GNU/Linux >> Tutoriales Linux >  >> Cent OS

Cómo instalar y usar el entorno de detección de intrusos avanzado AIDE en CentOS 8

AIDE significa "Entorno de detección de intrusos avanzado" y es una de las herramientas más populares para monitorear los cambios en los sistemas operativos basados ​​en Linux. Se utiliza para proteger su sistema contra malware, virus y detectar actividades no autorizadas. Funciona mediante la creación de una base de datos del sistema de archivos y compara esta base de datos con el sistema para garantizar la integridad de los archivos y detectar intrusiones en el sistema. AIDE lo ayuda a acortar el tiempo de investigación durante la respuesta a incidentes enfocándose en los archivos que han sido modificados.

Características

  • Admite varios atributos, incluidos Tipo de archivo, Inodo, Uid, Gid, Permisos, Número de enlaces, Mtime, Ctime y Atime.
  • Admite compresión Gzip, SELinux, XAttrs, Posix ACL y atributos de sistema de archivos extendidos.
  • Capaz de crear y comparar varios algoritmos de resumen de mensajes, incluidos md5, sha1, sha256, sha512, rmd160, crc32, etc.
  • Capaz de notificarle por correo electrónico.

En este tutorial, le mostraremos cómo instalar y usar AIDE para detectar intrusiones en CentOS 8.

Requisitos

  • Un servidor que ejecuta CentOS 8 con un mínimo de 2 GB de RAM.
  • Se ha configurado una contraseña raíz en su servidor.

Cómo empezar

Antes de comenzar, es una buena idea actualizar su sistema a la versión actualizada. Ejecute el siguiente comando para actualizar su sistema.

dnf update -y

Una vez que su sistema esté actualizado, reinícielo para implementar los cambios.

Instalar AIDE

De forma predeterminada, AIDE está disponible en el repositorio predeterminado de CentOS 8. Puede instalarlo fácilmente simplemente ejecutando el siguiente comando:

dnf install aide -y

Una vez completada la instalación, puede verificar la versión instalada de AIDE usando el siguiente comando:

aide --version

Debería ver el siguiente resultado:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

También puede ver todas las opciones disponibles con el comando auxiliar usando el siguiente comando:

aide --help

Debería ver la siguiente pantalla:

Crear e inicializar la base de datos

Después de instalar AIDE, lo primero que deberá hacer es inicializar la configuración. Esta inicialización creará una base de datos (instantánea) de todos los archivos y directorios de su servidor.

Ejecute el siguiente comando para inicializar la base de datos:

aide --init

Debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

El comando anterior creará una nueva base de datos AIDE aide.db.new.gz dentro del directorio /var/lib/aide. Puedes verlo usando el siguiente comando:

ls -l /var/lib/aide

Debería ver el siguiente resultado:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE no usará el nuevo archivo de base de datos hasta que haya sido renombrado a aide.db.gz. Puede cambiarle el nombre con el siguiente comando:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Se recomienda actualizar esta base de datos en un período determinado para garantizar un seguimiento adecuado de los cambios. También puede cambiar la ubicación de la base de datos AIDE editando el archivo /etc/aide.conf y modificando el valor DBDIR.

Consultar AYUDANTE

En este punto, AIDE está listo para usar la nueva base de datos. Ahora, ejecute su primera verificación AIDE sin hacer ningún cambio:

aide --check

Este comando tomará algún tiempo dependiendo del tamaño de su sistema de archivos y la cantidad de RAM en su servidor. Una vez que se haya completado la verificación de AIDE, debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

El resultado anterior indica que todos los archivos y directorios coinciden con la base de datos de AIDE.

AUXILIAR de prueba

De forma predeterminada, AIDE no está configurado para ver archivos y directorios de la raíz de documentos predeterminada de Apache /var/www/html. Por lo tanto, deberá configurar AIDE para ver el directorio /var/www/html. Puede configurarlo editando el archivo /etc/aide.conf.

nano /etc/aide.conf

Agregue la siguiente línea encima de la línea "/root/ CONTENT_EX":

/var/www/html/ CONTENT_EX

Guarde y cierre el archivo cuando haya terminado.

Luego, cree un archivo aide.txt dentro del directorio /var/www/html/ usando el siguiente comando:

echo "Test AIDE" > /var/www/html/aide.txt

Ahora, ejecute la verificación AIDE y verifique que la verificación auxiliar detecte el archivo recién creado.

aide --check

Debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

El resultado anterior indica que la comprobación de asistente detecta el archivo recién creado aide.txt.

A continuación, es una buena idea actualizar la base de datos de AIDE después de revisar los cambios detectados por la verificación de AIDE. Puede actualizar la base de datos de AIDE usando el siguiente comando:

aide --update

Una vez que se actualice la base de datos, debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

El comando anterior creará una nueva base de datos llamada aide.db.new.gz en el directorio /var/lib/aide/.

Puedes verlo usando el siguiente comando:

ls -l /var/lib/aide/

Debería ver el siguiente resultado:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Ahora, vuelva a cambiar el nombre de la nueva base de datos para que AIDE use esta nueva base de datos para realizar un seguimiento de cualquier cambio nuevo. Puede cambiar el nombre de la base de datos usando el siguiente comando:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ahora, vuelva a ejecutar la comprobación AIDE para comprobar si el AIDE utiliza la nueva base de datos o no:

aide --check

Debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Una vez que haya terminado, puede continuar con el siguiente paso.

Automatización de verificación de AIDE

Es una buena idea automatizar la verificación de AIDE todos los días y enviar el informe a un sistema por correo. Puede automatizar este proceso utilizando el trabajo cron.

Para hacerlo, edite el archivo de configuración predeterminado de cron como se muestra a continuación:

nano /etc/crontab

Agregue la siguiente línea al final del archivo para automatizar la verificación de AIDE todos los días a las 10:15 a. m.:

15 10 * * * root /usr/sbin/aide --check

Guarde y cierre el archivo cuando haya terminado.

Ahora, AIDE le notificará a través del correo del sistema.

Puede consultar el correo de su sistema con el siguiente comando:

tail -f /var/mail/root

También puede consultar el registro de AIDE con el siguiente comando:

tail -f /var/log/aide/aide.log

Conclusión

En el tutorial anterior, aprendió a usar AIDE para comprender los cambios del servidor e identificar el acceso no autorizado a su servidor. Puede modificar el archivo /etc/aide.conf para ver el directorio de su aplicación o cualquier configuración avanzada. Se recomienda mantener su base de datos AIDE y el archivo de configuración en un medio de solo lectura por razones de seguridad. Para más información, puede consultar la documentación de AIDE en AIDE Doc.


Cent OS
  1. Cómo instalar y usar PHP Composer en CentOS 7

  2. Cómo instalar y usar ifconfig en CentOS 7

  3. Cómo instalar y usar Docker en CentOS 7

  4. Cómo instalar y usar TeamSpeak Server en CentOS 7

  5. Cómo instalar AIDE en CentOS 7

Cómo instalar y usar Terraform en CentOS 8

Cómo instalar y usar SSHFS en CentOS 7

Cómo instalar y usar TermRecord en CentOS 8

Cómo instalar y usar Firewalld en CentOS / RHEL

Cómo instalar y usar TermRecord en CentOS 8

Cómo instalar y usar Traceroute en CentOS 7