AIDE là viết tắt của "Advanced Intrusion Detection Environment" là một trong những công cụ phổ biến nhất để giám sát các thay đổi đối với hệ điều hành dựa trên Linux. Nó được sử dụng để bảo vệ hệ thống của bạn khỏi phần mềm độc hại, vi-rút và phát hiện các hoạt động trái phép. Nó hoạt động bằng cách tạo cơ sở dữ liệu của hệ thống tệp và kiểm tra cơ sở dữ liệu này với hệ thống để đảm bảo tính toàn vẹn của tệp và phát hiện các cuộc xâm nhập hệ thống. AIDE giúp bạn rút ngắn thời gian điều tra trong quá trình phản hồi sự cố bằng cách tập trung vào các tệp đã bị thay đổi.
Tính năng
Sau khi hệ thống được cập nhật, hãy khởi động lại để triển khai các thay đổi.
Sau khi quá trình cài đặt hoàn tất, bạn có thể kiểm tra phiên bản AIDE đã cài đặt bằng lệnh sau:
Bạn sẽ thấy kết quả sau:
Bạn cũng có thể xem tất cả các tùy chọn có sẵn với lệnh aide bằng cách sử dụng lệnh sau lệnh:
Bạn sẽ thấy màn hình sau:
Chạy lệnh sau để khởi tạo cơ sở dữ liệu:
Bạn sẽ thấy đầu ra sau:
Lệnh trên sẽ tạo một cơ sở dữ liệu AIDE mới aide.db.new.gz trong thư mục /var/lib/aide. Bạn có thể thấy nó bằng lệnh sau:
Bạn sẽ thấy đầu ra sau:
AIDE sẽ không sử dụng tệp cơ sở dữ liệu mới cho đến khi nó được đổi tên thành aide.db.gz. Bạn có thể đổi tên nó bằng lệnh sau:
Bạn nên cập nhật cơ sở dữ liệu này theo một khoảng thời gian đã đặt để đảm bảo giám sát các thay đổi một cách phù hợp. Bạn cũng có thể thay đổi vị trí của cơ sở dữ liệu AIDE bằng cách chỉnh sửa tệp /etc/aide.conf và sửa đổi giá trị DBDIR.
Lệnh này sẽ mất một khoảng thời gian tùy thuộc vào kích thước hệ thống tệp và lượng RAM trên máy chủ của bạn. Sau khi kiểm tra AIDE hoàn tất, bạn sẽ thấy đầu ra sau:
Kết quả đầu ra ở trên cho biết mọi tệp và thư mục đều khớp với cơ sở dữ liệu AIDE.
Thêm dòng sau phía trên dòng "/root/ CONTENT_EX":
Lưu và đóng tệp khi bạn hoàn tất.
Tiếp theo, tạo tệp aide.txt bên trong thư mục /var/www/html/ bằng lệnh sau:
Bây giờ, hãy chạy AIDE check và xác minh rằng tệp mới tạo được phát hiện bởi aide check.
Bạn sẽ thấy đầu ra sau:
Đầu ra ở trên cho biết tệp aide.txt mới tạo được phát hiện bởi aide check.
Tiếp theo, bạn nên cập nhật cơ sở dữ liệu AIDE sau khi xem xét các thay đổi được phát hiện bởi aide check. Bạn có thể cập nhật cơ sở dữ liệu AIDE bằng lệnh sau:
Sau khi cơ sở dữ liệu được cập nhật, bạn sẽ thấy kết quả sau:
Lệnh trên sẽ tạo một cơ sở dữ liệu mới có tên là aide.db.new.gz trong thư mục /var/lib/aide/.
Bạn có thể xem nó bằng lệnh sau:
Bạn sẽ thấy đầu ra sau:
Bây giờ, hãy đổi tên cơ sở dữ liệu mới một lần nữa để AIDE sử dụng cơ sở dữ liệu mới này để theo dõi mọi thay đổi mới. Bạn có thể đổi tên cơ sở dữ liệu bằng lệnh sau:
Bây giờ, hãy chạy lại lệnh kiểm tra AIDE để kiểm tra xem AIDE có sử dụng cơ sở dữ liệu mới hay không:
Bạn sẽ thấy đầu ra sau:
Khi hoàn tất, bạn có thể tiến hành bước tiếp theo.
Để thực hiện, hãy chỉnh sửa tệp cấu hình cron mặc định như được hiển thị bên dưới:
Thêm dòng sau vào cuối tệp để tự động kiểm tra AIDE vào lúc 10:15 sáng hàng ngày:
Lưu và đóng tệp khi bạn hoàn tất.
Bây giờ, AIDE sẽ thông báo cho bạn qua thư hệ thống.
Bạn có thể kiểm tra thư hệ thống của mình bằng lệnh sau:
Bạn cũng có thể kiểm tra nhật ký AIDE bằng lệnh sau:
Tính năng
- Hỗ trợ nhiều thuộc tính khác nhau bao gồm, Kiểu tệp, Inode, Uid, Gid, Quyền, Số lượng liên kết, Mtime, Ctime và Atime.
- Hỗ trợ nén Gzip, SELinux, XAttrs, Posix ACL và các thuộc tính hệ thống tệp mở rộng.
- Có khả năng tạo và so sánh nhiều thuật toán tóm tắt thông báo khác nhau bao gồm, md5, sha1, sha256, sha512, rmd160, crc32, v.v.
- Có khả năng thông báo cho bạn qua email.
Điều kiện tiên quyết
- Máy chủ chạy CentOS 8 với RAM tối thiểu 2 GB.
- Mật khẩu gốc được cấu hình trên máy chủ của bạn.
Bắt đầu
Trước khi bắt đầu, bạn nên cập nhật hệ thống lên phiên bản đã cập nhật. Chạy lệnh sau để cập nhật hệ thống.
Mã:
dnf update -yCài đặt AIDE
Theo mặc định, AIDE có sẵn trong kho lưu trữ mặc định của CentOS 8. Bạn có thể cài đặt dễ dàng chỉ bằng cách chạy lệnh sau:
Mã:
dnf install aide -y
Mã:
aide --version
Mã:
Aide 0.16Biên dịch với các tùy chọn sau:WITH_MMAPWITH_PCREWITH_POSIX_ACLWITH_SELINUXWITH_XATTRWITH_E2FSATTRSWITH_LSTAT64WITH_READDIR64WITH_ZLIBWITH_CURLWITH_GCRYPTWITH_AUDITCONFIG_FILE = "/etc/aide.conf"
Mã:
aide --helpTạo và khởi tạo cơ sở dữ liệu
Sau khi cài đặt AIDE, điều đầu tiên bạn cần làm là khởi tạo thiết lập. Khởi tạo này sẽ tạo một cơ sở dữ liệu (ảnh chụp nhanh) của tất cả các tệp và thư mục trên máy chủ của bạn.Chạy lệnh sau để khởi tạo cơ sở dữ liệu:
Mã:
aide --init
Mã:
Dấu thời gian bắt đầu: 2020-01-16 03:03:19 -0500 (AIDE 0.16)AIDE đã khởi tạo cơ sở dữ liệu tại /var/lib/aide/aide.db.new.gzSố mục nhập: 49472---------------------------------------------------Thuộc tính của cơ sở dữ liệu (chưa nén):---------------------------------------------------/var/lib/aide/aide.db.new.gz MD5 : 4N79P7hPE2uxJJ1o7na9sA== SHA1 : Ic2XBj50MKiPd1UGrtcUk4LGs0M= RMD160: rHMMy5WwHVb9TGUc+TBHFHsPCrk= TIGER: vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0 SHA256: tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9 xWXT2iaEHgQ= SHA512: VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI nDw6lgDNI/ls2esijukliQ==Dấu thời gian kết thúc: 2020-01-16 03:03:44 -0500 (thời gian chạy: 0 phút 25 giây)
Mã:
ls -l /var/lib/aide
Mã:
total 2800-rw------- 1 root root 2863809 16 tháng 1 03:03 aide.db.new.gz
Mã:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gzKiểm tra AIDE
Lúc này, AIDE đã sẵn sàng để sử dụng cơ sở dữ liệu mới. Bây giờ, hãy chạy kiểm tra AIDE đầu tiên của bạn mà không thực hiện bất kỳ thay đổi nào:
Mã:
aide --check
Mã:
Dấu thời gian bắt đầu: 2020-01-16 03:05:07 -0500 (AIDE 0.16)AIDE KHÔNG tìm thấy sự khác biệt nào giữa cơ sở dữ liệu và hệ thống tệp. Có vẻ ổn!!Kiểm tra AIDE
Theo mặc định, AIDE không được cấu hình để theo dõi các tệp và thư mục của thư mục gốc tài liệu mặc định của Apache /var/www/html. Vì vậy, bạn sẽ cần cấu hình AIDE để theo dõi thư mục /var/www/html. Bạn có thể cấu hình bằng cách chỉnh sửa tệp /etc/aide.conf.
Mã:
nano /etc/aide.conf
Mã:
/var/www/html/ CONTENT_EXTiếp theo, tạo tệp aide.txt bên trong thư mục /var/www/html/ bằng lệnh sau:
Mã:
echo "Kiểm tra AIDE" > /var/www/html/aide.txt
Mã:
aide --check
Mã:
Dấu thời gian bắt đầu: 2020-01-16 03:09:40 -0500 (AIDE 0.16)AIDE đã tìm thấy sự khác biệt giữa cơ sở dữ liệu và hệ thống tệp!!Tóm tắt: Tổng số mục: 49475 Mục đã thêm: 1 Mục đã xóa: 0 Mục đã thay đổi: 0---------------------------------------------------Mục đã thêm:---------------------------------------------------f++++++++++++++++: /var/www/html/aide.txtTiếp theo, bạn nên cập nhật cơ sở dữ liệu AIDE sau khi xem xét các thay đổi được phát hiện bởi aide check. Bạn có thể cập nhật cơ sở dữ liệu AIDE bằng lệnh sau:
Mã:
aide --update
Mã:
Dấu thời gian bắt đầu: 2020-01-16 03:10:41 -0500 (AIDE 0.16)AIDE đã tìm thấy sự khác biệt giữa cơ sở dữ liệu và hệ thống tệp!!Cơ sở dữ liệu AIDE mới được ghi vào /var/lib/aide/aide.db.new.gzTóm tắt: Tổng số mục nhập: 49475 Mục nhập đã thêm: 1 Mục nhập đã xóa: 0 Mục nhập đã thay đổi: 0---------------------------------------------------Mục nhập đã thêm:---------------------------------------------------f++++++++++++++++: /var/www/html/aide.txtBạn có thể xem nó bằng lệnh sau:
Mã:
ls -l /var/lib/aide/
Mã:
tổng cộng 5600-rw------- 1 root root 2864012 16 tháng 1 03:09 aide.db.gz-rw------- 1 root root 2864100 tháng 1 16 03:11 aide.db.new.gz
Mã:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Mã:
aide --check
Mã:
Dấu thời gian bắt đầu: 2020-01-16 03:12:29 -0500 (AIDE 0.16)AIDE KHÔNG tìm thấy sự khác biệt nào giữa cơ sở dữ liệu và hệ thống tệp. Có vẻ ổn!!Tự động kiểm tra AIDE
Bạn nên tự động kiểm tra AIDE hàng ngày và gửi báo cáo đến hệ thống qua thư. Bạn có thể tự động hóa quy trình này bằng cách sử dụng công việc cron.Để thực hiện, hãy chỉnh sửa tệp cấu hình cron mặc định như được hiển thị bên dưới:
Mã:
nano /etc/crontab
Mã:
15 10 * * * root /usr/sbin/aide --checkBây giờ, AIDE sẽ thông báo cho bạn qua thư hệ thống.
Bạn có thể kiểm tra thư hệ thống của mình bằng lệnh sau:
Mã:
tail -f /var/mail/root
Mã:
tail -f /var/log/aide/aide.log