Как установить и настроить IDS на хосте AIDE в RHEL 8 / CentOS 8

AIDE (усовершенствованная среда обнаружения вторжений) — это основанная на хосте система обнаружения вторжений (HIDS) для проверки целостности файлов.

AIDE создает базовую базу данных файлов при первом запуске, а затем проверяет эту базу данных по системе при последующих запусках.

Свойства файла, которые можно проверить, включают:

  • Inoda
  • права доступа
  • Время модификации
  • Содержимое файла и т. д.

Обратите внимание, что AIDE не проверяет руткиты и не анализирует файлы журналов на наличие подозрительных действий.

5 инструментов для сканирования Linux-сервера на вредоносные программы и руткиты

Для этого вы можете использовать другие системы HIDS, такие как OSSEC.

Бесплатный инструмент Host & Endpoint Security: Wazuh

Как установить AIDE на RHEL 8

Пакет AIDE доступен по умолчанию в репозиториях RHEL 8.

Просто выполните команды ниже, чтобы установить его.

sudo yum -y install aide

Чтобы посмотреть больше деталей пакета.

$ rpm -qi aideName: aideVersion : 0.16Release : 8.el8Architecture: x86_64Install Date: Wed 02 Jan 2019 10:19:13 AM EATGroup : UnspecifiedSize: 382492License : GPLv2+Signature : RSA/SHA256, Fri 12 Oct 2018 02:15:34 PM EAT, Key ID 199e2f91fd431d51Source RPM: aide-0.16-8.el8.src.rpmBuild Date: Wed 10 Oct 2018 08:50:10 PM EATBuild Host: x86-vm-08.build.eng.bos.redhat.comRelocations : (not relocatable)Packager: Red Hat, Inc. http://bugzilla.redhat.com/bugzillaVendor: Red Hat, Inc.URL : http://sourceforge.net/projects/aideSummary : Intrusion detection environmentDescription :AIDE (Advanced Intrusion Detection Environment) is a file integritychecker and intrusion detection program.

Настройка AIDE на RHEL 8

Файл конфигурации по умолчанию  /etc/aide.conf имеет довольно нормальные значения по умолчанию и тщательно прокомментирован.

Если вы хотите изменить правила, смотрите:

 man aide.conf

Установите /var/log для мониторинга

Отредактируйте строку /var/log в /etc/aide.conf и измените

/var/log LOG

на

/var/log p+u+g+i+n+acl+selinux+xattrs

Инициализируйте базу данных

Вы можете вносить другие изменения по своему желанию. Когда закончите, инициализируйте базу данных AIDE, выполнив команду:

$ sudo aide --init Start timestamp: 2019-01-02 10:43:56 +0300 (AIDE 0.16)AIDE initialized database at /var/lib/aide/aide.db.new.gzNumber of entries:36380The attributes of the (uncompressed) database(s):/var/lib/aide/aide.db.new.gzMD5: oNfFcURzLLDyAJjlLWAM1A==SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs=RMD160 : ln350FamsGUpt5TdLNMvDGRc18w=TIGER: d3nafwSfYSC83zQTII9WpPNTo4iI0xTQSHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9KTPPhvoYWNk=SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7jIDxOoTvflM1roQWpjtK22HCvozXPycIp26E/AtBZz9KY+urxFQq5NA==End timestamp: 2019-01-02 10:44:23 +0300 (run time: 0m 27s)

Когда закончите, скопируйте созданный файл базы данных AIDE в основную базу данных.

sudo cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Чтобы проверить конфигурацию AIDE, используйте:

$ sudo aide -D

Проверьте базу данных по базовой базе данных, используйте:

$ sudo aide --checkStart timestamp: 2019-01-02 10:57:22 +0300 (AIDE 0.16)AIDE found differences between database and filesystem!!Summary:Total number of entries:36380Added entries:0Removed entries:0Changed entries:1Changed entries:f = … mc..C… : /var/log/lastlogDetailed information about changes:File: /var/log/lastlogMtime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300Ctime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300SHA256 : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a7p818Je1NeY= | Zk+qg77jXYM=SHA512 : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5qkxFERBgvE/6Yk/cSM5Vm4g== | K8EJ9/YNV+2RGJbRgiaCxA==The attributes of the (uncompressed) database(s):/var/lib/aide/aide.db.gzMD5: oNfFcURzLLDyAJjlLWAM1A==SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs=RMD160 : ln350FamsGUpt5TdLNMvDGRc18w=TIGER: d3nafwSfYSC83zQTII9WpPNTo4iI0xTQSHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9KTPPhvoYWNk=SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7jIDxOoTvflM1roQWpjtK22HCvozXPycIp26E/AtBZz9KY+urxFQq5NA==End timestamp: 2019-01-02 10:57:40 +0300 (run time: 0m 18s)

Если вы измените файл и перепроверите, вы должны увидеть изменения.

$ ll /etc/issue-rw-r--r--. 1 root root 23 Oct 16 10:39 /etc/issue$ sudo chmod 0664 /etc/issue$ ll /etc/issue-rw-rw-r--. 1 root root 23 Oct 16 10:39 /etc/issue$ sudoaide --check............................................File: /etc/issuePerm : -rw-r--r-- | -rw-rw-r--Ctime: 2018-12-30 23:45:39 +0300| 2019-01-02 11:06:07 +0300ACL: A: user::rw- | A: user::rw-A: group::r--| A: group::rw-A: other::r--| A: other::r--...............................................................# Revert the change$ sudo chmod 0644 /etc/issue

Чтобы проверить базу данных и обновить ее, используйте:

$ sudo aide --updateStart timestamp: 2019-01-02 11:01:05 +0300 (AIDE 0.16)AIDE found differences between database and filesystem!!New AIDE database written to /var/lib/aide/aide.db.new.gzSummary:Total number of entries:36380Added entries:0Removed entries:0Changed entries:1Changed entries:f = … mc..C… : /var/log/lastlogDetailed information about changes:File: /var/log/lastlogMtime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300Ctime: 2019-01-02 10:16:52 +0300| 2019-01-02 10:53:53 +0300SHA256 : x7kD8sPdgABF4g4Bqtg0bn1NQAEmrd0Q | BuJ2L78swglnMol2Fi/PvzdQommDhy/a7p818Je1NeY= | Zk+qg77jXYM=SHA512 : AVN6NJXSLJSVe3WzCl9f4hE0BrHMN/Sz | cduO7gO6MIzpnndpakge01potUDeMnn1WB4To8uhsa7X5YWvg3pbMoIm5571Hdd2 | lNtsoP2N2zQNPSJNEMQxhy/78JdL6N5qkxFERBgvE/6Yk/cSM5Vm4g== | K8EJ9/YNV+2RGJbRgiaCxA==The attributes of the (uncompressed) database(s):/var/lib/aide/aide.db.gzMD5: oNfFcURzLLDyAJjlLWAM1A==SHA1 : k8ln2HHU9ylfP2Btvmvubt+CxDs=RMD160 : ln350FamsGUpt5TdLNMvDGRc18w=TIGER: d3nafwSfYSC83zQTII9WpPNTo4iI0xTQSHA256 : 4vybmPIwHjO0Lmp1gePwoohUx/Gi9wC9KTPPhvoYWNk=SHA512 : SjrNZ94tZGoJImhLsY6Pah/P4JwwKJ7jIDxOoTvflM1roQWpjtK22HCvozXPycIp26E/AtBZz9KY+urxFQq5NA==/var/lib/aide/aide.db.new.gzMD5: QCnHueXv69soyePzxSVNHg==SHA1 : erpgcR9xv6CKiDGBkrZn5xdPwhk=RMD160 : MOPpCCAPRosIpTzu2eCGzSyfZyY=TIGER: PlVr5EYqxn9uvQB7GI9/r5+SKvjiLASoSHA256 : dG5abCnUCW3k11uh9UFB8Xkc8sF4S17W6FxhCa7kXoI=SHA512 : HUfQd5GI1fEXSDOTsX5TWAlkwla7mG8Yg3rdtbtVmN2ss8ytehA8s68cT6aGvWdEpJf8WJ8vj7gEGKAIZkcJqw==End timestamp: 2019-01-02 11:01:25 +0300 (run time: 0m 20s)

Установите обновление в cron и уведомление по электронной почте

Для этого мы будем использовать предварительно созданный скрипт.

Загрузите его с помощью wget

sudo yum -y install wgetwget https://rfxn.com/downloads/cron.aide -Oaide_cron.shchmod +x aide_cron.sh

Отредактируйте файл, чтобы задать адреса электронной почты (через запятую) для отчетов об изменениях.

email="root@localhost,admin@example.com"

Установите cron

# crontab -e00 01 * * * /path/to/cron/script

Это все. Наслаждайтесь вашей системой обнаружения вторжений на RHEL.

Отправка комментария

0 Комментарии