Slik installerer du AIDE-inntrengingsdeteksjonssystem på CentOS 7

Bilde: CentOS

Bare fordi Linux er en utrolig sikker plattform ut av boksen, betyr ikke det at du ikke trenger å ta ekstra skritt for å låse den enda strammere. Med hver distribusjon er det forskjellige måter du kan herde operativsystemet. Uansett hvilken smak du bruker til serverne dine, skal et inntrengingsdeteksjonssystem betraktes som et must-have.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Et inntrengingsdeteksjonssystem som fungerer utmerket på CentOS 7 er Advanced Intrusion Detection Environment, også AIDE. AIDE fungerer ved å ta et øyeblikksbilde av verten, eventuelle modifikasjonstider, alle registerhasjer og andre viktige filrelaterte data. Fra dette øyeblikksbildet opprettes en database som sjekker og verifiser filintegritet. Når AIDE holder øye med CentOS 7-systemet ditt, blir du informert om skadelig endring på serveren.

La oss få AIDE installert og fungere.

Hva trenger du

Det eneste du trenger for dette er en fungerende CentOS 7-server og en konto med sudo-rettigheter.

Installasjon

AIDE kan installeres fra standard depotene. Forsikre deg om at CentOS 7 er oppdatert før du installerer. Husk at oppdateringsprosessen kan inneholde kjernen. Skulle det skje, vil det være nødvendig med en omstart, så det er best å kjøre oppdateringen om gangen en omstart er mulig.

Åpne et terminalvindu og gi kommandoen:

 sudo yum oppdatering 

Når du blir bedt om det, godta oppdateringen ved å skrive y. Når oppdateringen er fullført, starter du på nytt (om nødvendig). Du kan nå installere AIDE med kommandoen:

 sudo yum installer hjelpemiddel 

Når installasjonen er fullført, må du generere en database for AIDE med kommandoen:

 sudo aide - init 

Når databasen er opprettet, vil bash-ledeteksten returnere til deg ( figur A ).

Figur A

AIDE-databasen er initialisert.


Den nyopprettede databasen må gi nytt navn. For å gjøre det, gi kommandoen:

 sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 

Kontroller at AIDE kan se den med kommandoen med navnet på databasen:

 sudo aide - sjekk 

Databasen bør sjekke ut på dette tidspunktet ( figur B ).

Figur B

Alt er bra med databasen vår.


La oss legge til en crontab for å kontrollere hver midnatt. Gjør dette med kommandoene:

 su echo "0 0 * * * root / usr / sbin / aide - check" >> / etc / crontab 

Når du har satt cron-jobben, går du ut av rotbrukeren med kommandoen exit .

Testing av AIDE

La oss lage en fil og se om AIDE oppdager den. Gi kommandoen:

 sudo touch / usr / bin / testing 

Kjør AIDE-testen igjen med kommandoen:

 sudo aide - sjekk 

AIDE rapporterer om den nyopprettede filen ( figur C ).

Figur C

Vår nyopprettede fil rapportert av AIDE.

Etter å ha lest rapporten, må du sørge for å oppdatere AIDE-databasen (slik at den ikke fortsetter å rapportere den samme nyopprettede filen) med kommandoen:

 sudo aide - oppdatert 

Viser utdata fra cron-jobb

Siden vi setter AIDE opp som en standard cron-jobb, må du sjekke AIDE-loggfilen manuelt. For å gjøre det, må du suge til rotbrukeren og gi kommandoen:

 mindre /var/log/aide/aide.log 

Du kan deretter kamre gjennom den loggfilen for å se om det har skjedd noe untoward med CentOS 7-serveren din. Hvis du vil bli kreativ, kan du til og med skrive et bash-skript som kjører en AIDE-sjekk og deretter sende utdataene til deg, og deretter angi at skriptet skal kjøres som cron-jobben (i stedet for den vanlige aide-check-kommandoen).

Én ting å huske, hvis du ser AIDE rapportere noe som ikke er skadelig (for eksempel installasjon av et nødvendig stykke programvare eller en konfigurasjonsendring du har gjort), må du huske å kjøre oppdateringskommandoen igjen, så den vil ikke fortsette rapportering om det samme problemet.

Og det er essensen av å få det avanserte inntrengingsdeteksjonsmiljøet opp og i gang. CentOS 7-serveren vil takke deg for den ekstra sikkerheten.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | mobilegn.com