AIDE adalah singkatan dari “Advanced Intrusion Detection Environment” adalah salah satu tool paling populer untuk memonitor perubahan pada sistem operasi berbasis Linux.
AIDE digunakan untuk melindungi sistem Anda terhadap malware, virus, dan mendeteksi perubahan sistem yang tidak sah. AIDE bekerja dengan membuat database file sistem dan memeriksa database ini terhadap sistem untuk memastikan integritas file dan mendeteksi intrusi pada sistem.
AIDE membantu Anda mempersingkat waktu penyelidikan selama respons insiden dengan memfokuskan pada file yang telah diubah.
fitur AIDE
- Mendukung berbagai atribut termasuk, Jenis file, Inode, Uid, Gid, Izin, Jumlah tautan, Mtime, Ctime dan Atime.
- Mendukung kompresi Gzip, SELinux, XAttrs, Posix ACL dan atribut sistem file yang dapat diperluas.
- Mampu membuat dan membandingkan berbagai algoritma message digest termasuk, md5, sha1, sha256, sha512, rmd160, crc32, dll.
- Notifikasi email saat terjadi intrusi.
Dalam tutorial ini, kita akan belajar cara menginstal dan menggunakan AIDE untuk mendeteksi intrusi pada CentOS 8.
Persyaratan
- Server CentOS 8.
- RAM minimal 2GB.
- Masuk sebagai root atau user dengan hak sudo.
Sebelum Mulai
Sebelum memulai, perbarui server Anda dengan versi terbaru menggunakan perintah berikut:
dnf update
Setelah server Anda up-to-date, restart untuk meminimalisir terjadinya kesalahan pada sistem.
Install AIDE
Secara default, AIDE tersedia dalam repositori default CentOS 8. Anda dapat menginstalnya dengan menjalankan perintah berikut:
dnf install aide -y
Setelah instalasi selesai, Anda dapat memeriksa versi AIDE yang diinstal menggunakan perintah berikut:
aide --version
Pada saat penulisan, Versi Aide adalah versi 0.16 :
Aide 0.16 Compiled with the following options: WITH_MMAP WITH_PCRE WITH_POSIX_ACL WITH_SELINUX WITH_XATTR WITH_E2FSATTRS WITH_LSTAT64 WITH_READDIR64 WITH_ZLIB WITH_CURL WITH_GCRYPT WITH_AUDIT CONFIG_FILE = "/etc/aide.conf"
Anda juga dapat melihat semua opsi yang tersedia perintah berikut:
aide --help
Anda akan melihat tampilan berikut:
Buat dan Inisialisasi Database
Setelah menginstal AIDE, hal pertama yang perlu Anda lakukan adalah melakukan Inisialisasi pada pengaturan. Inisialisasi ini akan membuat database (snapshot) dari semua file dan direktori server Anda.
Jalankan perintah berikut untuk menginisialisasi database:
aide --init
Anda akan melihat output seperti berikut:
Start timestamp: 2020-01-26 03:03:19 -0500 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz
Number of entries: 49472
---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------
/var/lib/aide/aide.db.new.gz
MD5 : 4N79Y6hPE2uxJJ1o7na9sA==
SHA1 : Ic2XBj50HUiPd1UGrtcUk4LGs0M=
RMD160 : rHMMy5WwHVb9GHWc+TBHFHsPCrk=
TIGER : vkb2mgB1r7DbT3n6d1qYFgDzrNCzTkI0
SHA256 : tW3KmjcDef2gCVEqnOPT1l0gDFd0tBh9
xWXT2iaEHgQ=
SHA512 : VPMRQnz72+FFgNQhL16dxQC9c+GiYB8g
uZp6uZNqTvTdxw+w/RTXSanTtt/fEkiI
nDw6lgDNI/ls2esijukliQ==
End timestamp: 2020-01-26 03:03:44 -0500 (run time: 0m 25s)
Perintah di atas akan membuat database baru AIDE yang bernama aide.db.new.gz dalam direktori /var/lib/aide. Anda dapat melihatnya menggunakan perintah berikut:
ls -l /var/lib/aide
Anda akan melihat output berikut:
total 2800 -rw------- 1 root root 2863809 Jan 16 03:03 aide.db.new.gz
AIDE tidak akan menggunakan file database tersebut sampai namanya diubah menjadi aide.db.gz. Anda dapat mengganti nama dengan perintah mv seperti berikut:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Disarankan untuk memperbarui database ini pada periode tertentu untuk memastikan pemantauan perubahan yang tepat. Anda juga dapat mengubah lokasi database AIDE dengan mengedit file /etc/aide.conf dan memodifikasi value pada DBDIR.
Konfigurasi AIDE
Pada titik ini, AIDE siap menggunakan basis data baru. Sekarang, jalankan AIDE pertama kali tanpa membuat perubahan apa pun:
aide --check
Perintah ini akan memakan waktu tergantung pada ukuran file sistem Anda dan jumlah RAM di server. Setelah pemeriksaan AIDE selesai, Anda akan melihat output berikut:
Start timestamp: 2020-01-26 03:05:07 -0500 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!!
AIDE tidak menemukan perbedaan antara database dan sistem file. Terlihat oke !!
Output di atas menunjukkan bahwa setiap file dan direktori cocok dengan database AIDE.
Tes Konfigurasi AIDE
Secara default, AIDE tidak dikonfigurasikan untuk memantau file dan direktori dari root dokumen default Apache /var/www/html. Jadi, Anda perlu mengonfigurasi AIDE untuk mamantau direktori /var/www/html. Anda dapat mengonfigurasinya dengan mengedit file /etc/aide.conf.
nano /etc/aide.conf
Tambahkan baris berikut di atas baris “/root/CONTENT_EX“:
/var/www/html/ CONTENT_EX
Simpan dan tutup file setelah Anda selesai.
Selanjutnya, buat file aide.txt di dalam direktori /var/www/html/ menggunakan perintah berikut:
echo "Test AIDE" > /var/www/html/aide.txt
Sekarang, jalankan AIDE dan verifikasi bahwa file yang baru dibuat terdeteksi oleh AIDE.
aide --check
Anda akan melihat output berikut:
Start timestamp: 2020-01-26 03:09:40 -0500 (AIDE 0.16) AIDE found differences between database and filesystem!! Summary: Total number of entries: 49475 Added entries: 1 Removed entries: 0 Changed entries: 0 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /var/www/html/aide.txt
Output di atas menunjukkan bahwa file aide.txt yang baru dibuat terdeteksi oleh AIDE.
Selanjutnya, kita perlu melakukan update database AIDE setelah meninjau perubahan yang terdeteksi oleh pemeriksaan. Anda dapat memperbarui database AIDE menggunakan perintah berikut:
aide --update
Setelah database diperbarui, Anda akan melihat output berikut:
Start timestamp: 2020-01-26 03:10:41 -0500 (AIDE 0.16) AIDE found differences between database and filesystem!! New AIDE database written to /var/lib/aide/aide.db.new.gz Summary: Total number of entries: 49475 Added entries: 1 Removed entries: 0 Changed entries: 0 --------------------------------------------------- Added entries: --------------------------------------------------- f++++++++++++++++: /var/www/html/aide.txt
Perintah di atas akan membuat database baru bernama aide.db.new.gz di direktori /var/lib/aide/.
Anda dapat melihatnya menggunakan perintah berikut:
ls -l /var/lib/aide/
Anda akan melihat output berikut:
total 5600 -rw------- 1 root root 2864012 Jan 26 03:09 aide.db.gz -rw------- 1 root root 2864100 Jan 26 03:11 aide.db.new.gz
Sekarang, ganti nama database baru lagi sehingga AIDE menggunakan database baru ini untuk melacak setiap perubahan baru. Anda dapat mengubah nama database menggunakan perintah berikut:
mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
Sekarang, jalankan pemeriksaan AIDE lagi untuk memeriksa apakah AIDE menggunakan database baru atau tidak:
aide --check
Anda akan melihat output berikut:
Start timestamp: 2020-01-26 03:12:29 -0500 (AIDE 0.16) AIDE found NO differences between database and filesystem. Looks okay!!
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
Konfigurasi Pemeriksaan AIDE Secara Otomatis
Merupakan ide bagus untuk mengotomatiskan pemeriksaan AIDE setiap hari dan mengirim laporan ke sistem melalui email. Anda dapat mengotomatiskan proses ini menggunakan cron job.
Untuk melakukannya, edit file konfigurasi default cron job seperti yang ditunjukkan di bawah ini:
nano /etc/crontab
Tambahkan baris berikut di akhir file untuk mengotomatiskan pemeriksaan AIDE setiap hari pada pukul 08:15 pagi hari:
15 08 * * * root /usr/sbin/aide --check
Simpan dan tutup file setelah Anda selesai.
Sekarang, AIDE akan memberi tahu Anda melalui system mail.
Anda dapat memeriksa system mail Anda menggunakan perintah tail :
tail -f /var/mail/root
Anda juga dapat memeriksa log AIDE dengan perintah berikut:
tail -f /var/log/aide/aide.log
Kesimpulan
Dalam tutorial di atas, kita belajar cara konfigurasi dan menggunakan AIDE untuk memahami perubahan server dan mengidentifikasi akses tidak sah ke server Anda.
Anda dapat memodifikasi file /etc/aide.conf untuk melihat direktori aplikasi Anda atau pengaturan lanjutan apa pun.
Disarankan untuk menyimpan database AIDE dan file konfigurasi Anda di media read-only untuk alasan keamanan. Untuk informasi lebih lanjut, Anda dapat memeriksa dokumentasi AIDE di AIDE Doc.
