AIDE (усовершенствованная среда обнаружения вторжений) – это основанная на хосте система обнаружения вторжений (HIDS) для проверки целостности файлов.
AIDE создает базовую базу данных файлов при первом запуске, а затем проверяет эту базу данных по системе при последующих запусках.
Свойства файла, которые можно проверить, включают:
- Inoda
- права доступа
- Время модификации
- Содержимое файла и т. д.
Обратите внимание, что AIDE не проверяет руткиты и не анализирует файлы журналов на наличие подозрительных действий.
5 инструментов для сканирования Linux-сервера на вредоносные программы и руткиты
Для этого вы можете использовать другие системы HIDS, такие как OSSEC.
Бесплатный инструмент Host & Endpoint Security: Wazuh
Как установить AIDE на RHEL 8
Пакет AIDE доступен по умолчанию в репозиториях RHEL 8.
Просто выполните команды ниже, чтобы установить его.
sudo yum -y install aide
Чтобы посмотреть больше деталей пакета.
$ rpm -qi aide Name : aide Version : 0.16 Release : 8.el8 Architecture: x86_64 Install Date: Wed 02 Jan 2019 10:19:13 AM EAT Group : Unspecified Size : 382492 License : GPLv2+ Signature : RSA/SHA256, Fri 12 Oct 2018 02:15:34 PM EAT, Key ID 199e2f91fd431d51 Source RPM : aide-0.16-8.el8.src.rpm Build Date : Wed 10 Oct 2018 08:50:10 PM EAT Build Host : x86-vm-08.build.eng.bos.redhat.com Relocations : (not relocatable) Packager : Red Hat, Inc. http://bugzilla.redhat.com/bugzilla Vendor : Red Hat, Inc. URL : http://sourceforge.net/projects/aide Summary : Intrusion detection environment Description : AIDE (Advanced Intrusion Detection Environment) is a file integrity checker and intrusion detection program.
Настройка AIDE на RHEL 8
Файл конфигурации по умолчанию /etc/aide.conf имеет довольно нормальные значения по умолчанию и тщательно прокомментирован.
Если вы хотите изменить правила, смотрите:
man aide.conf
Установите /var/log для мониторинга
Отредактируйте строку /var/log в /etc/aide.conf и измените
/var/log LOG
на
/var/log p+u+g+i+n+acl+selinux+xattrs
Инициализируйте базу данных
Вы можете вносить другие изменения по своему желанию. Когда закончите, инициализируйте базу данных AIDE, выполнив команду:
$ sudo aide --init Start timestamp: 2019-01-02 10:43:56 +0300 (AIDE 0.16) AIDE initialized database at /var/lib/aide/aide.db.new.gz Number of entries: 36380 The attributes of the (uncompressed) database(s): /var/lib/aide/aide.db.new.gz MD5 : oNfFcURzLLDyAJjlLWAM1A== SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs= RMD160 : ln350FamsGUpt5TdLNMvDGRc18w= TIGER : d3nafwSfYSC83zQTII9WpPNTo4iI0xTQ SHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9 KTPPhvoYWNk= SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7j IDxOoTvflM1roQWpjtK22HCvozXPycIp 26E/AtBZz9KY+urxFQq5NA== End timestamp: 2019-01-02 10:44:23 +0300 (run time: 0m 27s)
Когда закончите, скопируйте созданный файл базы данных AIDE в основную базу данных.
sudo cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Чтобы проверить конфигурацию AIDE, используйте:
$ sudo aide -D
Проверьте базу данных по базовой базе данных, используйте:
$ sudo aide --check Start timestamp: 2019-01-02 10:57:22 +0300 (AIDE 0.16) AIDE found differences between database and filesystem!! Summary: Total number of entries: 36380 Added entries: 0 Removed entries: 0 Changed entries: 1 Changed entries: f = … mc..C… : /var/log/lastlog Detailed information about changes: File: /var/log/lastlog Mtime : 2019-01-02 10:16:52 +0300 | 2019-01-02 10:53:53 +0300 Ctime : 2019-01-02 10:16:52 +0300 | 2019-01-02 10:53:53 +0300 SHA256 : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a 7p818Je1NeY= | Zk+qg77jXYM= SHA512 : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1 WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5q kxFERBgvE/6Yk/cSM5Vm4g== | K8EJ9/YNV+2RGJbRgiaCxA== The attributes of the (uncompressed) database(s): /var/lib/aide/aide.db.gz MD5 : oNfFcURzLLDyAJjlLWAM1A== SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs= RMD160 : ln350FamsGUpt5TdLNMvDGRc18w= TIGER : d3nafwSfYSC83zQTII9WpPNTo4iI0xTQ SHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9 KTPPhvoYWNk= SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7j IDxOoTvflM1roQWpjtK22HCvozXPycIp 26E/AtBZz9KY+urxFQq5NA== End timestamp: 2019-01-02 10:57:40 +0300 (run time: 0m 18s)
Если вы измените файл и перепроверите, вы должны увидеть изменения.
$ ll /etc/issue -rw-r--r--. 1 root root 23 Oct 16 10:39 /etc/issue $ sudo chmod 0664 /etc/issue $ ll /etc/issue -rw-rw-r--. 1 root root 23 Oct 16 10:39 /etc/issue $ sudo aide --check ............................................ File: /etc/issue Perm : -rw-r--r-- | -rw-rw-r-- Ctime : 2018-12-30 23:45:39 +0300 | 2019-01-02 11:06:07 +0300 ACL : A: user::rw- | A: user::rw- A: group::r-- | A: group::rw- A: other::r-- | A: other::r-- ............................................................... # Revert the change $ sudo chmod 0644 /etc/issue
Чтобы проверить базу данных и обновить ее, используйте:
$ sudo aide --update Start timestamp: 2019-01-02 11:01:05 +0300 (AIDE 0.16) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new.gz Summary: Total number of entries: 36380 Added entries: 0 Removed entries: 0 Changed entries: 1 Changed entries: f = … mc..C… : /var/log/lastlog Detailed information about changes: File: /var/log/lastlog Mtime : 2019-01-02 10:16:52 +0300 | 2019-01-02 10:53:53 +0300 Ctime : 2019-01-02 10:16:52 +0300 | 2019-01-02 10:53:53 +0300 SHA256 : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a 7p818Je1NeY= | Zk+qg77jXYM= SHA512 : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1 WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5q kxFERBgvE/6Yk/cSM5Vm4g== | K8EJ9/YNV+2RGJbRgiaCxA== The attributes of the (uncompressed) database(s): /var/lib/aide/aide.db.gz MD5 : oNfFcURzLLDyAJjlLWAM1A== SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs= RMD160 : ln350FamsGUpt5TdLNMvDGRc18w= TIGER : d3nafwSfYSC83zQTII9WpPNTo4iI0xTQ SHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9 KTPPhvoYWNk= SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7j IDxOoTvflM1roQWpjtK22HCvozXPycIp 26E/AtBZz9KY+urxFQq5NA== /var/lib/aide/aide.db.new.gz MD5 : QCnHueXv69soyePzxSVNHg== SHA1 : erpgcR9xv6CKiDGBkrZn5xdPwhk= RMD160 : MOPpCCAPRosIpTzu2eCGzSyfZyY= TIGER : PlVr5EYqxn9uvQB7GI9/r5+SKvjiLASo SHA256 : dG5abCnUCW3k11uh9UFB8Xkc8sF4S17W 6FxhCa7kXoI= SHA512 : HUfQd5GI1fEXSDOTsX5TWAlkwla7mG8Y g3rdtbtVmN2ss8ytehA8s68cT6aGvWdE pJf8WJ8vj7gEGKAIZkcJqw== End timestamp: 2019-01-02 11:01:25 +0300 (run time: 0m 20s)
Установите обновление в cron и уведомление по электронной почте
Для этого мы будем использовать предварительно созданный скрипт.
Загрузите его с помощью wget
sudo yum -y install wget wget https://rfxn.com/downloads/cron.aide -O aide_cron.sh chmod +x aide_cron.sh
Отредактируйте файл, чтобы задать адреса электронной почты (через запятую) для отчетов об изменениях.
email="root@localhost,admin@example.com"
Установите cron
# crontab -e 00 01 * * * /path/to/cron/script
Это все. Наслаждайтесь вашей системой обнаружения вторжений на RHEL.