Как установить AIDE на CentOS 7 |

Как установить AIDE на CentOS 7

Мануал

AIDE также называется Advanced Intrusion Detection Environment.

AIDE – один из самых популярных инструментов для мониторинга изменений сервера в системе на базе LINUX.

Он используется в качестве проверки целостности файлов / папок.

Установка этого программного обеспечения очень проста.

Этот продукт первоначально написан Рами Лехти и Пабло Виролайненом в 1999 году.

Системная проверка инициализируется базой данных.

Эта база данных создается из правил регулярных выражений в файлах конфигурации.

После инициализации базы данных ее можно использовать для проверки целостности сервера.

Для этой цели встроены несколько алгоритмов дайджеста.

Его также можно использовать для проверки атрибутов файла на несоответствия.

ОСНОВНЫЕ особенности:

  • Поддержка нескольких алгоритмов, таких как md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool и несколько других
  • Поддержка атрибутов файлов, таких как тип файла, разрешения, Inode, Uid, Gid, имя ссылки, размер, количество блоков, количество ссылок, время Mtime, время и время
  • Поддержка атрибутов Posix ACL, SELinux, XAttrs и расширенной файловой системы
  • Поддерживать регулярное выражение для выборочного включения или исключения файлов / каталогов.
  • Поддержка сжатия базы данных GZIP.
  • Автономный статический двоичный код для удобной конфигурации мониторинга клиент / сервер.

В этой статье я расскажу об установке и настройке текущей стабильной версии 0.15.1 AIDE на сервере CentOS 7.

Шаг 1: Установка

Мы можем использовать команду yum для установки программного обеспечения AIDE.


# yum install aide
Loaded plugins: fastestmirror

Dependencies Resolved

===============================================================================================================================================
Package Arch Version Repository Size
===============================================================================================================================================
Installing:
aide x86_64 0.15.1-9.el7 base 129 k

Transaction Summary
===============================================================================================================================================
Install 1 Package

Total download size: 129 k
Installed size: 304 k 

Шаг 2. Проверьте и установите версию AIDE

Мы можем запустить эту команду, чтобы подтвердить версию AIDE и найти файл конфигурации.


# aide -v
Aide 0.15.1

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf" 

Шаг 3. Создание базы данных

После завершения установки AIDE нам необходимо создать основную базу данных, которая инициализируется из набора правил / выражений в файлах конфигурации.


# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
server1 ~]# aide --init

AIDE, version 0.15.1

AIDE database at /var/lib/aide/aide.db.new.gz initialized. 

После создания базы данных вы можете перенести ее на оригинал, переименовав ее, чтобы начать работу с AIDE.

 # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
# cd /var/lib/aide
# ls
aide.db.gz
# ls -lt
total 2136
-rw------- 1 root root 2186673 Apr 1 04:09 aide.db.gz 

Шаг 4: Запустите проверку AIDE


# aide --check

AIDE, version 0.15.1

All files match AIDE database. Looks okay! 

Шаг 5: Подтвердите его функциональность и создайте обновленную базу данных AIDE

Создайте бинарник вручную и проверьте, обнаружено ли AIDE.

# touch /usr/sbin/testbinary
# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2017-04-01 04:14:10

Summary:
Total number of files: 23028
Added files: 1
Removed files: 0
Changed files: 1
---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/sbin/testbinary

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/sbin

<hr />

Мы можем проверить наличие нового файла из отчетов проверки AIDE.

Мы также можем идентифицировать любые изменения атрибутов файла из этих проверок.

Как только мы рассмотрим эти изменения, всегда лучше обновлять базу данных помощника, чтобы она не сообщалась снова на следующей проверке AIDE.

 # aide --update
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 04:15:21

Summary:
Total number of files: 23028
Added files: 1
Removed files: 0
Changed files: 1
---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/sbin/testbinary

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/sbin

Всегда рекомендуется хранить старую базу данных AIDE без изменений и повторно использовать обновленную базу данных на ежедневной основе для отслеживания.

 # cd /var/lib/aide/
# ls
aide.db.gz aide.db.new.gz
# mv aide.db.gz aide.db.gz-Apr012016
# mv aide.db.new.gz aide.db.gz 

Эти процессы довольно утомительны, чтобы проверять каждый раз и переименовывать базу данных, мы можем использовать некоторые сценарии для обновления этих параметров.

Шаг 6: Установите cronjob для запуска AIDE и автоматического отчета.

Я создаю cron, чтобы автоматически инициировать проверку AIDE, чтобы подтвердить целостность моего сервера и сообщать мне на ежедневной основе отчеты.

 # crontab -l
00 01 * * 0-6 /var/log/aide/aidechk.sh

# systemctl restart crond.service
# systemctl status crond.service
crond.service - Command Scheduler
Loaded: loaded (/usr/lib/systemd/system/crond.service; enabled) 

# cat /var/log/aide/aidechk.sh

#!/bin/sh
#aide check - SShameer
DATE=`date +%Y-%m-%d`
echo $DATE
REPORT="Aide-"$DATE.txt
echo $REPORT
echo "System check !! `date`" > /tmp/$REPORT
aide --check > /tmp/aidecheck.txt
cat /tmp/aidecheck.txt|/bin/grep -v failed >> /tmp/$REPORT
echo "**************************************" >> /tmp/$REPORT
tail -20 /tmp/aidecheck.txt >> /tmp/$REPORT
echo "****************DONE******************" >> /tmp/$REPORT
mail -s "$REPORT `date`" sshameer@gmail.com < /tmp/$REPORT

Установите mailx-команду или почтовые утилиты, чтобы улучшить отправку по электронной почте, если ее нет.

Согласно нашему сценарию, отчет будет регенерирован на /tmp с отметкой времени и будет отправляться нам по электронной почте ежедневно.

Пожалуйста, ознакомьтесь с одним из следующих форматов отчета:

 # cat Aide-2017-04-01.txt
System check !! Fri Apr 1 05:04:40 UTC 2016
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2017-04-01 05:04:40

Summary:
Total number of files: 23043
Added files: 15
Removed files: 0
Changed files: 4
---------------------------------------------------
Added files:
---------------------------------------------------

added: /etc/mail.rc
added: /usr/bin/Mail
added: /usr/bin/mail
added: /usr/bin/mailx
added: /usr/bin/nail
added: /usr/share/doc/mailx-12.5
added: /usr/share/doc/mailx-12.5/AUTHORS
added: /usr/share/doc/mailx-12.5/COPYING
added: /usr/share/doc/mailx-12.5/README
added: /usr/share/man/man1/Mail.1.gz
added: /usr/share/man/man1/mail.1.gz
added: /usr/share/man/man1/mailx.1.gz
added: /usr/share/man/man1/nail.1.gz
added: /var/log/aide/aidechk.sh
added: /var/spool/cron/root

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root
changed: /usr/bin
changed: /usr/share/doc
changed: /usr/share/man/man1

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57
Ctime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57

Directory: /usr/bin
Mtime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29
Ctime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29

Directory: /usr/share/doc
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Linkcount: 240 , 241

Directory: /usr/share/man/man1
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
**************************************
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57
Ctime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57

Directory: /usr/bin
Mtime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29
Ctime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29

Directory: /usr/share/doc
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Linkcount: 240 , 241

Directory: /usr/share/man/man1
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
****************DONE****************** 

Мы также можем изменить конфигурационный файл AIDE /etc/aide.conf для расширенных настроек.

Но конфигурация по умолчанию уже почти дельная и хорошая.


Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий