如何在CentOS 8上安装和使用AIDE Advanced Intrusion Detection环境

如何在CentOS 8上安装和使用AIDE Advanced Intrusion Detection环境

AIDE代表“高级入侵检测环境”,是监视基于Linux的操作系统中的更改的最常用工具之一。用于保护系统免受恶意软件和病毒的侵害并检测未经授权的活动。创建一个文件系统数据库,并对照系统检查该数据库,以确保文件完整性并检测对系统的入侵。 AIDE通过关注更改的文件,可以帮助减少调查时间,同时响应事件。

特色功能

  • 它支持各种属性,例如文件类型,索引节点,Uid,Gid,权限,链接数,Mtime,Ctime,Atime。
  • 支持Gzip压缩,SELinux,XAttrs,Posix ACL和扩展文件系统属性。
  • 创建并比较各种消息摘要算法,包括md5,sha1,sha256,sha512,rmd160,crc32等。
  • 可以通过电子邮件通知您。

本教程将向您展示如何安装和使用AIDE来检测CentOS 8入侵。

前提条件

  • 运行带有至少2 GB RAM的CentOS 8的服务器。
  • 在服务器上配置了root密码。

引言

在开始之前,我们建议您将系统更新为更新的版本。运行以下命令以更新系统:

dnf update -y

系统更新后,重新引导并实施更改。

安装AIDE

默认情况下,AIDE在CentOS 8默认存储库中可用。您只需运行以下命令即可轻松安装:

dnf install aide -y

安装完成后,可以使用以下命令检查安装了哪个版本的AIDE:

aide --version

您将看到以下输出:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

您还可以使用以下命令查看aide命令的所有可用选项:

aide --help

将显示以下屏幕。

创建和初始化数据库

安装AIDE之后,您需要做的第一件事就是初始化安装程序。此初始化将创建服务器上所有文件和目录的数据库(快照)。

运行以下命令来初始化数据库:

aide --init

您将看到以下输出:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

上面的命令在/ var / lib / aide目录中创建一个新的AIDE数据库aide.db.new.gz。您可以使用以下命令查看它:

ls -l /var/lib/aide

您将看到以下输出:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

在将新数据库文件重命名为aide.db.gz之前,它不会使用它。您可以使用以下命令更改名称:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

我们建议您更新此数据库一段时间,以正确监视更改。您还可以通过编辑/etc/aide.conf文件并更改DBDIR值来更改AIDE数据库的位置。

检查助手

此时,AIDE准备使用新数据库。现在,执行第一次AIDE检查,而不做任何更改。

aide --check

该命令可能需要一些时间,具体取决于文件系统的大小和服务器RAM的数量。 AIDE检查完成后,您将看到以下输出:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

上面的输出显示所有文件和目录都与AIDE数据库匹配。

测试助手

默认情况下,未将AIDE配置为监视Apache默认文档的root / var / www / html文件和目录。因此,您需要配置AIDE来监视目录/ var / www / html。您可以编辑和配置文件/etc/aide.conf。

nano /etc/aide.conf

在“ / root / CONTENT_EX”行上方添加以下行。

/var/www/html/ CONTENT_EX

完成后,保存并关闭文件。

接下来,使用以下命令在/ var / www / html /目录中创建aide.txt文件:

echo "Test AIDE" > /var/www/html/aide.txt

接下来,运行AIDE检查,以确保Aide检查检测到新创建的文件。

aide --check

您将看到以下输出:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

上面的输出显示aide检查检测到新创建的文件aide.txt。

接下来,一个好主意是在检查助手检查检测到的更改之后更新您的AIDE数据库。您可以使用以下命令更新AIDE数据库:

aide --update

更新数据库后,您将看到以下输出:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

上面的命令在/ var / lib / aide /目录中创建一个名为aide.db.new.gz的新数据库。

您可以使用以下命令查看它:

ls -l /var/lib/aide/

您将看到以下输出:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

然后,再次重命名新数据库,以便AIDE可以使用此新数据库来跟踪新更改。您可以使用以下命令更改数据库的名称:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

然后再次运行AIDE检查,以查看AIDE是否正在使用新数据库。

aide --check

您将看到以下输出:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

完成后,您可以继续下一步。

AIDE检查自动化

我们建议您每天自动执行AIDE检查,并通过电子邮件将报告发送到系统。您可以使用cron作业自动执行此过程。

为此,请如下所示编辑cron默认配置文件。

nano /etc/crontab

每天上午10:15通过在文件末尾添加以下行来自动执行AIDE检查:

15 10 * * * root /usr/sbin/aide --check

完成后,保存并关闭文件。

现在,AIDE将通过系统邮件通知您。

您可以使用以下命令检查系统邮件:

tail -f /var/mail/root

您也可以使用以下命令检查AIDE日志。

tail -f /var/log/aide/aide.log

结论

在上面的教程中,您学习了如何使用AIDE来了解服务器的更改并确定对服务器的未授权访问。您可以通过修改/etc/aide.conf文件来监视应用程序目录或高级设置。出于安全原因,建议您将AIDE数据库和配置文件存储在只读介质上。您可以查看AIDE文档了解详细信息。 爱德文档

Sidebar