Streszczenie
Aide, znany również jako Advanced Intrusion Detection Environment, to narzędzie do sprawdzania integralności plików i katalogów oparte na otwartym kodzie źródłowym. Zastępuje dobrze znany moduł sprawdzania integralności Tripwire, którego można używać do monitorowania systemu plików pod kątem nieautoryzowanych zmian. Jest to bardzo przydatne, gdy ktoś umieszcza backdoora na Twojej stronie internetowej i wprowadza zmiany, które mogą całkowicie wyłączyć Twój system. Aide tworzy bazę danych na podstawie Twojego systemu plików i przechowuje różne atrybuty plików, takie jak uprawnienia, numer i-węzła, użytkownik, grupa, rozmiar pliku, mtime i ctime, atime, rosnący rozmiar, liczba łączy i nazwa łącza. Kiedy ktoś dokona zmian w systemie plików, Aide porówna bazę danych z rzeczywistym stanem systemu i zgłosi to Tobie. AIDE obsługuje wiele dystrybucji, takich jak Debian, Ubuntu, Gentoo, FreeBSD, Red Hat, OpenSUSE, CentOS i Fedora.
W tym samouczku omówimy krok po kroku, jak zainstalować i używać AIDE na Ubuntu.
wymagania systemowe
- Nowo wdrożony serwer Ubuntu 16.04.
- Na serwerze skonfigurowany jest statyczny adres IP 192.168.1.10.
Zaktualizuj system
Przed rozpoczęciem zaleca się aktualizację systemu do najnowszej stabilnej wersji za pomocą następującego polecenia:<$
apt-get update -yapt-get upgrade -yPo zaktualizowaniu systemu uruchom ponownie system i zaloguj się jako użytkownik root.
Zainstaluj AIDE
Domyślnie Aide jest dostępny w repozytorium Ubuntu 16.04. Możesz go zainstalować, po prostu uruchamiając następujące polecenie:
apt-get install aide -yPo zainstalowaniu Aide możesz sprawdzić wersję Aide za pomocą następującego polecenia:
aide -vPowinieneś zobaczyć następujące dane wyjściowe:
root@deb12:~# aide -v
AIDE 0.18.3
Compile-time options:
use pcre2: mandatory
use pthread: yes
use zlib compression: yes
use POSIX ACLs: yes
use SELinux: yes
use xattr: yes
use POSIX 1003.1e capabilities: yes
use e2fsattrs: yes
use cURL: no
use Mhash: yes
use GNU crypto library: no
use Linux Auditing Framework: yes
use locale: no
syslog ident: aide
syslog logopt: LOG_CONS
syslog priority: LOG_NOTICE
default syslog facility: LOG_LOCAL0
Utwórz i dopisz do pliku 00_local_excludes AIDE katalogi wykluczone.
nano /etc/aide/aide.conf.d/00_local_excludes# add to the end : set exclude directories if you need
!/var/log
!/var/lib/aide
!/var/lib/apt
!/var/lib/dpkg
!/var/cache
!/run
Możesz włączyć/wyłączyć codzienne zadanie cron w linii
nano /etc/default/aideCRON_DAILY_RUN=yesjeśli tak, zmień linię
MAILTO=mainname@example.comSkonfiguruj pomocnika
Aide ma swój plik konfiguracyjny umieszczony w /etc/aidekatalogu, a baza danych znajduje się w /var/lib/aide/katalogu. Najpierw musisz utworzyć bazę danych na nowym serwerze, zanim zostanie on skonfigurowany do pracy w środowisku produkcyjnym.
Możesz utworzyć nową bazę danych za pomocą polecenia aideinit, jak poniżej:
aide --init --config /etc/aide/aide.confPowinieneś zobaczyć następujące dane wyjściowe:
root@deb12:~# aide --init --config /etc/aide/aide.conf
Start timestamp: 2024-02-21 08:55:23 +0100 (AIDE 0.18.3)
AIDE successfully initialized database.
New AIDE database written to /var/lib/aide/aide.db.new
Ignored e2fs attributes: EINV
Number of entries: 49709
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new
MD5 : CWliKMCG2EdLYQf51sdWGw==
SHA1 : /mHD4q8yoL5dQDwzunM4vzvF8a4=
SHA256 : nvwr3K3LGC7L2p/a/FfZF2DkJUPmlUVp
gMg8vaoVORs=
SHA512 : NgN4dBiXRhj11raJugCSyCf2WEePQG+u
yZ8kVxfY4Rt8uVRGGQgYQ663eTbCT8gW
9sc3deEUpA14DMlc/efK2g==
RMD160 : Rq3lgkQKtYmWhfHFgzD9efDFzAo=
TIGER : KVca04ffLIkvWkEAgZWL/WsLMiwGvDgd
CRC32 : 2PCosw==
CRC32B : kCJmwQ==
HAVAL : 2+uRj/WCemHKo3NkuQStZb9MqlecDcr0
lB8jkqXcMf8=
WHIRLPOOL : XESa6JMAepAFGIy2LZ3N1x3qS1JocLsE
GFXHPecSnCVFgQp5lHRoRLfzdr3/G4lA
QkeLdx/nPAZp1WF3+apgnw==
GOST : wPUkfWjJ6nOdi2A9ZkCyaCQep7uIZjCf
qjqp3b63+c4=
Powyższe polecenie generuje nową bazę danych w formacie /var/lib/aide/aide.db.new.
Następnie zainstaluj nowo wygenerowaną bazę danych za pomocą następującego polecenia:
cp /var/lib/aide/aide.db.new /var/lib/aide/aide.dbNastępnie musisz zbudować nowy plik konfiguracyjny Aide. Można to zrobić za pomocą następującego polecenia:
update-aide.confNastępnie skopiuj nowo wygenerowany plik konfiguracyjny do katalogu /etc/aide:
cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.confPomocnik testowy
Gdy wszystko zostanie poprawnie skonfigurowane. Przetestujmy Aide, czy działa, czy nie.
Najpierw utwórz katalog i pliki za pomocą następującego polecenia:
mkdir /root/aide-test
touch /root/aide-test/test1
touch /root/aide-test/test2Teraz uruchom Aide check, aby wykryć nowe pliki i katalog za pomocą następującego polecenia:
aide -c /etc/aide/aide.conf --checkaide -c /etc/aide/aide.conf –check
AIDE 0.16a2-19-g16ed855 found differences between database and filesystem!!
Start timestamp: 2017-06-15 21:04:32 +0530
Verbose level: 6
Summary:
Total number of entries: 113613
Added entries: 4
Removed entries: 0
Changed entries: 8
---------------------------------------------------
Added entries:
---------------------------------------------------
d++++++++++++++++: /root/aide-test
f++++++++++++++++: /root/aide-test/test1
f++++++++++++++++: /root/aide-test/test2
f++++++++++++++++: /var/lib/aide/aide.dbMożesz zweryfikować nowo utworzone pliki na podstawie powyższych raportów kontroli Aide. Zaleca się aktualizację bazy danych pomocników, aby nie została ona ponownie wyświetlona przy następnej kontroli AIDE. Musisz także zachować kopię zapasową starej bazy danych Aide i codziennie zmieniać nazwę zaktualizowanej bazy danych, aby śledzić.