GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

So installieren Sie AIDE unter CentOS 7

AIDE wird auch als Advanced Intrusion Detection Environment bezeichnet. AIDE ist eines der beliebtesten Tools zur Überwachung der Serveränderungen in einem LINUX-basierten System. Es wird als Integritätsprüfer für Dateien/Ordner verwendet. Die Installation dieser Software ist sehr einfach. Dies wurde ursprünglich von Rami Lehti und Pablo Virolainen im Jahr 1999 geschrieben. Die Systemprüfung wird von der Datenbank initialisiert. Diese Datenbank wird aus Regeln für reguläre Ausdrücke in den Konfigurationsdateien erstellt. Sobald die Datenbank initialisiert ist, kann sie weiter verwendet werden, um die Serverintegrität zu überprüfen. Zu diesem Zweck sind mehrere Digest-Algorithmen integriert. Es kann auch verwendet werden, um die Dateiattribute auf Inkonsistenzen zu prüfen.

HAUPTFUNKTIONEN:

  • Unterstützt mehrere Digest-Algorithmen wie md5, sha1, rmd160, Tiger, crc32, sha256, sha512, Whirlpool und einige andere
  • Unterstützung von Dateiattributen wie Dateityp, Berechtigungen, Inode, Uid, Gid, Linkname, Größe, Blockanzahl, Anzahl der Links, Mtime, Ctime und Atime
  • Unterstützt Posix ACL, SELinux, XAttrs und erweiterte Dateisystemattribute
  • Unterstützung regulärer Ausdrücke zum selektiven Einschließen oder Ausschließen von Dateien/Verzeichnissen.
  • Unterstützung der GZIP-Datenbankkomprimierung.
  • Eigenständige statische Binärdatei für einfache Client/Server-Überwachungskonfigurationen.

In diesem Artikel bespreche ich die Installation und Konfiguration der aktuellen stabilen Version 0.15.1 von AIDE auf einem CentOS 7-Server. Lassen Sie uns die Verfahren durchgehen.

Schritt 1:Installation

Wir können den Befehl yum verwenden, um die AIDE-Software zu installieren.

[root@server1 ~]# yum install aide
Loaded plugins: fastestmirror

Dependencies Resolved

===============================================================================================================================================
Package Arch Version Repository Size
===============================================================================================================================================
Installing:
aide x86_64 0.15.1-9.el7 base 129 k

Transaction Summary
===============================================================================================================================================
Install 1 Package

Total download size: 129 k
Installed size: 304 k

Schritt 2:Überprüfen und verifizieren Sie die AIDE-Version

Wir können diesen Befehl ausführen, um die AIDE-Version zu bestätigen und die Konfigurationsdatei zu finden.

[root@server1 ~]# aide -v
Aide 0.15.1

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Schritt 3:Erstellen Sie die Datenbank

Sobald die Installation von AIDE abgeschlossen ist, müssen wir die primäre Datenbank erstellen, die aus dem Satz von Regeln/Ausdrücken in den Konfigurationsdateien initialisiert wird.

[root@[root@server1 ~]# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
server1 ~]# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

Sobald die Datenbank erstellt ist, können Sie sie in die Originaldatenbank verschieben, indem Sie sie umbenennen, damit AIDE funktioniert.

root@server1 ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@server1 ~]# cd /var/lib/aide
[root@server1 aide]# ls
aide.db.gz
[root@server1 aide]#
[root@server1 aide]#
[root@server1 aide]# ls -lt
total 2136
-rw------- 1 root root 2186673 Apr 1 04:09 aide.db.gz

Schritt 4:Führen Sie den AIDE-Check durch

[root@server1 aide]# aide --check

AIDE, version 0.15.1

### All files match AIDE database. Looks okay!

Schritt 5:Bestätigen Sie die Funktionalität und erstellen Sie eine aktualisierte AIDE-Datenbank

Erstellen Sie manuell eine Binärdatei und prüfen Sie, ob AIDE dies erkennt.

root@server1 aide]# touch /usr/sbin/testbinary
[root@server1 aide]#
[root@server1 aide]#
[root@server1 aide]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 04:14:10

Summary:
Total number of files: 23028
Added files: 1
Removed files: 0
Changed files: 1
---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/sbin/testbinary

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/sbin

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /usr/sbin
Mtime : 2016-04-01 03:42:47 , 2016-04-01 04:14:03
Ctime : 2016-04-01 03:42:47 , 2016-04-01 04:14:03

Wir können das Vorhandensein der neuen Datei anhand der AIDE-Prüfberichte überprüfen. Anhand dieser Prüfungen können wir sogar Änderungen an den Dateiattributen erkennen.
Sobald wir diese Änderungen überprüft haben, ist es immer besser, die Aide-Datenbank zu aktualisieren, damit sie bei der nächsten AIDE-Überprüfung nicht erneut gemeldet wird.

[root@server1 aide]# aide --update
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 04:15:21

Summary:
Total number of files: 23028
Added files: 1
Removed files: 0
Changed files: 1
---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/sbin/testbinary

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/sbin

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Es wird immer empfohlen, die alte AIDE-Datenbank unverändert zu lassen und die aktualisierte Datenbank täglich umzubenennen, um den Überblick zu behalten.

[root@server1 tmp]# cd /var/lib/aide/
root@server1 aide]# ls
aide.db.gz aide.db.new.gz
[root@server1 aide]# mv aide.db.gz aide.db.gz-Apr012016
[root@server1 aide]# mv aide.db.new.gz aide.db.gz

Es ist ziemlich mühsam, diese Prozesse jedes Mal zu überprüfen und die Datenbank umzubenennen, wir können einige Skripte verwenden, um diese Einstellungen zu aktualisieren.

Schritt 6:Cronjob so einstellen, dass AIDE-Prüfung und -Bericht automatisch ausgeführt werden

Ich erstelle einen Cron, um automatisch die AIDE-Prüfung zu initiieren, um meine Serverintegrität zu bestätigen und mich täglich zu melden. Bitte sehen Sie sich meine Skriptdetails unten an:

[root@server1 cron]# crontab -l
00 01 * * 0-6 /var/log/aide/aidechk.sh

[root@server1 cron]# systemctl restart crond.service
[root@server1 cron]#
[root@server1 cron]# systemctl status crond.service
crond.service - Command Scheduler
Loaded: loaded (/usr/lib/systemd/system/crond.service; enabled)
Active: active (running) since Fri 2016-04-01 04:28:22 UTC; 8s ago
Main PID: 12378 (crond)
CGroup: /system.slice/crond.service
└─12378 /usr/sbin/crond -n

Apr 01 04:28:22 server1.centos7-test.com systemd[1]: Started Command Scheduler.
Apr 01 04:28:22 server1.centos7-test.com crond[12378]: (CRON) INFO (RANDOM_DELAY will be scaled with factor 98% if used.)
Apr 01 04:28:22 server1.centos7-test.com crond[12378]: (CRON) INFO (running with inotify support)
Apr 01 04:28:22 server1.centos7-test.com crond[12378]: (CRON) INFO (@reboot jobs will be run at computer's startup.)
[root@server1 cron]#

root@server1 tmp]# cat /var/log/aide/aidechk.sh

#!/bin/sh
#aide check - SShameer
DATE=`date +%Y-%m-%d`
echo $DATE
REPORT="Aide-"$DATE.txt
echo $REPORT
echo "System check !! `date`" > /tmp/$REPORT
aide --check > /tmp/aidecheck.txt
cat /tmp/aidecheck.txt|/bin/grep -v failed >> /tmp/$REPORT
echo "**************************************" >> /tmp/$REPORT
tail -20 /tmp/aidecheck.txt >> /tmp/$REPORT
echo "****************DONE******************" >> /tmp/$REPORT
mail -s "$REPORT `date`" [email protected] < /tmp/$REPORT

Installieren Sie den Befehl mailx oder E-Mail-Dienstprogramme, um den E-Mail-Versand zu verbessern, falls er nicht vorhanden ist. Gemäß unserem Skript wird der Bericht auf /tmp mit dem Zeitstempel neu generiert und täglich per E-Mail an uns gesendet. Bitte sehen Sie sich unten eines meiner Beispielberichtsformate an:

root@server1 tmp]# cat Aide-2016-04-01.txt
System check !! Fri Apr 1 05:04:40 UTC 2016
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 05:04:40

Summary:
Total number of files: 23043
Added files: 15
Removed files: 0
Changed files: 4
---------------------------------------------------
Added files:
---------------------------------------------------

added: /etc/mail.rc
added: /usr/bin/Mail
added: /usr/bin/mail
added: /usr/bin/mailx
added: /usr/bin/nail
added: /usr/share/doc/mailx-12.5
added: /usr/share/doc/mailx-12.5/AUTHORS
added: /usr/share/doc/mailx-12.5/COPYING
added: /usr/share/doc/mailx-12.5/README
added: /usr/share/man/man1/Mail.1.gz
added: /usr/share/man/man1/mail.1.gz
added: /usr/share/man/man1/mailx.1.gz
added: /usr/share/man/man1/nail.1.gz
added: /var/log/aide/aidechk.sh
added: /var/spool/cron/root

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root
changed: /usr/bin
changed: /usr/share/doc
changed: /usr/share/man/man1

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57
Ctime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57

Directory: /usr/bin
Mtime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29
Ctime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29

Directory: /usr/share/doc
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Linkcount: 240 , 241

Directory: /usr/share/man/man1
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
**************************************
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57
Ctime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57

Directory: /usr/bin
Mtime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29
Ctime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29

Directory: /usr/share/doc
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Linkcount: 240 , 241

Directory: /usr/share/man/man1
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
****************DONE******************

Wir können auch die AIDE-Konfigurationsdatei /etc/aide.conf für erweiterte Einstellungen ändern. Aber die Standardkonfiguration ist fast lohnenswert und gut zu gehen.

Auf diese Weise können wir AIDE nutzen, um die Serveränderungen zu verstehen und den unbefugten Zugriff auf unseren Server zu identifizieren, der entweder durch böswillige Inhalte oder durch menschliches Eingreifen erfolgen kann. Ich hoffe, dieser Artikel ist nützlich für Sie! Ich würde Ihre wertvollen Vorschläge und Empfehlungen dazu empfehlen.

Danke! Ich wünsche Ihnen einen schönen Tag :)


Cent OS

  1. So installieren Sie WordPress unter CentOS 6

  2. So installieren Sie den MySQL 8-Datenbankserver unter CentOS 8

  3. So installieren Sie Mediawiki auf einem CentOS-Server

  4. So installieren Sie SpaceWalk unter CentOS 6 / RHEL 6

  5. So installieren Sie den MySQL-Datenbankserver unter CentOS

So installieren Sie Cacti unter CentOS 8 / RHEL 8

So installieren Sie PostgreSQL in CentOS 8

So installieren Sie den PostgreSQL-Datenbankserver CentOS 8

So installieren Sie Oracle Database 21C auf CentOS 8

So installieren Sie Moodle unter CentOS 8

So installieren Sie MariaDB auf CentOS 9 Stream