Как установить и настроить IDS на хосте AIDE в RHEL 8 / CentOS 8

AIDE (усовершенствованная среда обнаружения вторжений) – это основанная на хосте система обнаружения вторжений (HIDS) для проверки целостности файлов.

AIDE создает базовую базу данных файлов при первом запуске, а затем проверяет эту базу данных по системе при последующих запусках.

Свойства файла, которые можно проверить, включают:

• Inoda
• права доступа
• Время модификации
• Содержимое файла и т. д.

Обратите внимание, что AIDE не проверяет руткиты и не анализирует файлы журналов на наличие подозрительных действий.

5 инструментов для сканирования Linux-сервера на вредоносные программы и руткиты

Для этого вы можете использовать другие системы HIDS, такие как OSSEC.

Бесплатный инструмент Host & Endpoint Security: Wazuh

Как установить AIDE на RHEL 8

Пакет AIDE доступен по умолчанию в репозиториях RHEL 8.

Просто выполните команды ниже, чтобы установить его.

sudo yum -y install aide

Чтобы посмотреть больше деталей пакета.

$ rpm -qi aide
 Name        : aide
 Version     : 0.16
 Release     : 8.el8
 Architecture: x86_64
 Install Date: Wed 02 Jan 2019 10:19:13 AM EAT
 Group       : Unspecified
 Size        : 382492
 License     : GPLv2+
 Signature   : RSA/SHA256, Fri 12 Oct 2018 02:15:34 PM EAT, Key ID 199e2f91fd431d51
 Source RPM  : aide-0.16-8.el8.src.rpm
 Build Date  : Wed 10 Oct 2018 08:50:10 PM EAT
 Build Host  : x86-vm-08.build.eng.bos.redhat.com
 Relocations : (not relocatable)
 Packager    : Red Hat, Inc. http://bugzilla.redhat.com/bugzilla
 Vendor      : Red Hat, Inc.
 URL         : http://sourceforge.net/projects/aide
 Summary     : Intrusion detection environment
 Description :
 AIDE (Advanced Intrusion Detection Environment) is a file integrity
 checker and intrusion detection program.

Настройка AIDE на RHEL 8

Файл конфигурации по умолчанию  /etc/aide.conf имеет довольно нормальные значения по умолчанию и тщательно прокомментирован.

Если вы хотите изменить правила, смотрите:

 man aide.conf

Установите /var/log для мониторинга

Отредактируйте строку /var/log в /etc/aide.conf и измените

/var/log   LOG

на

/var/log   p+u+g+i+n+acl+selinux+xattrs

Инициализируйте базу данных

Вы можете вносить другие изменения по своему желанию. Когда закончите, инициализируйте базу данных AIDE, выполнив команду:

$ sudo aide --init 
 Start timestamp: 2019-01-02 10:43:56 +0300 (AIDE 0.16)
 AIDE initialized database at /var/lib/aide/aide.db.new.gz
 Number of entries:    36380
 
 The attributes of the (uncompressed) database(s):
 /var/lib/aide/aide.db.new.gz
   MD5      : oNfFcURzLLDyAJjlLWAM1A==
   SHA1     : k8ln2HHU9ylfP2Btvmvubt+CxDs=
   RMD160   : ln350FamsGUpt5TdLNMvDGRc18w=
   TIGER    : d3nafwSfYSC83zQTII9WpPNTo4iI0xTQ
   SHA256   : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9
              KTPPhvoYWNk=
   SHA512   : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7j
              IDxOoTvflM1roQWpjtK22HCvozXPycIp
              26E/AtBZz9KY+urxFQq5NA==
 End timestamp: 2019-01-02 10:44:23 +0300 (run time: 0m 27s)

Когда закончите, скопируйте созданный файл базы данных AIDE в основную базу данных.

sudo cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Чтобы проверить конфигурацию AIDE, используйте:

$ sudo aide -D

Проверьте базу данных по базовой базе данных, используйте:

$ sudo aide --check
 Start timestamp: 2019-01-02 10:57:22 +0300 (AIDE 0.16)
 AIDE found differences between database and filesystem!!
 Summary:
   Total number of entries:    36380
   Added entries:        0
   Removed entries:        0
   Changed entries:        1
 
 Changed entries:
 f = … mc..C… : /var/log/lastlog
 
 Detailed information about changes:
 File: /var/log/lastlog
   Mtime    : 2019-01-02 10:16:52 +0300        | 2019-01-02 10:53:53 +0300
   Ctime    : 2019-01-02 10:16:52 +0300        | 2019-01-02 10:53:53 +0300
   SHA256   : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a
              7p818Je1NeY=                     | Zk+qg77jXYM=
   SHA512   : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1
              WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5q
              kxFERBgvE/6Yk/cSM5Vm4g==         | K8EJ9/YNV+2RGJbRgiaCxA==
 
 The attributes of the (uncompressed) database(s):
 /var/lib/aide/aide.db.gz
   MD5      : oNfFcURzLLDyAJjlLWAM1A==
   SHA1     : k8ln2HHU9ylfP2Btvmvubt+CxDs=
   RMD160   : ln350FamsGUpt5TdLNMvDGRc18w=
   TIGER    : d3nafwSfYSC83zQTII9WpPNTo4iI0xTQ
   SHA256   : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9
              KTPPhvoYWNk=
   SHA512   : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7j
              IDxOoTvflM1roQWpjtK22HCvozXPycIp
              26E/AtBZz9KY+urxFQq5NA==
 End timestamp: 2019-01-02 10:57:40 +0300 (run time: 0m 18s)

Если вы измените файл и перепроверите, вы должны увидеть изменения.

$ ll /etc/issue
 -rw-r--r--. 1 root root 23 Oct 16 10:39 /etc/issue
$ sudo chmod 0664 /etc/issue
$ ll /etc/issue
 -rw-rw-r--. 1 root root 23 Oct 16 10:39 /etc/issue
$ sudo  aide --check
............................................

File: /etc/issue
   Perm     : -rw-r--r--                       | -rw-rw-r--
   Ctime    : 2018-12-30 23:45:39 +0300        | 2019-01-02 11:06:07 +0300
   ACL      : A: user::rw-                     | A: user::rw-
              A: group::r--                    | A: group::rw-
              A: other::r--                    | A: other::r--
...............................................................
# Revert the change
$ sudo chmod 0644 /etc/issue

Чтобы проверить базу данных и обновить ее, используйте:

$ sudo aide --update
 Start timestamp: 2019-01-02 11:01:05 +0300 (AIDE 0.16)
 AIDE found differences between database and filesystem!!
 New AIDE database written to /var/lib/aide/aide.db.new.gz
 Summary:
   Total number of entries:    36380
   Added entries:        0
   Removed entries:        0
   Changed entries:        1
 
 Changed entries:
 f = … mc..C… : /var/log/lastlog
 
 Detailed information about changes:
 File: /var/log/lastlog
   Mtime    : 2019-01-02 10:16:52 +0300        | 2019-01-02 10:53:53 +0300
   Ctime    : 2019-01-02 10:16:52 +0300        | 2019-01-02 10:53:53 +0300
   SHA256   : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a
              7p818Je1NeY=                     | Zk+qg77jXYM=
   SHA512   : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1
              WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5q
              kxFERBgvE/6Yk/cSM5Vm4g==         | K8EJ9/YNV+2RGJbRgiaCxA==
 
 The attributes of the (uncompressed) database(s):
 /var/lib/aide/aide.db.gz
   MD5      : oNfFcURzLLDyAJjlLWAM1A==
   SHA1     : k8ln2HHU9ylfP2Btvmvubt+CxDs=
   RMD160   : ln350FamsGUpt5TdLNMvDGRc18w=
   TIGER    : d3nafwSfYSC83zQTII9WpPNTo4iI0xTQ
   SHA256   : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9
              KTPPhvoYWNk=
   SHA512   : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7j
              IDxOoTvflM1roQWpjtK22HCvozXPycIp
              26E/AtBZz9KY+urxFQq5NA==
 /var/lib/aide/aide.db.new.gz
   MD5      : QCnHueXv69soyePzxSVNHg==
   SHA1     : erpgcR9xv6CKiDGBkrZn5xdPwhk=
   RMD160   : MOPpCCAPRosIpTzu2eCGzSyfZyY=
   TIGER    : PlVr5EYqxn9uvQB7GI9/r5+SKvjiLASo
   SHA256   : dG5abCnUCW3k11uh9UFB8Xkc8sF4S17W
              6FxhCa7kXoI=
   SHA512   : HUfQd5GI1fEXSDOTsX5TWAlkwla7mG8Y
              g3rdtbtVmN2ss8ytehA8s68cT6aGvWdE
              pJf8WJ8vj7gEGKAIZkcJqw==
 End timestamp: 2019-01-02 11:01:25 +0300 (run time: 0m 20s)

Установите обновление в cron и уведомление по электронной почте

Для этого мы будем использовать предварительно созданный скрипт.

Загрузите его с помощью wget

sudo yum -y install wget
wget https://rfxn.com/downloads/cron.aide -O  aide_cron.sh
chmod +x aide_cron.sh

Отредактируйте файл, чтобы задать адреса электронной почты (через запятую) для отчетов об изменениях.

email="root@localhost,admin@example.com"

Установите cron

# crontab -e
00 01 * * * /path/to/cron/script

Это все. Наслаждайтесь вашей системой обнаружения вторжений на RHEL.