AIDE – instalacija host-based IDS-a na CentOS-u

IDS (Intrusion Detection System) jeste softver koji prati sumnjive radnje nad sistemom.

AIDE (Advanced Intrusion Detection Environment) jeste jedan od najjednostavnijih host-based IDS-ova (postoje i network based IDS-ovi) čija je namena praćenje osetljivih i sistemskih fajlova, i preporuka je da ga postavite na produkcioni server čim krene sa ozbiljnom produkcijom i sigurni ste da neće biti čestih instalacija/podešavanja na samom serveru (ili jednostavno neke fajlove možete izignorisati u AIDE konfiguracionom fajlu: /etc/aide.conf).

Detaljnije o AIDE na ovom linku: http://aide.sourceforge.net/

# Instalacija potrebnih paketa yum install aide # Ukoliko želite da sem sistemskih dodate još neke fajlove # ili foldere čije bi izmene trebalo pratiti uradite to u fajlu vim /etc/aide.conf # Inicijaln ostartovanje AIDE aide --init mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # Inicijalna provera (ne bi trebalo da javi neke probleme) aide --check # Ako želite proveriti kako radi AIDE promenite neki sistemski fajl ili folder, recimo... touch /etc/nekibezvezetestnifajl.brisi aide --check

Check

Ovu proveru bi bilo dobro da postavite da se izvršava na dnevnom nivou putem crontab-a

# Instalirajte mail klijent ako nemate yum install mailx # Provera slanja mejla (proverite spam folder) echo "OK" | mail -s "TEST mail" vasamailadresa@gmail.com # Postavite u crontab (izvršava se dva puta dnevno) 00  12,00  *  *  * /root/IDScheck.sh # Sadržaj fajla /root/IDScheck.shcat /root/IDScheck.sh #!/bin/sh NA_MAIL="vasamailadresa@gmail.com" mkdir -p /home/.AIDE_LOG ARHIVA="/home/.AIDE_LOG/AIDE_arhiva.log" # Provera /usr/sbin/aide --check > /tmp/tempAIDE.txt if [ `cat /tmp/tempAIDE.txt | grep "All files match AIDE database. Looks okay" | wc -l` -ne 1 ] ; then /bin/mail -s "AIDE - Ima potencijalnih problema, PROVERITI!!!" $NA_MAIL < /tmp/tempAIDE.txt echo "------------------ `date +%d.%m.%Y_%H%M%S` --------------------" >> $ARHIVA cat /tmp/tempAIDE.txt >> $ARHIVA aide --update > /dev/null 2>&1 # Azuriranje baze najnovijim promenama mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # Instalacija nove baze else echo "`date` - Nema promena" > /tmp/aidelogtemp.log fi exit 0