GNU/Linux >> Belajar Linux >  >> Cent OS

Cara Menginstal dan Menggunakan Lingkungan Deteksi Intrusi Lanjutan AIDE di CentOS 8

AIDE singkatan dari "Advanced Intrusion Detection Environment" adalah salah satu alat paling populer untuk memantau perubahan pada sistem operasi berbasis Linux. Ini digunakan untuk melindungi sistem Anda dari malware, virus, dan mendeteksi aktivitas yang tidak sah. Ia bekerja dengan membuat database sistem file dan memeriksa database ini terhadap sistem untuk memastikan integritas file dan mendeteksi intrusi sistem. AIDE membantu Anda mempersingkat waktu investigasi selama respons insiden dengan berfokus pada file yang telah diubah.

Fitur

  • Mendukung berbagai atribut termasuk, Jenis file, Inode, Uid, Gid, Izin, Jumlah tautan, Mtime, Ctime, dan Atime.
  • Mendukung kompresi Gzip, SELinux, XAttrs, Posix ACL, dan atribut sistem file yang Diperluas.
  • Mampu membuat dan membandingkan berbagai algoritme intisari pesan termasuk, md5, sha1, sha256, sha512, rmd160, crc32, dll.
  • Dapat memberi tahu Anda melalui email.

Dalam tutorial ini, kami akan menunjukkan cara menginstal dan menggunakan AIDE untuk mendeteksi intrusi pada CentOS 8.

Prasyarat

  • Server yang menjalankan CentOS 8 dengan RAM minimal 2 GB.
  • Kata sandi root dikonfigurasi di server Anda.

Memulai

Sebelum memulai, sebaiknya perbarui sistem Anda ke versi yang diperbarui. Jalankan perintah berikut untuk memperbarui sistem Anda.

dnf update -y

Setelah sistem Anda diperbarui, mulai ulang untuk menerapkan perubahan.

Instal AIDE

Secara default, AIDE tersedia di repositori default CentOS 8. Anda dapat menginstalnya dengan mudah hanya dengan menjalankan perintah berikut:

dnf install aide -y

Setelah instalasi selesai, Anda dapat memeriksa versi AIDE yang diinstal menggunakan perintah berikut:

ajudan --version

Anda akan melihat output berikut:

Aide 0.16Dikompilasi dengan opsi berikut:WITH_MMAPWITH_PCREWITH_POSIX_ACLWITH_SELINUXWITH_XATTRWITH_E2FSATTRSWITH_LSTAT64WITH_READDIR64WITH_ZLIBWITH_CURLWITH_GCRYPTWITH_AUDITCONFIG_FILE>. 

 Anda juga dapat melihat semua opsi yang tersedia dengan perintah aide menggunakan perintah berikut:
 
ajudan --help
 

 Anda akan melihat layar berikut:
 
 
 
Buat dan Inisialisasi Basis Data
 

 Setelah menginstal AIDE, hal pertama yang perlu Anda lakukan adalah menginisialisasi setup. Inisialisasi ini akan membuat database (snapshot) dari semua file dan direktori server Anda.
 

 Jalankan perintah berikut untuk menginisialisasi database:
 
ajudan --init
 

 Anda akan melihat output berikut:
 
Stempel waktu mulai:16-01-2020 03:03:19 -0500 (AIDE 0.16)Basis data yang diinisialisasi AIDE di /var/lib/aide/aide.db.new.gzJumlah entri:49472------ --------------------------------------------- Atribut dari ( tidak terkompresi) database(s):------------------------------------------------------ -------- / var / lib / aide / aide.db.new.gz MD5:4N79P7hPE2uxJJ1o7na9sA ==SHA1:Ic2XBj50MKiPd1UGrtcUk4LGs0M =RMD160:rHMMy5WwHVb9TGUc + TBHFHsPCrk =TIGER:vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0 SHA256:tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9 xWXT2iaEHgQ =SHA512:VPMRQnz72 + JRgNQhL16dxQC9c +GiYB8g uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI nDw6lgDNI/ls2esijukliQ==Stempel waktu akhir:16-01-2020 03:03:44 -0500 (waktu berjalan:0m 25s)
 

 Perintah di atas akan membuat database AIDE baru aide.db.new.gz di dalam direktori /var/lib/aide. Anda dapat melihatnya menggunakan perintah berikut:
 
ls -l /var/lib/aide
 

 Anda akan melihat output berikut:
 
total 2800-rw------- 1 root root 2863809 16 Jan 03:03 aide.db.new.gz
 

 AIDE tidak akan menggunakan file database baru sampai file tersebut diubah namanya menjadi aide.db.gz. Anda dapat mengganti namanya dengan perintah berikut:
 
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
 

 Disarankan untuk memperbarui database ini pada periode yang ditentukan untuk memastikan pemantauan perubahan yang tepat. Anda juga dapat mengubah lokasi database AIDE dengan mengedit file /etc/aide.conf dan mengubah nilai DBDIR.
 
Periksa AIDE
 

 Pada titik ini, AIDE siap menggunakan database baru. Sekarang, jalankan pemeriksaan AIDE pertama Anda tanpa membuat perubahan apa pun:
 
ajudan --check
 

 Perintah ini akan memakan waktu tergantung pada ukuran sistem file Anda dan jumlah RAM di server Anda. Setelah pemeriksaan AIDE selesai, Anda akan melihat output berikut:
 
Stempel waktu mulai:16-01-2020 03:05:07 -0500 (AIDE 0.16)AIDE TIDAK menemukan perbedaan antara database dan sistem file. Terlihat oke!!
 

 Output di atas menunjukkan bahwa setiap file dan direktori cocok dengan database AIDE.
 
Uji AIDE
 

 Secara default, AIDE tidak dikonfigurasi untuk melihat file dan direktori dari root dokumen default Apache /var/www/html. Jadi, Anda perlu mengkonfigurasi AIDE untuk melihat direktori /var/www/html. Anda dapat mengkonfigurasinya dengan mengedit file /etc/aide.conf.
 
nano /etc/aide.conf
 

 Tambahkan baris berikut di atas baris "/root/ CONTENT_EX":
 
/var/www/html/ CONTENT_EX
 

 Simpan dan tutup file setelah Anda selesai.
 

 Selanjutnya, buat file aide.txt di dalam direktori /var/www/html/ menggunakan perintah berikut:
 
echo "Test AIDE"> /var/www/html/aide.txt
 

 Sekarang, jalankan pemeriksaan AIDE dan verifikasi bahwa file yang baru dibuat terdeteksi oleh pemeriksaan aide.
 
ajudan --check
 

 Anda akan melihat output berikut:
 
Stempel waktu mulai:16-01-2020 03:09:40 -0500 (AIDE 0.16)AIDE menemukan perbedaan antara database dan sistem file!!Ringkasan:Jumlah total entri:49475 Entri yang ditambahkan:1 Entri yang dihapus:0 Entri yang diubah:0------------------------------------------------- --Ditambahkan entri:--------------------------------------------- ------f++++++++++++++++:/var/www/html/aide.txt
 

 Output di atas menunjukkan bahwa file aide.txt yang baru dibuat terdeteksi oleh aide check.
 

 Selanjutnya, sebaiknya perbarui database AIDE setelah meninjau perubahan yang terdeteksi oleh aide check. Anda dapat memperbarui database AIDE menggunakan perintah berikut:
 
ajudan --update
 

 Setelah database diperbarui, Anda akan melihat output berikut:
 
Stempel waktu mulai:16-01-2020 03:10:41 -0500 (AIDE 0.16)AIDE menemukan perbedaan antara database dan sistem file!! Database AIDE baru ditulis ke /var/lib/aide/aide.db.new.gzSummary :Jumlah total entri:49475 Entri yang ditambahkan:1 Entri yang dihapus:0 Entri yang diubah:0------------------------------- --------------------Ditambahkan entri:-------------------------------------- ------------------------f++++++++++++++++:/var/www/html/aide.txt
 

 Perintah di atas akan membuat database baru bernama aide.db.new.gz di direktori /var/lib/aide/.
 

 Anda dapat melihatnya menggunakan perintah berikut:
 
ls -l /var/lib/aide/
 

 Anda akan melihat output berikut:
 
total 5600-rw------- 1 root root 2864012 16 Jan 03:09 aide.db.gz-rw------- 1 root root 2864100 16 Jan 03:11 aide.db. new.gz
 

 Sekarang, ganti nama database baru lagi sehingga AIDE menggunakan database baru ini untuk melacak setiap perubahan baru. Anda dapat mengganti nama database menggunakan perintah berikut:
 
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
 

 Sekarang, jalankan pemeriksaan AIDE lagi untuk memeriksa apakah AIDE menggunakan database baru atau tidak:
 
ajudan --check
 

 Anda akan melihat output berikut:
 
Stempel waktu mulai:16-01-2020 03:12:29 -0500 (AIDE 0.16)AIDE TIDAK menemukan perbedaan antara database dan sistem file. Terlihat oke!!
 

 Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
 
Otomatiskan Pemeriksaan AIDE
 

 Merupakan ide bagus untuk mengotomatiskan pemeriksaan AIDE setiap hari dan mengirim laporan ke sistem melalui surat. Anda dapat mengotomatiskan proses ini menggunakan tugas cron.
 

 Untuk melakukannya, edit file konfigurasi default cron seperti yang ditunjukkan di bawah ini:
 
nano /etc/crontab
 

 Tambahkan baris berikut di akhir file untuk mengotomatiskan pemeriksaan AIDE setiap hari pada pukul 10:15:
 
15 10 * * * root /usr/sbin/aide --check
 

 Simpan dan tutup file setelah Anda selesai.
 

 Sekarang, AIDE akan memberi tahu Anda melalui email sistem.
 

 Anda dapat memeriksa email sistem Anda menggunakan perintah berikut:
 
tail -f /var/mail/root
 

 Anda juga dapat memeriksa log AIDE dengan perintah berikut:
 
tail -f /var/log/aide/aide.log
 
Kesimpulan
 

 Dalam tutorial di atas, Anda mempelajari cara menggunakan AIDE untuk memahami perubahan server dan mengidentifikasi akses tidak sah ke server Anda. Anda dapat memodifikasi file /etc/aide.conf untuk melihat direktori aplikasi Anda atau pengaturan lanjutan lainnya. Disarankan untuk menyimpan database AIDE dan file konfigurasi Anda dalam media hanya-baca untuk alasan keamanan. Untuk informasi lebih lanjut, Anda dapat memeriksa dokumentasi AIDE di Dokumen AIDE.
Cent OS

  1. Cara Menginstal dan Menggunakan Komposer PHP di CentOS 7

  2. Cara Menginstal dan Menggunakan Server TeamSpeak di CentOS 7

  3. Cara Menginstal AIDE di CentOS 7

  1. Cara Menginstal dan Menggunakan ifconfig di CentOS 7

  2. Cara Menginstal dan Menggunakan Docker di CentOS 7

  3. Cara Menginstal dan Menggunakan Docker Compose di CentOS 7

  1. Cara Menginstal dan Menggunakan Komposer PHP di CentOS 7

  2. Cara Menginstal dan Menggunakan FFmpeg di CentOS 7

  3. Cara Menginstal dan Menggunakan FFmpeg di CentOS 8