers zu erstellen.

Führen Sie den folgenden Befehl aus, um die Datenbank zu initialisieren:

aide --init

Sie sollten Folgendes sehen:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Mit dem obigen Befehl wird eine neue Datenbank aide.db.new.gzim Verzeichnis erstellt /var/lib/aide. Es kann mit dem folgenden Befehl angezeigt werden:

ls -l /var/lib/aide

Ergebnis:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE verwendet diese neue Datenbankdatei erst, wenn sie in umbenannt wurde aide.db.gz. Dies kann wie folgt erfolgen:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Es wird empfohlen, diese Datenbank regelmäßig zu aktualisieren, um die erforderliche Überwachung von Änderungen zu gewährleisten.

Sie können den Speicherort der Datenbank ändern, indem Sie den Parameter DBDIRin der Datei ändern /etc/aide.conf.

Führen Sie die Prüfung aus


AIDE ist jetzt bereit, die neue Datenbank zu verwenden. Führen Sie die erste AIDE-Prüfung durch, ohne Änderungen vorzunehmen:

aide --check

Die Ausführung dieses Befehls dauert abhängig von der Größe Ihres Dateisystems und der Größe des Arbeitsspeichers auf Ihrem Server einige Zeit. Nach Abschluss der Prüfung sollte Folgendes angezeigt werden:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Die obige Ausgabe besagt, dass alle Dateien und Verzeichnisse der AIDE-Datenbank entsprechen.

AIDE testen


Standardmäßig verfolgt AIDE das Standard-Apache-Stammverzeichnis nicht. /var/www/html.Konfigurieren Sie AIDE so, dass es angezeigt wird . Dazu müssen Sie die Datei ändern /etc/aide.conf.

nano /etc/aide.conf

Fügen Sie über der Zeile "/root/CONTENT_EX"Folgendes hinzu :

/var/www/html/ CONTENT_EX

Erstellen Sie als Nächstes mit dem folgenden Befehl eine Datei aide.txtim Verzeichnis /var/www/html/:

echo "Test AIDE" > /var/www/html/aide.txt

Führen Sie nun die AIDE-Prüfung durch und stellen Sie sicher, dass die erstellte Datei erkannt wird.

aide --check

Sie sollten Folgendes sehen:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Wir sehen, dass die erstellte Datei erkannt wird aide.txt.
Aktualisieren Sie nach der Analyse der erkannten Änderungen die AIDE-Datenbank.

aide --update

Nach dem Upgrade wird Folgendes angezeigt:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Mit dem obigen Befehl wird eine neue Datenbank aide.db.new.gzim Verzeichnis erstellt

/var/lib/aide/

Sie können es mit dem folgenden Befehl sehen:

ls -l /var/lib/aide/

Ergebnis:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Benennen Sie nun die neue Datenbank erneut um, damit AIDE die neue Datenbank verwendet, um weitere Änderungen zu verfolgen. Benennen Sie wie folgt um:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Führen Sie den Test erneut aus, um sicherzustellen, dass AIDE die neue Datenbank verwendet:

aide --check

Sie sollten Folgendes sehen:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Verifizierung automatisieren


Es ist eine gute Idee, jeden Tag AIDE-Prüfungen durchzuführen und den Bericht per Post zu senden. Dieser Prozess kann mit cron automatisiert werden.

nano /etc/crontab

Fügen Sie die Zeile am Ende der Datei hinzu, um die AIDE-Prüfung jeden Tag um 10:15 Uhr zu starten:

15 10 * * * root /usr/sbin/aide --check

Jetzt benachrichtigt Sie AIDE per E-Mail. Sie können E-Mails mit dem folgenden Befehl abrufen:

tail -f /var/mail/root

Das AIDE-Protokoll kann mit dem folgenden Befehl angezeigt werden:

tail -f /var/log/aide/aide.log

Fazit


In diesem Artikel haben Sie gelernt, wie Sie mit AIDE Dateiänderungen und nicht autorisierten Zugriff auf den Server erkennen. Für zusätzliche Einstellungen können Sie die Konfigurationsdatei /etc/aide.conf ändern. Aus Sicherheitsgründen wird empfohlen, die Datenbank und die Konfigurationsdatei auf schreibgeschützten Medien zu speichern. Weitere Informationen finden Sie in der AIDE Doc- Dokumentation .


Erfahren Sie mehr über den Kurs.

More articles:


All Articles