Ρύθμιση του AIDE στο CentOS 6

Αφού ασφαλίσετε τον διακομιστή σας με συνήθεις εργασίες, όπως η αλλαγή της θύρας SSH και ο ορισμός κανόνων τείχους προστασίας - είστε ως επί το πλείστον ασφαλείς. Ωστόσο, υπάρχει πιθανότητα ένας εισβολέας να αποκτήσει πρόσβαση στον διακομιστή σας. Όταν συμβεί αυτό, η επόμενη άμυνά σας είναι να μάθετε πότε τροποποιούνται αρχεία στον διακομιστή σας. Με το AIDE, ειδοποιείστε όταν τροποποιούνται ορισμένα αρχεία στον διακομιστή σας.

Αυτό το άρθρο θα σας διδάξει πώς να εγκαταστήσετε το AIDE για την καλύτερη προστασία του διακομιστή σας στο CentOS 6.

Βήμα 1: Εγκατάσταση του AIDE

Η εγκατάσταση του λογισμικού είναι αρκετά απλή. Απλώς εκτελέστε την ακόλουθη εντολή ως χρήστης root:

yum install -y aide

Αυτό είναι το μόνο που χρειάζεται να κάνετε για την εγκατάσταση.

Βήμα 2: Διαμόρφωση του AIDE

Αυτό είναι το πιο δύσκολο κομμάτι. Για να λειτουργήσει το AIDE, πρέπει να δημιουργήσουμε μια βάση δεδομένων με φακέλους/αρχεία για τα οποία θέλουμε ειδοποιήσεις. Θα χρησιμοποιήσουμε τις προεπιλογές AIDE. Η ρύθμιση της παρακολούθησης σε συγκεκριμένους φακέλους/αρχεία είναι εκτός του πεδίου εφαρμογής αυτού του σεμιναρίου. Ανατρέξτε στην τεκμηρίωση του AIDE εάν χρειάζεστε αυτόν τον τύπο διαμόρφωσης.

Πρώτα, πρέπει να αρχικοποιήσουμε το AIDE. Εκτελέστε την ακόλουθη εντολή ως root:

aide --init

Αυτό θα δημιουργήσει τη βάση δεδομένων για πρώτη φορά. Στη συνέχεια, εκτελέστε αυτές τις εντολές ως root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

Δυστυχώς, αυτό το βήμα είναι απαραίτητο καθώς το AIDE δεν θα λειτουργήσει χωρίς αυτό.

Πρέπει επίσης να ζητήσουμε από το AIDE να επιθεωρήσει τα αρχεία μας για πρώτη φορά, επομένως εκτελέστε αυτές τις εντολές ως root:

aide --check
aide --update

Επιστρέψτε στον /var/lib/aideκατάλογο και θα πρέπει να βρείτε μια άλλη νέα βάση δεδομένων. Καταργήστε το πρώτο χωρίς το νέο τμήμα στο όνομα του αρχείου, εκτελώντας:

rm aide.db.gz

Μετακίνηση στη νέα βάση δεδομένων:

mv aide.db.new.gz aide.db.gz

Δεδομένου ότι η προεπιλεγμένη ρύθμιση παραμέτρων ταιριάζει ήδη στα περισσότερα από τα αρχεία μας, θα πρέπει να είμαστε εντάξει χρησιμοποιώντας την. Το μόνο που μένει είναι να σας στείλει η AIDE ένα email εάν υπάρχουν μη εξουσιοδοτημένες αλλαγές. Για αυτό το άρθρο, θα χρησιμοποιήσουμε το nano ως πρόγραμμα επεξεργασίας κειμένου.

nano /etc/crontab

Βρείτε την ενότητα με MAILTO=rootκαι αλλάξτε rootτη διεύθυνση email σας. Στη συνέχεια, τρέξτε:

crontab -e

Προσθέστε αυτό στο αρχείο:

0 1 * * * /usr/sbin/aide --check

Αυτό θα κάνει τον AIDE να ελέγχει και να σας στέλνει ένα email μία φορά την ημέρα εάν εντοπίσει ότι ένα αρχείο έχει τροποποιηθεί.

συμπέρασμα

Αυτό διασφαλίζει την ασφάλειά σας στις περισσότερες περιπτώσεις. Ωστόσο, πρέπει να ενημερώνετε τη βάση δεδομένων κάθε φορά που τροποποιείτε αρχεία συστήματος ή οτιδήποτε στον κατάλογο Ιστού σας. Εάν ένας εισβολέας τοποθετήσει κακόβουλο λογισμικό στο σύστημά σας, το AIDE θα σας ειδοποιήσει πού βρίσκεται και θα μπορείτε να απολυμάνετε το σύστημά σας.