AIDE steht für „Advanced Intrusion Detection Environment“ und ist eines der beliebtesten Tools zur Überwachung von Änderungen an Linux-basierten Betriebssystemen. Es wird verwendet, um Ihr System vor Malware und Viren zu schützen und unbefugte Aktivitäten zu erkennen. Es funktioniert, indem es eine Datenbank des Dateisystems erstellt und diese Datenbank mit dem System vergleicht, um die Dateiintegrität sicherzustellen und Systemeinbrüche zu erkennen. AIDE hilft Ihnen, die Untersuchungszeit während der Reaktion auf Vorfälle zu verkürzen, indem es sich auf die geänderten Dateien konzentriert.
Funktionen
- Unterstützt verschiedene Attribute, einschließlich Dateityp, Inode, UID, Gid, Berechtigungen, Anzahl der Links, Mtime, Ctime und Atime.
- Unterstützt Gzip-Komprimierung, SELinux, XAttrs, Posix ACL und erweiterte Dateisystemattribute.
- Fähig, verschiedene Nachrichten-Digest-Algorithmen zu erstellen und zu vergleichen, einschließlich md5, sha1, sha256, sha512, rmd160, crc32 usw.
- Fähig, Sie per E-Mail zu benachrichtigen.
In diesem Tutorial zeigen wir Ihnen, wie Sie AIDE installieren und verwenden, um Eindringlinge in CentOS 8 zu erkennen.
Voraussetzungen
- Ein Server mit CentOS 8 und mindestens 2 GB RAM.
- Auf Ihrem Server ist ein Root-Passwort konfiguriert.
Erste Schritte
Bevor Sie beginnen, ist es eine gute Idee, Ihr System auf die aktualisierte Version zu aktualisieren. Führen Sie den folgenden Befehl aus, um Ihr System zu aktualisieren.
dnf update -y
Sobald Ihr System aktualisiert ist, starten Sie es neu, um die Änderungen zu implementieren.
AIDE installieren
Standardmäßig ist AIDE im Standard-Repository von CentOS 8 verfügbar. Sie können es einfach installieren, indem Sie einfach den folgenden Befehl ausführen:
dnf install aide -y
Sobald die Installation abgeschlossen ist, können Sie die installierte Version von AIDE mit dem folgenden Befehl überprüfen:
aide --version
Sie sollten die folgende Ausgabe sehen:
Aide 0.16 Compiled with the following options: WITH_MMAP WITH_PCRE WITH_POSIX_ACL WITH_SELINUX WITH_XATTR WITH_E2FSATTRS WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_CURL WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Sie können auch alle Optionen sehen, die mit dem Befehl aide verfügbar sind, indem Sie den folgenden Befehl verwenden:
aide --help
Sie sollten den folgenden Bildschirm sehen:
Erstellen und initialisieren Sie die Datenbank
Nach der Installation von AIDE müssen Sie zunächst das Setup initialisieren. Diese Initialisierung erstellt eine Datenbank (Snapshot) aller Dateien und Verzeichnisse Ihres Servers.
Führen Sie den folgenden Befehl aus, um die Datenbank zu initialisieren:
aide --init
Sie sollten die folgende Ausgabe sehen:
Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16) AIDE initialized database at /var/lib/aide/aide.db.new.gz Number of entries: 49472 --------------------------------------------------- The attributes of the (uncompressed) database(s): --------------------------------------------------- /var/lib/aide/aide.db.new.gz MD5 : 4N79P7hPE2uxJJ1o7na9sA== SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M= RMD160 : rHMMy5WwHVb9TGUc+TBHFHsPCrk= TIGER : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0 SHA256 : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9 xWXT2iaEHgQ= SHA512 : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI nDw6lgDNI/ls2esijukliQ== End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)
Der obige Befehl erstellt eine neue AIDE-Datenbank aide.db.new.gz im Verzeichnis /var/lib/aide. Sie können es mit dem folgenden Befehl anzeigen:
ls -l /var/lib/aide
Sie sollten die folgende Ausgabe sehen:
total 2800 -rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE verwendet die neue Datenbankdatei erst, nachdem sie in aide.db.gz umbenannt wurde. Sie können es mit dem folgenden Befehl umbenennen:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Es wird empfohlen, diese Datenbank regelmäßig zu aktualisieren, um eine angemessene Überwachung der Änderungen zu gewährleisten. Sie können auch den Speicherort der AIDE-Datenbank ändern, indem Sie die Datei /etc/aide.conf bearbeiten und den DBDIR-Wert ändern.
AIDE prüfen
An diesem Punkt ist AIDE bereit, die neue Datenbank zu verwenden. Führen Sie nun Ihren ersten AIDE-Check durch, ohne Änderungen vorzunehmen:
aide --check
Dieser Befehl wird abhängig von der Größe Ihres Dateisystems und der Menge an RAM auf Ihrem Server einige Zeit in Anspruch nehmen. Sobald die AIDE-Prüfung abgeschlossen ist, sollten Sie die folgende Ausgabe sehen:
Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!!
Die obige Ausgabe zeigt an, dass jede Datei und jedes Verzeichnis mit der AIDE-Datenbank übereinstimmt.
AIDE testen
Standardmäßig ist AIDE nicht so konfiguriert, dass es Dateien und Verzeichnisse des Apache-Standard-Dokumentenstammverzeichnisses /var/www/html überwacht. Sie müssen also AIDE so konfigurieren, dass es das Verzeichnis /var/www/html überwacht. Sie können es konfigurieren, indem Sie die Datei /etc/aide.conf.
bearbeitennano /etc/aide.conf
Fügen Sie die folgende Zeile oberhalb der Zeile "/root/CONTENT_EX":
hinzu/var/www/html/ CONTENT_EX
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
Erstellen Sie als Nächstes eine aide.txt-Datei im Verzeichnis /var/www/html/ mit dem folgenden Befehl:
echo "Test AIDE" > /var/www/html/aide.txt
Führen Sie nun den AIDE-Check aus und vergewissern Sie sich, dass die neu erstellte Datei vom Aide-Check erkannt wird.
aide --check
Sie sollten die folgende Ausgabe sehen:
Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16) AIDE found differences between database and filesystem!! Summary: Total number of entries: 49475 Added entries: 1 Removed entries: 0 Changed entries: 0 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /var/www/html/aide.txt
Die obige Ausgabe zeigt an, dass die neu erstellte Datei aide.txt von der Aide-Prüfung erkannt wird.
Als nächstes ist es eine gute Idee, die AIDE-Datenbank zu aktualisieren, nachdem Sie die von Aide Check erkannten Änderungen überprüft haben. Sie können die AIDE-Datenbank mit dem folgenden Befehl aktualisieren:
aide --update
Sobald die Datenbank aktualisiert ist, sollten Sie die folgende Ausgabe sehen:
Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new.gz Summary: Total number of entries: 49475 Added entries: 1 Removed entries: 0 Changed entries: 0 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /var/www/html/aide.txt
Der obige Befehl erstellt eine neue Datenbank namens aide.db.new.gz im Verzeichnis /var/lib/aide/.
Sie können es mit dem folgenden Befehl anzeigen:
ls -l /var/lib/aide/
Sie sollten die folgende Ausgabe sehen:
total 5600 -rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz -rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz
Benennen Sie nun die neue Datenbank erneut um, damit AIDE diese neue Datenbank verwendet, um alle neuen Änderungen zu verfolgen. Sie können die Datenbank mit dem folgenden Befehl umbenennen:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Führen Sie nun den AIDE-Check erneut aus, um zu prüfen, ob AIDE die neue Datenbank verwendet oder nicht:
aide --check
Sie sollten die folgende Ausgabe sehen:
Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!!
Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.
AIDE-Prüfung automatisieren
Es ist eine gute Idee, den AIDE-Check jeden Tag zu automatisieren und den Bericht per Mail an ein System zu senden. Sie können diesen Vorgang mit dem Cron-Job automatisieren.
Bearbeiten Sie dazu die Cron-Standardkonfigurationsdatei wie unten gezeigt:
nano /etc/crontab
Fügen Sie die folgende Zeile am Ende der Datei hinzu, um die AIDE-Prüfung jeden Tag um 10:15 Uhr zu automatisieren:
15 10 * * * root /usr/sbin/aide --check
Speichern und schließen Sie die Datei, wenn Sie fertig sind.
AIDE benachrichtigt Sie nun per Systemmail.
Sie können Ihre System-Mail mit dem folgenden Befehl überprüfen:
tail -f /var/mail/root
Sie können das AIDE-Protokoll auch mit dem folgenden Befehl überprüfen:
tail -f /var/log/aide/aide.log
Schlussfolgerung
Im obigen Tutorial haben Sie gelernt, wie Sie AIDE verwenden, um die Serveränderungen zu verstehen und unbefugten Zugriff auf Ihren Server zu identifizieren. Sie können die Datei /etc/aide.conf ändern, um Ihr Anwendungsverzeichnis oder erweiterte Einstellungen zu überwachen. Aus Sicherheitsgründen wird empfohlen, Ihre AIDE-Datenbank und Konfigurationsdatei auf einem schreibgeschützten Medium aufzubewahren. Weitere Informationen finden Sie in der AIDE-Dokumentation unter AIDE Doc.