Installation und Verwendung der AIDE Advanced Intrusion Detection Umgebung auf CentOS 8

AIDE steht für „Advanced Intrusion Detection Environment“ und ist eines der beliebtesten Werkzeuge zur Überwachung von Änderungen an Linux-basierten Betriebssystemen. Es wird verwendet, um Ihr System vor Malware und Viren zu schützen und unbefugte Aktivitäten zu erkennen. Es funktioniert, indem es eine Datenbank des Dateisystems erstellt und diese Datenbank mit dem System vergleicht, um die Dateiintegrität sicherzustellen und Einbrüche in das System zu erkennen. AIDE hilft Ihnen, die Untersuchungszeit während der Reaktion auf einen Vorfall zu verkürzen, indem es sich auf die geänderten Dateien konzentriert.

Merkmale

  • Unterstützt verschiedene Attribute, einschließlich Dateityp, Inode, Uid, Gid, Berechtigungen, Anzahl der Links, Mtime, Ctime und Atime.
  • Unterstützt Gzip-Kompression, SELinux, XAttrs, Posix ACL und erweiterte Dateisystem-Attribute.
  • Sie können verschiedene Message-Digest-Verfahren erstellen und vergleichen, darunter md5, sha1, sha256, sha512, rmd160, crc32 usw.
  • Sie können sich per E-Mail benachrichtigen lassen.

In diesem Tutorial werden wir Ihnen zeigen, wie Sie AIDE installieren und verwenden, um Einbrüche unter CentOS 8 zu erkennen.

Voraussetzungen

  • Ein Server mit CentOS 8 mit mindestens 2 GB RAM.
  • Auf Ihrem Server ist ein Root-Passwort konfiguriert.

Erste Schritte

Bevor Sie beginnen, ist es eine gute Idee, Ihr System auf die aktualisierte Version zu aktualisieren. Führen Sie den folgenden Befehl aus, um Ihr System zu aktualisieren.

dnf update -y

Sobald Ihr System aktualisiert ist, starten Sie es neu, um die Änderungen zu implementieren.

AIDE installieren

Standardmäßig ist AIDE im Standard-Repository von CentOS 8 verfügbar. Sie können es einfach installieren, indem Sie einfach den folgenden Befehl ausführen:

dnf install aide -y

Nach Abschluß der Installation können Sie die installierte Version von AIDE mit folgendem Befehl überprüfen:

aide --version

Sie sollten die folgende Ausgabe sehen:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Sie können auch alle Optionen, die mit dem AIDE-Befehl verfügbar sind, mit dem folgenden Befehl sehen:

aide --help

Sie sollten den folgenden Bildschirm sehen:

Erweiterte Intrusion Detection Umgebung

Erstellen und Initialisieren der Datenbank

Nach der Installation von AIDE müssen Sie als erstes das Setup initialisieren. Diese Initialisierung wird eine Datenbank (Snapshot) aller Dateien und Verzeichnisse Ihres Servers erstellen.

Führen Sie den folgenden Befehl aus, um die Datenbank zu initialisieren:

aide --init

Sie sollten die folgende Ausgabe sehen:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

Der obige Befehl erzeugt eine neue AIDE-Datenbank aide.db.new.gz im Verzeichnis /var/lib/aide. Sie können sie mit dem folgenden Befehl sehen:

ls -l /var/lib/aide

Sie sollten die folgende Ausgabe sehen:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE wird die neue Datenbankdatei nicht benutzen, bis sie in aide.db.gz umbenannt wurde. Sie können sie mit dem folgenden Befehl umbenennen:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Es wird empfohlen, diese Datenbank in einem bestimmten Zeitraum zu aktualisieren, um eine angemessene Überwachung der Änderungen zu gewährleisten. Sie können auch den Speicherort der AIDE-Datenbank ändern, indem Sie die Datei /etc/aide.conf bearbeiten und den DBDIR-Wert ändern.

AIDE prüfen

Zu diesem Zeitpunkt ist AIDE bereit, die neue Datenbank zu nutzen. Führen Sie nun Ihre erste AIDE-Prüfung durch, ohne Änderungen vorzunehmen:

aide --check

Dieser Befehl wird einige Zeit in Anspruch nehmen, abhängig von der Größe Ihres Dateisystems und der Menge an RAM in Ihrem Server. Sobald die AIDE-Prüfung abgeschlossen ist, sollten Sie die folgende Ausgabe sehen:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Die obige Ausgabe zeigt an, dass jede Datei und jedes Verzeichnis mit der AIDE-Datenbank übereinstimmt.

AIDE testen

Standardmäßig ist AIDE nicht konfiguriert, um Dateien und Verzeichnisse der Apache-Vorgabedokument-Wurzel /var/www/html zu überwachen. Sie m?ssen AIDE also so konfigurieren, dass das Verzeichnis /var/www/html ?berwacht wird. Sie können es durch Bearbeiten der Datei /etc/aide.conf konfigurieren.

nano /etc/aide.conf

Fügen Sie die folgende Zeile über der Zeile „/root/ CONTENT_EX“ ein:

/var/www/html/ CONTENT_EX

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Als nächstes erstellen Sie eine Datei aide.txt im Verzeichnis /var/www/html/ mit dem folgenden Befehl:

echo "Test AIDE" > /var/www/html/aide.txt

Führen Sie nun die AIDE-Prüfung aus und überprüfen Sie, ob die neu erstellte Datei von der Hilfsprüfung erkannt wird.

aide --check

Sie sollten die folgende Ausgabe sehen:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Die obige Ausgabe zeigt an, dass die neu erstellte Datei aide.txt von der AIDE-Prüfung erkannt wird.

Als nächstes ist es eine gute Idee, die AIDE-Datenbank zu aktualisieren, nachdem Sie die von der AIDe-Prüfung entdeckten Änderungen überprüft haben. Sie können die AIDE-Datenbank mit dem folgenden Befehl aktualisieren:

aide --update

Sobald die Datenbank aktualisiert ist, sollten Sie die folgende Ausgabe sehen:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

Der obige Befehl erzeugt eine neue Datenbank namens aide.db.new.gz im Verzeichnis /var/lib/aide/.

Sie können sie mit dem folgenden Befehl sehen:

ls -l /var/lib/aide/

Sie sollten die folgende Ausgabe sehen:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Benennen Sie nun die neue Datenbank erneut um, so dass AIDE diese neue Datenbank verwendet, um alle neuen Änderungen zu verfolgen. Sie können die Datenbank mit dem folgenden Befehl umbenennen:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Führen Sie nun die AIDE-Prüfung erneut durch, um zu prüfen, ob die AIDE die neue Datenbank verwendet oder nicht:

aide --check

Sie sollten die folgende Ausgabe sehen:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

AIDE-Prüfung automatisieren

Es ist eine gute Idee, die AIDE-Prüfung täglich zu automatisieren und den Bericht per Mail an ein System zu senden. Sie können diesen Vorgang mit Hilfe des Cron-Jobs automatisieren.

Bearbeiten Sie dazu die Cron-Standardkonfigurationsdatei wie unten gezeigt:

nano /etc/crontab

Fügen Sie die folgende Zeile am Ende der Datei hinzu, um die AIDE-Prüfung an jedem Tag um 10:15 Uhr zu automatisieren:

15 10 * * * root /usr/sbin/aide --check

Speichern und schließen Sie die Datei, wenn Sie fertig sind.

Nun wird das AIDE Sie per System-Mail benachrichtigen.

Sie können Ihre System-Mail mit dem folgenden Befehl überprüfen:

tail -f /var/mail/root

Sie können das AIDE-Protokoll auch mit dem folgenden Befehl überprüfen:

tail -f /var/log/aide/aide.log

Schlussfolgerung

In der obigen Anleitung haben Sie gelernt, wie Sie AIDE verwenden können, um die Serveränderungen zu verstehen und unberechtigte Zugriffe auf Ihren Server zu identifizieren. Sie können die Datei /etc/aide.conf modifizieren, um Ihr Anwendungsverzeichnis oder erweiterte Einstellungen zu überwachen. Es wird empfohlen, Ihre AIDE-Datenbank und die Konfigurationsdatei aus Sicherheitsgründen auf einem schreibgeschützten Medium aufzubewahren. Für weitere Informationen können Sie die AIDE-Dokumentation unter AIDE Doc.

Das könnte dich auch interessieren …