Otu esi enyocha iguzosi ike n'ezi ihe nke faịlụ na ndekọ site na iji AIDE na Linux


Na ntuziaka mega anyị maka ịgbakọ na ichekwa CentOS 7, n'okpuru ngalaba \chebe sistemu n'ime, otu n'ime ngwaọrụ nchekwa bara uru anyị depụtara maka nchekwa sistemu dị n'ime megide nje, rootkits, malware, na ịchọpụta ihe omume na-akwadoghị bụ AIDE.

AIDE (Enyocha Intrusion Detection Environment) bụ obere ma dị ike, ngwa nchọta intrusion na-emepe emepe, nke na-eji iwu eburu ụzọ lelee faịlụ na ndekọ aha na sistemụ arụmọrụ Unix dị ka Linux. Ọ bụ ọnụọgụ abụọ kwụ ọtọ maka nhazi nleba anya nke ndị ahịa/ihe nkesa dị mfe.

Ọ bara ọgaranya: na-eji faịlụ nhazi ederede dị larịị na nchekwa data na-eme ka ọ dị mfe iji; na-akwado ọtụtụ algọridim mgbaze ozi dị ka mana ọnweghị oke na md5, sha1, rmd160, tiger; na-akwado njirimara faịlụ nkịtị; na-akwadokwa okwu siri ike mgbe niile ka ịtinye ma ọ bụ wepu faịlụ na akwụkwọ ndekọ aha ga-enyocha.

Enwere ike chịkọta ya na nkwado pụrụ iche maka mkpakọ Gzip, Posix ACL, SELinux, XAttrs na njirimara sistemụ faịlụ gbatịrị.

Enyemaka na-arụ ọrụ site na ịmepụta nchekwa data (nke bụ naanị foto nke akụkụ ahọpụtara nke sistemụ faịlụ), site na iwu okwu mgbe niile akọwapụtara na faịlụ nhazi (s). Ozugbo etinyere nchekwa data a, ị nwere ike nyochaa iguzosi ike n'ezi ihe nke faịlụ sistemụ megide ya. Ntuziaka a ga-egosi otu esi etinye na iji enyemaka na Linux.

Otu esi etinye AIDE na Linux

A na-akwakọba onye enyemaka na ebe nchekwa nke nkesa Linux bụ isi, iji wụnye ya na-eji njikwa ngwugwu na-eme iwu maka nkesa gị.

# apt install aide 	   [On Debian/Ubuntu]
# yum install aide	   [On RHEL/CentOS] 	
# dnf install aide	   [On Fedora 22+]
# zypper install aide	   [On openSUSE]
# emerge aide 	           [On Gentoo]

Mgbe ị wụnyechara ya, faịlụ nhazi bụ isi /etc/aide.conf. Ka ilele ụdị arụnyere yana chịkọta oge, mee iwu dị n'okpuru na ọdụ gị:

# aide -v
Aide 0.14

Compiled with the following options:

WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_PRELINK
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

Ị nwere ike imepe nhazi site na iji nchịkọta akụkọ ọkacha mmasị gị.

# vi /etc/aide.conf

O nwere ntuziaka na-akọwapụta ebe nchekwa data, ọnọdụ mkpesa, iwu ndabara, akwụkwọ ndekọ aha/faịlụ a ga-etinye na nchekwa data.

Iji iwu ndabara dị n'elu, ị nwere ike kọwapụta iwu omenala ọhụrụ na faịlụ aide.conf dịka ọmụmaatụ.

PERMS = p+u+g+acl+selinux+xattrs

A na-eji iwu PERMS maka njikwa ịnweta naanị, ọ ga-achọpụta mgbanwe ọ bụla na faịlụ ma ọ bụ akwụkwọ ndekọ aha dabere na ikike faịlụ/akwụkwọ ndekọ aha, onye ọrụ, otu, ikike njikwa ohere, ọnọdụ SELinux na njirimara faịlụ.

Nke a ga-elele naanị ọdịnaya faịlụ na ụdị faịlụ.

CONTENT = sha256+ftype

Nke a bụ agbatịkwu nke iwu gara aga, ọ na-enyocha ọdịnaya agbatịkwuru, ụdị faịlụ na ịnweta.

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

Iwu DATAONLY dị n'okpuru ga-enyere aka ịchọpụta mgbanwe ọ bụla na data n'ime faịlụ/akwụkwọ ndekọ aha niile.

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

Ịkọwapụta iwu ilele faịlụ na akwụkwọ ndekọ aha

Ozugbo ị kọwapụtara iwu, ị nwere ike ịkọwapụta faịlụ na akwụkwọ ndekọ aha ị ga-ekiri. N'ịtụle iwu PERMS dị n'elu, nkọwa a ga-elele ikike maka faịlụ niile dị na ndekọ mgbọrọgwụ.

/root/\..*  PERMS

Nke a ga-elele faịlụ niile dị na ndekọ ndekọ/mgbọrọgwụ maka mgbanwe ọ bụla.

/root/   CONTENT_EX

Iji nyere gị aka ịchọpụta mgbanwe ọ bụla na data n'ime faịlụ/akwụkwọ ndekọ aha niile n'okpuru /etc/, jiri nke a.

/etc/   DATAONLY 

Iji AIDE lelee faịlụ na ndekọ aha na Linux

Malite site n'ịrụ nchekwa data megide ndenye ego a ga-eme site na iji ọkọlọtọ --init. A na-atụ anya na a ga-eme nke a tupu ejikọrọ sistemụ gị na netwọkụ.

Iwu dị n'okpuru ga-emepụta nchekwa data nke nwere faịlụ niile ị họọrọ na faịlụ nhazi gị.

# aide --init

Wee nyegharịa nchekwa data aha na /var/lib/aide/aide.db.gz tupu ịga n'ihu, jiri iwu a.

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

A na-atụ aro ka ịkwaga nchekwa data ahụ gaa na ebe nchekwa enwere ike na mgbasa ozi na-agụ naanị ma ọ bụ na igwe ọzọ, mana hụ na ị na-emelite faịlụ nhazi ka ị gụọ ya n'ebe ahụ.

Mgbe emechara nchekwa data, ị nwere ike lelee izi ezi nke faịlụ na akwụkwọ ndekọ aha site na iji ọkọlọtọ --check.

# aide --check

Ọ ga-agụ foto dị na nchekwa data wee jiri ya tụnyere faịlụ/akwụkwọ ndekọ aha hụrụ diski sistemụ gị. Ọ bụrụ na ọ chọta mgbanwe n'ebe ị na-atụghị anya ya, ọ na-ewepụta akụkọ nke ị nwere ike nyochaa ya.

Ebe ọ bụ na ọ nweghị mgbanwe emere na sistemụ faịlụ, naanị ị ga-enweta nsonaazụ yiri nke dị n'elu. Ugbu a gbalịa ịmepụta ụfọdụ faịlụ na sistemụ faịlụ, na mpaghara akọwapụtara na faịlụ nhazi.

# vi /etc/script.sh
# touch all.txt

Wee mee nyocha ọzọ, nke kwesịrị ịkọ faịlụ ndị agbakwunyere n'elu. Nsonaazụ nke iwu a dabere na akụkụ nke sistemụ faịlụ ị haziri maka ịlele, ọ nwere ike ịdị ogologo oge karịa.

# aide --check

Ịkwesịrị ịme nlele enyemaka mgbe niile, ma ọ bụrụ na mgbanwe ọ bụla na faịlụ ahọpụtara ma ọ bụ mgbakwunye nke nkọwa faịlụ ọhụrụ na faịlụ nhazi, na-emelite nchekwa data mgbe niile site na iji --update nhọrọ:

# aide --update

Mgbe emechara mmelite nchekwa data, iji jiri nchekwa data ọhụrụ maka nyocha n'ọdịnihu, nyegharịa ya mgbe niile ka /var/lib/aide/aide.db.gz:

# mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

Nke ahụ bụ ihe niile ugbu a! Mana rịba ama isi ihe ndị a dị mkpa:

    Otu njirimara nke ọtụtụ sistemụ nchọpụta intrusion AIDE gụnyere, bụ na ha agaghị enye azịza nye ọtụtụ oghere oghere nchekwa na sistemụ. Otú ọ dị, ha na-enyere aka n'ime ka usoro nzaghachi nbanye ahụ dị mfe site n'inyere ndị na-ahụ maka sistemu aka nyochaa mgbanwe ọ bụla na faịlụ/akwụkwọ ndekọ aha. Yabụ na ị ga-anọrịrị na nche mgbe niile wee na-emelite usoro nchekwa gị ugbu a.
  • A na-atụ aro ka idobe nchekwa data emepụtara ọhụrụ, faịlụ nhazi yana ọnụọgụ abụọ AIDE n'ebe echekwara dị ka mgbasa ozi naanị ọgụgụ (nwere ike ma ọ bụrụ na ịwụnye site na isi mmalite).
  • Maka nchekwa ndị ọzọ, tụlee ịbanye na nhazi na/ma ọ bụ nchekwa data.

Maka ozi ndị ọzọ na nhazi, hụ ibe nwoke ya ma ọ bụ lelee AIDE Homepage: http://aide.sourceforge.net/