GNU/Linux >> Belajar Linux >  >> Cent OS

Cara Menginstal AIDE di CentOS 7

AIDE atau disebut sebagai Lingkungan Deteksi Intrusi Tingkat Lanjut. AIDE adalah salah satu alat paling populer untuk memantau perubahan server dalam sistem berbasis LINUX. Ini digunakan sebagai pemeriksa integritas file/folder. Instalasi Software ini jauh lebih sederhana. Ini awalnya ditulis oleh Rami Lehti dan Pablo Virolainen pada tahun 1999. Pemeriksaan sistem diinisialisasi oleh database. Database ini dibuat dari aturan ekspresi reguler dalam file konfigurasi. Setelah database diinisialisasi, dapat digunakan lebih lanjut untuk memverifikasi integritas server. Beberapa algoritma intisari digabungkan untuk melayani tujuan ini. Ini juga dapat digunakan untuk memeriksa atribut file untuk inkonsistensi.

Fitur UTAMA:

  • Mendukung beberapa algoritme intisari seperti md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool, dan beberapa lainnya
  • Mendukung atribut file seperti jenis file, izin, Inode, Uid, Gid, Nama tautan, Ukuran, Jumlah blok, Jumlah tautan, Mtime, Ctime, dan Atime
  • Mendukung Posix ACL, SELinux, XAttrs, dan atribut sistem file yang Diperluas
  • Mendukung ekspresi reguler untuk menyertakan atau mengecualikan file/direktori secara selektif.
  • Mendukung kompresi basis data GZIP.
  • Binary Statis mandiri untuk konfigurasi pemantauan klien/server yang mudah.

Pada artikel ini, saya membahas tentang menginstal dan mengonfigurasi AIDE versi stabil saat ini 0.15.1 pada server CentOS 7. Mari ikuti prosedurnya.

Langkah 1:Pemasangan

Kita dapat menggunakan perintah yum untuk menginstal perangkat lunak AIDE.

[root@server1 ~]# yum install aide
Loaded plugins: fastestmirror

Dependencies Resolved

===============================================================================================================================================
Package Arch Version Repository Size
===============================================================================================================================================
Installing:
aide x86_64 0.15.1-9.el7 base 129 k

Transaction Summary
===============================================================================================================================================
Install 1 Package

Total download size: 129 k
Installed size: 304 k

Langkah 2:Periksa dan verifikasi versi AIDE

Kita dapat menjalankan perintah ini untuk mengkonfirmasi versi AIDE dan mencari file konfigurasi.

[root@server1 ~]# aide -v
Aide 0.15.1

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Langkah 3:Buat database

Setelah instalasi AIDE selesai, kita perlu membuat database utama yang diinisialisasi dari kumpulan aturan/ekspresi dalam file konfigurasi.

[root@[root@server1 ~]# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
server1 ~]# aide --init

AIDE, version 0.15.1

### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

Setelah database dibuat, Anda dapat memindahkannya ke database asli dengan menamainya ulang agar AIDE berfungsi.

root@server1 ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@server1 ~]# cd /var/lib/aide
[root@server1 aide]# ls
aide.db.gz
[root@server1 aide]#
[root@server1 aide]#
[root@server1 aide]# ls -lt
total 2136
-rw------- 1 root root 2186673 Apr 1 04:09 aide.db.gz

Langkah 4:Jalankan pemeriksaan AIDE

[root@server1 aide]# aide --check

AIDE, version 0.15.1

### All files match AIDE database. Looks okay!

Langkah 5 :Konfirmasikan fungsinya dan buat database AIDE yang diperbarui

Buat file biner secara manual dan periksa apakah AIDE mendeteksinya.

root@server1 aide]# touch /usr/sbin/testbinary
[root@server1 aide]#
[root@server1 aide]#
[root@server1 aide]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 04:14:10

Summary:
Total number of files: 23028
Added files: 1
Removed files: 0
Changed files: 1
---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/sbin/testbinary

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/sbin

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /usr/sbin
Mtime : 2016-04-01 03:42:47 , 2016-04-01 04:14:03
Ctime : 2016-04-01 03:42:47 , 2016-04-01 04:14:03

Kami dapat memverifikasi keberadaan file baru dari laporan pemeriksaan AIDE. Kami bahkan dapat mengidentifikasi perubahan atribut file apa pun juga dari pemeriksaan ini.
Setelah kami meninjau perubahan ini, selalu lebih baik untuk memperbarui database aide sehingga tidak dilaporkan lagi pada pemeriksaan AIDE berikutnya.

[root@server1 aide]# aide --update
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 04:15:21

Summary:
Total number of files: 23028
Added files: 1
Removed files: 0
Changed files: 1
---------------------------------------------------
Added files:
---------------------------------------------------

added: /usr/sbin/testbinary

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /usr/sbin

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Itu selalu disarankan untuk menjaga database AIDE lama tidak tersentuh dan menamai ulang database yang diperbarui pada dasar-dasar harian untuk melacak.

[root@server1 tmp]# cd /var/lib/aide/
root@server1 aide]# ls
aide.db.gz aide.db.new.gz
[root@server1 aide]# mv aide.db.gz aide.db.gz-Apr012016
[root@server1 aide]# mv aide.db.new.gz aide.db.gz

Proses ini agak membosankan untuk memeriksa setiap kali dan menamai ulang database, kita dapat menggunakan beberapa skrip untuk memperbarui pengaturan ini.

Langkah 6:Atur cronjob untuk menjalankan pemeriksaan dan pelaporan AIDE secara otomatis

Saya membuat cron untuk secara otomatis memulai pemeriksaan AIDE untuk mengonfirmasi integritas server saya dan melaporkan saya setiap hari. Silakan lihat detail skrip saya di bawah ini:

[root@server1 cron]# crontab -l
00 01 * * 0-6 /var/log/aide/aidechk.sh

[root@server1 cron]# systemctl restart crond.service
[root@server1 cron]#
[root@server1 cron]# systemctl status crond.service
crond.service - Command Scheduler
Loaded: loaded (/usr/lib/systemd/system/crond.service; enabled)
Active: active (running) since Fri 2016-04-01 04:28:22 UTC; 8s ago
Main PID: 12378 (crond)
CGroup: /system.slice/crond.service
└─12378 /usr/sbin/crond -n

Apr 01 04:28:22 server1.centos7-test.com systemd[1]: Started Command Scheduler.
Apr 01 04:28:22 server1.centos7-test.com crond[12378]: (CRON) INFO (RANDOM_DELAY will be scaled with factor 98% if used.)
Apr 01 04:28:22 server1.centos7-test.com crond[12378]: (CRON) INFO (running with inotify support)
Apr 01 04:28:22 server1.centos7-test.com crond[12378]: (CRON) INFO (@reboot jobs will be run at computer's startup.)
[root@server1 cron]#

root@server1 tmp]# cat /var/log/aide/aidechk.sh

#!/bin/sh
#aide check - SShameer
DATE=`date +%Y-%m-%d`
echo $DATE
REPORT="Aide-"$DATE.txt
echo $REPORT
echo "System check !! `date`" > /tmp/$REPORT
aide --check > /tmp/aidecheck.txt
cat /tmp/aidecheck.txt|/bin/grep -v failed >> /tmp/$REPORT
echo "**************************************" >> /tmp/$REPORT
tail -20 /tmp/aidecheck.txt >> /tmp/$REPORT
echo "****************DONE******************" >> /tmp/$REPORT
mail -s "$REPORT `date`" [email protected] < /tmp/$REPORT

Instal perintah mailx atau utilitas email untuk meningkatkan pengiriman email, jika tidak ada. Sesuai skrip kami, laporan akan dibuat ulang pada /tmp dengan cap waktu dan akan dikirim melalui email kepada kami setiap hari. Silakan lihat salah satu contoh format laporan saya di bawah ini:

root@server1 tmp]# cat Aide-2016-04-01.txt
System check !! Fri Apr 1 05:04:40 UTC 2016
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2016-04-01 05:04:40

Summary:
Total number of files: 23043
Added files: 15
Removed files: 0
Changed files: 4
---------------------------------------------------
Added files:
---------------------------------------------------

added: /etc/mail.rc
added: /usr/bin/Mail
added: /usr/bin/mail
added: /usr/bin/mailx
added: /usr/bin/nail
added: /usr/share/doc/mailx-12.5
added: /usr/share/doc/mailx-12.5/AUTHORS
added: /usr/share/doc/mailx-12.5/COPYING
added: /usr/share/doc/mailx-12.5/README
added: /usr/share/man/man1/Mail.1.gz
added: /usr/share/man/man1/mail.1.gz
added: /usr/share/man/man1/mailx.1.gz
added: /usr/share/man/man1/nail.1.gz
added: /var/log/aide/aidechk.sh
added: /var/spool/cron/root

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /root
changed: /usr/bin
changed: /usr/share/doc
changed: /usr/share/man/man1

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57
Ctime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57

Directory: /usr/bin
Mtime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29
Ctime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29

Directory: /usr/share/doc
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Linkcount: 240 , 241

Directory: /usr/share/man/man1
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
**************************************
Detailed information about changes:
---------------------------------------------------
Directory: /root
Mtime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57
Ctime : 2014-07-07 21:41:51 , 2016-04-01 05:02:57

Directory: /usr/bin
Mtime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29
Ctime : 2014-10-21 14:33:45 , 2016-04-01 05:04:29

Directory: /usr/share/doc
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Linkcount: 240 , 241

Directory: /usr/share/man/man1
Mtime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
Ctime : 2016-04-01 03:42:47 , 2016-04-01 05:04:29
****************DONE******************

Kita juga dapat memodifikasi file konfigurasi AIDE /etc/aide.conf untuk pengaturan lanjutan. Tetapi konfigurasi default hampir bermanfaat dan baik untuk digunakan.

Ini adalah bagaimana kami dapat menggunakan AIDE untuk memahami perubahan server dan mengidentifikasi akses tidak sah ke server kami yang dapat melalui beberapa konten berbahaya atau dengan campur tangan manusia. Saya harap artikel ini bermanfaat untuk Anda! Saya akan merekomendasikan saran dan rekomendasi Anda yang berharga tentang ini.

Terima kasih! Semoga harimu menyenangkan :)


Cent OS

  1. Cara Menginstal SpaceWalk di CentOS 6 / RHEL 6

  2. Cara Menginstal PostgreSQL di CentOS 7 / RHEL 7

  3. Cara Menginstal SpaceWalk di CentOS 7 / RHEL 7

  1. Cara Menginstal MariaDB 10.4 di CentOS 8 &RHEL 8

  2. Cara Menginstal MySQL 8.0 di CentOS/RHEL 8

  3. Cara Menginstal Server Database MySQL di CentOS

  1. Bagaimana cara menginstal wordpress di CentOS 6

  2. Cara Menginstal Server Database MySQL 8 di CentOS 8

  3. Cara Menginstal Mediawiki di Server CentOS