Get best of the week

Cara menginstal dan menggunakan AIDE (Advanced Intrusion Detection Environment) di CentOS 8

Untuk mengantisipasi dimulainya kursus Administrator Linux, kami menyiapkan terjemahan materi yang menarik.



AIDE adalah singkatan dari โ€œAdvanced Intrusion Detection Environment,โ€ salah satu sistem yang paling populer untuk memantau perubahan pada sistem operasi berbasis Linux. AIDE digunakan untuk melindungi terhadap malware, virus, dan mendeteksi tindakan yang tidak sah. Untuk memeriksa integritas file dan deteksi intrusi, AIDE membuat database dengan informasi file dan membandingkan keadaan sistem saat ini dengan database ini. AIDE membantu mengurangi waktu penyelidikan insiden dengan memfokuskan pada file yang telah dimodifikasi.

Fitur AIDE:

  • Dukungan untuk berbagai atribut file, termasuk: jenis file, inode, uid, gid, izin, jumlah tautan, mtime, ctime dan atime.
  • Dukungan untuk Gzip, SELinux, XAttrs, Posix ACL, dan kompresi atribut sistem file.
  • Dukungan untuk berbagai algoritma, termasuk, md5, sha1, sha256, sha512, rmd160, crc32, dll.
  • Notifikasi email.

Pada artikel ini, kita akan melihat cara menginstal dan menggunakan AIDE untuk mendeteksi intrusi di CentOS 8.

Prasyarat


  • Server yang menjalankan CentOS 8 dengan setidaknya 2 GB RAM.
  • akses root

Mulai


Anda disarankan untuk meningkatkan sistem terlebih dahulu. Untuk melakukan ini, jalankan perintah berikut.

dnf update -y

Setelah peningkatan, restart sistem agar perubahan diterapkan.

Pasang AIDE


AIDE tersedia dalam repositori default CentOS 8. Anda dapat dengan mudah menginstalnya dengan menjalankan perintah berikut:

dnf install aide -y

Setelah instalasi selesai, Anda dapat melihat versi AIDE menggunakan perintah berikut:

aide --version

Anda harus melihat yang berikut ini:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Opsi yang tersedia aidedapat dilihat sebagai berikut:

aide --help



Membuat dan menginisialisasi basis data


Hal pertama yang perlu Anda lakukan setelah menginstal AIDE adalah menginisialisasi. Inisialisasi terdiri dalam membuat database (snapshot) dari semua file dan direktori server.

Untuk menginisialisasi database, jalankan perintah berikut:

aide --init

Anda harus melihat yang berikut ini:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Perintah di atas akan membuat database baru aide.db.new.gzdi direktori /var/lib/aide. Itu bisa dilihat menggunakan perintah berikut:

ls -l /var/lib/aide

Hasil:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE tidak akan menggunakan file database baru ini sampai diubah namanya menjadi aide.db.gz. Hal ini dapat dilakukan sebagai berikut:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Disarankan agar basis data ini diperbarui secara berkala untuk menyediakan pemantauan perubahan yang diperlukan.

Anda dapat mengubah lokasi database dengan mengubah parameter DBDIRdalam file /etc/aide.conf.

Jalankan cek


AIDE sekarang siap menggunakan basis data baru. Jalankan pemeriksaan AIDE pertama tanpa membuat perubahan apa pun:

aide --check

Pengerjaan perintah ini akan memakan waktu tergantung pada ukuran sistem file Anda dan jumlah RAM di server Anda. Setelah pemeriksaan selesai, Anda akan melihat yang berikut:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Output di atas mengatakan bahwa semua file dan direktori sesuai dengan database AIDE.

Menguji AIDE


Secara default, AIDE tidak melacak direktori root Apache default. /var/www/html.Mari konfigurasikan AIDE untuk melihatnya. Untuk melakukan ini, Anda perlu mengubah file /etc/aide.conf.

nano /etc/aide.conf

Tambahkan baris "/root/CONTENT_EX"berikut di atas :

/var/www/html/ CONTENT_EX

Selanjutnya, buat file aide.txtdi direktori /var/www/html/menggunakan perintah berikut:

echo "Test AIDE" > /var/www/html/aide.txt

Sekarang jalankan pemeriksaan AIDE dan pastikan bahwa file yang dibuat terdeteksi.

aide --check

Anda harus melihat yang berikut ini:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Kami melihat bahwa file yang dibuat terdeteksi aide.txt.
Setelah menganalisis perubahan yang terdeteksi, perbarui database AIDE.

aide --update

Setelah peningkatan, Anda akan melihat yang berikut:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Perintah di atas akan membuat database baru aide.db.new.gzdi direktori

/var/lib/aide/

Anda dapat melihatnya dengan perintah berikut:

ls -l /var/lib/aide/

Hasil:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Sekarang ganti nama database baru lagi sehingga AIDE menggunakan database baru untuk melacak perubahan lebih lanjut. Ganti nama sebagai berikut:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Jalankan tes lagi untuk memverifikasi bahwa AIDE menggunakan database baru:

aide --check

Anda harus melihat yang berikut ini:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Otomatisasi verifikasi


Sebaiknya jalankan pemeriksaan AIDE setiap hari dan kirim laporan melalui pos. Proses ini dapat diotomatisasi dengan cron.

nano /etc/crontab

Untuk memulai pemeriksaan AIDE setiap hari pada pukul 10:15, tambahkan baris di akhir file:

15 10 * * * root /usr/sbin/aide --check

Sekarang AIDE akan memberi tahu Anda melalui surat. Anda dapat memeriksa email dengan perintah berikut:

tail -f /var/mail/root

Log AIDE dapat dilihat menggunakan perintah berikut:

tail -f /var/log/aide/aide.log

Kesimpulan


Pada artikel ini, Anda belajar cara menggunakan AIDE untuk mendeteksi perubahan file dan mendeteksi akses tidak sah ke server. Untuk pengaturan tambahan, Anda dapat memodifikasi file konfigurasi /etc/aide.conf. Untuk alasan keamanan, Anda disarankan untuk menyimpan database dan file konfigurasi pada media read-only. Untuk informasi lebih lanjut, lihat dokumentasi AIDE Doc .


Pelajari lebih lanjut tentang kursus.

More articles:


All Articles