Advanced Intrusion Detection Environment (AIDE) pro CentOS 7 snadno a rychle

Ačkoliv je Linux ze své podstaty velmi bezpečný systém, přece jen může být napaden škodlivým kódem a/nebo živým útočníkem. Napadení systému je typicky charakterizováno změnou systémových souborů a/nebo binárek. Systém Advanced Intrusion Detection Environment (AIDE) pracuje na principu vytvoření snímku stavu těchto souborů (ukládá si do své databáze hashe) a následného porovnávání skutečného stavu pro originálu. Máte tak velkou šanci zjistit, že došlo k nechtěné modifikaci systému a reagovat adekvátní akcí.

Samotnou instalaci provedete příkazem:

yum install aide

Následně potřebujete vytvořit databázi AIDE příkazem:

aide --init

Nově vytvořenou databázi přejmenujte:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Spusťte kontrolu pomocí příkazu:

sudo aide --check

Výstup by měl vypadat podobně tomuto:

Start timestamp: 2020-12-02 20:54:05 +0100 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
Number of entries: 106972

The attributes of the (uncompressed) database(s):
/var/lib/aide/aide.db.gz
MD5 : 1RQvRiR5Hl2ULz9Fn9XCvQ==
SHA1 : Cfst6y8WxHNxFGoJa8ImlBgUyX4=
RMD160 : 13MvsFccLrSF4ktqdlnlw3fDFes=
TIGER : 7viF9wLGv73soO5LS3AvzBh2DxV6ohFt
SHA256 : 8OeihiaM8GuRM4zTG2dBfffc/0FYkuKI
5BqJ4npS3c0=
SHA512 : vsV9vDgn7McxaHRwJE4619fN+l/6mzlr
ThdWOgAcDUHWm5g0Bw7sOE/fIAERs54O
NfhPKkhD1Lfj99A5QFIqwg==
End timestamp: 2020-12-02 20:55:13 +0100 (run time: 1m 8s)

Zadejte plánovanou kontrolu změn souborového systému:

echo "0 0 * * * root /usr/sbin/aide --check" >> /etc/crontab

Po prohlédnutí logu /var/log/aide/aide.log nazepomeňte aktualizovat databázi AIDE příkazem:

aide --update

AIDE sice nezabrání případné modifikaci systémových souborů, ale pomůže vám najít nežádoucí, chybné či nechtěné změny.