Slik installerer du AIDE-inntrengingsdeteksjonssystem på CentOS 7
Bilde: CentOS Bare fordi Linux er en utrolig sikker plattform ut av boksen, betyr ikke det at du ikke trenger å ta ekstra skritt for å låse den enda strammere. Med hver distribusjon er det forskjellige måter du kan herde operativsystemet. Uansett hvilken smak du bruker til serverne dine, skal et inntrengingsdeteksjonssystem betraktes som et must-have.
Mer om cybersecurity
- Cybersikkerhet i 2020: Åtte skremmende spådommer
- De ti viktigste cyberangrepene i tiåret
- Slik blir du en cybersecurity-proff: Et jukseark
- Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag
Et inntrengingsdeteksjonssystem som fungerer utmerket på CentOS 7 er Advanced Intrusion Detection Environment, også AIDE. AIDE fungerer ved å ta et øyeblikksbilde av verten, eventuelle modifikasjonstider, alle registerhasjer og andre viktige filrelaterte data. Fra dette øyeblikksbildet opprettes en database som sjekker og verifiser filintegritet. Når AIDE holder øye med CentOS 7-systemet ditt, blir du informert om skadelig endring på serveren.
La oss få AIDE installert og fungere.
Hva trenger du
Det eneste du trenger for dette er en fungerende CentOS 7-server og en konto med sudo-rettigheter.
Installasjon
AIDE kan installeres fra standard depotene. Forsikre deg om at CentOS 7 er oppdatert før du installerer. Husk at oppdateringsprosessen kan inneholde kjernen. Skulle det skje, vil det være nødvendig med en omstart, så det er best å kjøre oppdateringen om gangen en omstart er mulig.
Åpne et terminalvindu og gi kommandoen:
sudo yum oppdatering
Når du blir bedt om det, godta oppdateringen ved å skrive y. Når oppdateringen er fullført, starter du på nytt (om nødvendig). Du kan nå installere AIDE med kommandoen:
sudo yum installer hjelpemiddel
Når installasjonen er fullført, må du generere en database for AIDE med kommandoen:
sudo aide - init
Når databasen er opprettet, vil bash-ledeteksten returnere til deg ( figur A ).
Figur A
AIDE-databasen er initialisert.
Den nyopprettede databasen må gi nytt navn. For å gjøre det, gi kommandoen:
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Kontroller at AIDE kan se den med kommandoen med navnet på databasen:
sudo aide - sjekk
Databasen bør sjekke ut på dette tidspunktet ( figur B ).
Figur B
Alt er bra med databasen vår.
La oss legge til en crontab for å kontrollere hver midnatt. Gjør dette med kommandoene:
su echo "0 0 * * * root / usr / sbin / aide - check" >> / etc / crontab
Når du har satt cron-jobben, går du ut av rotbrukeren med kommandoen exit .
Testing av AIDE
La oss lage en fil og se om AIDE oppdager den. Gi kommandoen:
sudo touch / usr / bin / testing
Kjør AIDE-testen igjen med kommandoen:
sudo aide - sjekk
AIDE rapporterer om den nyopprettede filen ( figur C ).
Figur C
Vår nyopprettede fil rapportert av AIDE.
Etter å ha lest rapporten, må du sørge for å oppdatere AIDE-databasen (slik at den ikke fortsetter å rapportere den samme nyopprettede filen) med kommandoen:
sudo aide - oppdatert
Viser utdata fra cron-jobb
Siden vi setter AIDE opp som en standard cron-jobb, må du sjekke AIDE-loggfilen manuelt. For å gjøre det, må du suge til rotbrukeren og gi kommandoen:
mindre /var/log/aide/aide.log
Du kan deretter kamre gjennom den loggfilen for å se om det har skjedd noe untoward med CentOS 7-serveren din. Hvis du vil bli kreativ, kan du til og med skrive et bash-skript som kjører en AIDE-sjekk og deretter sende utdataene til deg, og deretter angi at skriptet skal kjøres som cron-jobben (i stedet for den vanlige aide-check-kommandoen).
Én ting å huske, hvis du ser AIDE rapportere noe som ikke er skadelig (for eksempel installasjon av et nødvendig stykke programvare eller en konfigurasjonsendring du har gjort), må du huske å kjøre oppdateringskommandoen igjen, så den vil ikke fortsette rapportering om det samme problemet.
Og det er essensen av å få det avanserte inntrengingsdeteksjonsmiljøet opp og i gang. CentOS 7-serveren vil takke deg for den ekstra sikkerheten.
Cybersecurity Insider Nyhetsbrev
Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager
Registrer deg i dag
