Linux Pasión

Tutoriales de Linux

Cómo instalar y usar el entorno de detección de intrusos avanzado AIDE en CentOS 8

Entorno de detección de intrusos avanzado

AIDE significa «Entorno de detección de intrusos avanzado» y es una de las herramientas más populares para monitorear los cambios en los sistemas operativos basados ​​en Linux. Se utiliza para proteger su sistema contra malware, virus y detectar actividades no autorizadas. Funciona mediante la creación de una base de datos del sistema de archivos y compara esta base de datos con el sistema para garantizar la integridad de los archivos y detectar intrusiones en el sistema. AIDE lo ayuda a acortar el tiempo de investigación durante la respuesta al incidente al enfocarse en los archivos que han sido modificados.

Características

  • Admite varios atributos, incluidos Tipo de archivo, Inodo, Uid, Gid, Permisos, Número de enlaces, Mtime, Ctime y Atime.
  • Admite compresión Gzip, SELinux, XAttrs, Posix ACL y atributos de sistema de archivos extendidos.
  • Capaz de crear y comparar varios algoritmos de resumen de mensajes, incluidos md5, sha1, sha256, sha512, rmd160, crc32, etc.
  • Capaz de notificarle por correo electrónico.

En este tutorial, le mostraremos cómo instalar y usar AIDE para detectar intrusiones en CentOS 8.

requisitos previos

  • Un servidor que ejecute CentOS 8 con un mínimo de 2 GB de RAM.
  • Una contraseña de root está configurada en su servidor.

Empezando

Antes de comenzar, es una buena idea actualizar su sistema a la versión actualizada. Ejecute el siguiente comando para actualizar su sistema.

dnf update -y

Una vez que su sistema esté actualizado, reinícielo para implementar los cambios.

Instalar AIDE

De forma predeterminada, AIDE está disponible en el repositorio predeterminado de CentOS 8. Puede instalarlo fácilmente simplemente ejecutando el siguiente comando:

dnf install aide -y

Una vez completada la instalación, puede verificar la versión instalada de AIDE usando el siguiente comando:

aide --version

Debería ver el siguiente resultado:

Aide 0.16

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_CURL
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE = "/etc/aide.conf"

También puede ver todas las opciones disponibles con el comando auxiliar usando el siguiente comando:

aide --help

Debería ver la siguiente pantalla:

Entorno de detección de intrusos avanzado

Crear e inicializar la base de datos

Después de instalar AIDE, lo primero que deberá hacer es inicializar la configuración. Esta inicialización creará una base de datos (instantánea) de todos los archivos y directorios de su servidor.

Ejecute el siguiente comando para inicializar la base de datos:

aide --init

Debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	49472

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 4N79P7hPE2uxJJ1o7na9sA==
  SHA1     : Ic2XBj50MKiPd1UGrtcUk4LGs0M=
  RMD160   : rHMMy5WwHVb9TGUc+TBHFHsPCrk=
  TIGER    : vkb2bvB1r7DbT3n6d1qYVfDzrNCzTkI0
  SHA256   : tW3KmjcDef2gNXYqnOPT1l0gDFd0tBh9
             xWXT2iaEHgQ=
  SHA512   : VPMRQnz72+JRgNQhL16dxQC9c+GiYB8g
             uZp6uZNqTvTdxw+w/IYDSanTtt/fEkiI
             nDw6lgDNI/ls2esijukliQ==


End timestamp: 2020-01-16 03:03:44 -0500 (run time: 0m 25s)

El comando anterior creará una nueva base de datos AIDE aide.db.new.gz dentro del directorio /var/lib/aide. Puedes verlo usando el siguiente comando:

ls -l /var/lib/aide

Debería ver el siguiente resultado:

total 2800
-rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz

AIDE no usará el nuevo archivo de base de datos hasta que haya sido renombrado a aide.db.gz. Puede cambiarle el nombre con el siguiente comando:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Se recomienda actualizar esta base de datos en un período determinado para garantizar un seguimiento adecuado de los cambios. También puede cambiar la ubicación de la base de datos AIDE editando el archivo /etc/aide.conf y modificando el valor DBDIR.

Consultar AIDE

En este punto, AIDE está listo para usar la nueva base de datos. Ahora, ejecute su primera verificación AIDE sin hacer ningún cambio:

aide --check

Este comando tomará algún tiempo dependiendo del tamaño de su sistema de archivos y la cantidad de RAM en su servidor. Una vez que se haya completado la verificación de AIDE, debería ver el siguiente resultado: Publicidad

Start timestamp: 2020-01-16 03:05:07 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

El resultado anterior indica que todos los archivos y directorios coinciden con la base de datos de AIDE.

Asistente de prueba

De forma predeterminada, AIDE no está configurado para ver archivos y directorios de la raíz de documentos predeterminada de Apache /var/www/html. Por lo tanto, deberá configurar AIDE para ver el directorio /var/www/html. Puede configurarlo editando el archivo /etc/aide.conf.

nano /etc/aide.conf

Agregue la siguiente línea encima de la línea «/root/ CONTENT_EX»:

/var/www/html/ CONTENT_EX

Guarde y cierre el archivo cuando haya terminado.

Luego, cree un archivo aide.txt dentro del directorio /var/www/html/ usando el siguiente comando:

echo "Test AIDE" > /var/www/html/aide.txt

Ahora, ejecute la verificación AIDE y verifique que la verificación del asistente detecte el archivo recién creado.

aide --check

Debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:09:40 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

El resultado anterior indica que la comprobación de ayuda detecta el archivo recién creado aide.txt.

A continuación, es una buena idea actualizar la base de datos de AIDE después de revisar los cambios detectados por la verificación de AIDE. Puede actualizar la base de datos de AIDE usando el siguiente comando:

aide --update

Una vez que se actualice la base de datos, debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:10:41 -0500 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	49475
  Added entries:		1
  Removed entries:		0
  Changed entries:		0

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /var/www/html/aide.txt

El comando anterior creará una nueva base de datos llamada aide.db.new.gz en el directorio /var/lib/aide/.

Puedes verlo usando el siguiente comando:

ls -l /var/lib/aide/

Debería ver el siguiente resultado:

total 5600
-rw------- 1 root root 2864012 Jan 16 03:09 aide.db.gz
-rw------- 1 root root 2864100 Jan 16 03:11 aide.db.new.gz

Ahora, vuelva a cambiar el nombre de la nueva base de datos para que AIDE use esta nueva base de datos para realizar un seguimiento de cualquier cambio nuevo. Puede cambiar el nombre de la base de datos utilizando el siguiente comando:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Ahora, vuelva a ejecutar la verificación AIDE para verificar si AIDE usa la nueva base de datos o no:

aide --check

Debería ver el siguiente resultado:

Start timestamp: 2020-01-16 03:12:29 -0500 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Una vez que haya terminado, puede continuar con el siguiente paso.

Automatice la comprobación de AIDE

Es una buena idea automatizar la verificación de AIDE todos los días y enviar el informe a un sistema por correo. Puede automatizar este proceso utilizando el trabajo cron.

Para hacerlo, edite el archivo de configuración predeterminado de cron como se muestra a continuación:

nano /etc/crontab

Agregue la siguiente línea al final del archivo para automatizar la verificación de AIDE todos los días a las 10:15 AM:

15 10 * * * root /usr/sbin/aide --check

Guarde y cierre el archivo cuando haya terminado.

Ahora, AIDE le notificará vía correo del sistema.

Puede verificar el correo de su sistema usando el siguiente comando:

tail -f /var/mail/root

También puede consultar el registro de AIDE con el siguiente comando:

tail -f /var/log/aide/aide.log

Conclusión

En el tutorial anterior, aprendió a usar AIDE para comprender los cambios del servidor e identificar el acceso no autorizado a su servidor. Puede modificar el archivo /etc/aide.conf para ver el directorio de su aplicación o cualquier configuración avanzada. Se recomienda mantener su base de datos AIDE y el archivo de configuración en un medio de solo lectura por razones de seguridad. Para más información, puede consultar la documentación de AIDE aquí.

Relacionados:

Cómo instalar el servidor de documentos ONLYOFFICE con Nginx en Debian 10
Cómo instalar Guider Linux Performance Analyzer en Ubuntu 20.04
Cómo instalar ONLYOFFICE Docs 6.1 en Ubuntu
Cómo implementar una aplicación web Clojure con Nginx en Ubuntu 20.04
Mantenimiento de sitios web remotos con Sitecopy en Ubuntu 18.04

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *