Sunday, November 12, 2017

Using AIDE ( Advanced Intrusion Detection Environment)

                    AIDE ကို Linux Hardening ပိုင်းတွေမှာ hardening feature တစ်ခုအနေနဲ့ အသုံးပြုပါတယ်။ Files ပြုပြင်ပြောင်းလဲမှုများကို မှတ်သားထားပေးတဲ့ features တစ်ခုဖြစ်ပါတယ်။ Files တစ်ခုခုကို changes လုပ်လိုက်တယ် file နဲ့ပတ်သက်တဲ့ permission တွေကို ပြောင်းလိုက်တယ် fileကို delete လုပ်လိုက်တာ အသစ်တည်ဆောက်လိုက်တာတွေကအစ အကုန် log တစ်ခုအနေနဲ့မှတ်ထားပေးတဲ့ feature တစ်ခုဖြစ်ပါတယ်။ လက်ရှိ office မှာ App Project တွေ Linux run ထားတဲ့ server တွေကို hardening guideအတိုင်း လုပ်ပေးရင် မပါမဖြစ်တဲ့ feature တစ်ခုဖြစ်ပါတယ်။








Default AIDE Monitoring Path and Setting

                AIDE ရဲ့ setting တွေကို config လုပ်ချင်တယ် ဆိုရင် "/etc/aide.conf" ထဲမှာပြုလုပ်ရမှာဖြစ်ပါတယ်။ ထိုအထဲမှာ AIDE က ဘာတွေကို အခြေခံပြီး checkလုပ်လဲ ဥပမာ files/folders modification တွေသာမက SELINUX Permission တွေ ACL Permission တွေ Checksum တွေကိုပါ Monitor လုပ်နိုင်ပါတယ်။ တစ်ခု ရှိတာက AIDE သည် ဘာတွေ ပြောင်းလဲသွားတယ် ဆိုတာကိုတာ ပြပေးနိုင်ပြီး "Security Breach" ဖြစ်တာ မဖြစ်တာက ကို်ယ့်ဘာသာ ဆုံးဖြတ်ရမှာဖြစ်ပါတယ်။  Condition တွေအများကြီးနဲ့ တည်ဆောက်ထားလို့ ကို်ယ်တိုင် config file ကိုကြည့်ကြည့်ပါ။ 

AIDE Default Rules List အဲ့ဒီ rules တွေကို အခြေခံပြီး Monitoring လုပ်ပါတယ်

Default Directors/Files location 


/etc/ အောက်က monitor လုပ်မယ့် default lists

Check for Networking and Logins Accounts





Install AIDE

ထုံးစံအတိုင်း #yum install aide -y နှင့် installation.ပြုလုပ်ပါတယ်။

Create AIDE Database

                Installation ပြီးရင်တော့ ပထမဆုံး AIDE database တစ်ခု တည်ဆောက်ရပါတယ်။
#aide --init <= ဒီ command ကိုအသုံးပြုပြီးရင် "/var/lib/aide/" အောက်မှာ new database file တစ်ခု ရောက်လာပါလိမ့်မယ်။ Baseline database တစ်ခုကို အရင်ဆုံး create လုပ်ရခြင်းက aide.conf file ထဲက သတ်မှတ်ထားတာတွေကို Initialize ပြုလုပ်တာဖြစ်ပါတယ်။ Default Config file "/etc/aide.conf" ထဲမှာဆိုရင် ကိုယ့်စိတ်ကြိုက် setting တွေကိုပြုပြင်နိုင်ပါတယ် ပြီးရင်တော့ database ကို initialize လုပ်ရမှာဖြစ်ပါတယ်။


#aide --init ပြီးတဲ့အခါမှာ default database ဖြစ်တဲ့ aide.db.new.gz ကို aide.db.gz ဆိုပြီး rename လုပ်ရပါမယ်။ ၄င်း database file ကို date နှင့် အတိအကျမှတ်ပြီး archive လုပ်သိမ်းထားလို့ရပါတယ်။ ဥပမာ old log တွေ ပါတဲ့ database file ကို archive လုပ်ပြီး နောက်ထပ် database အသစ်တစ်ခု ကို #aide --update command ဖြင့် create လုပ်လို့ရပါတယ်။ 




Run #aide --check

                AIDE Monitor လုပ်ထားတာတွေကိုကြည့်ဖို့အတွက် #aide --check command ကိုအသုံးပြုရပါမယ်။ ပုံထဲမှာ   Directoris and file အသစ်တစ်ခု create လုပ်ပြထားတယ်  #aide --check command run ပြီးတဲ့အခါ result မှာ New File added ဆိုတာ ကိုတွေ့ရမှာဖြစ်ပါတယ်။

New Dir and Files added

File2 was deleted and monitored by AIDE






Permission Changed monitored by AIDE

              အထက်က လုပ်ပြခဲ့တဲ့ ဥပမာတွေအတိုင်းပဲ AIDE feature ကိုအသုံးပြုပြီးတော့ file/folder creation, deletion and Permission modification များကို log မှတ်ပြီး check လုပ်နိုင်ပါတယ်။ 

#aide --update

#aide --update command ကို changes ဖြစ်သွားတာတွေကို acknowledge ဖြစ်ပြီ နောက်ထပ် အသစ် database တစ်ခု ပြန်လုပ်မယ်ဆိုရင် အသုံးပြုပါတယ်။ အရင်က changes တွေကိုမှတ်ထားတဲ့ old database ကို location တစ်ခုမှာသိမ်းထားလို့ရပါတယ်။ ပြီးရင် အသစ် database ကို အစက အတိုင်း #mv command သုံးပြီး database ကို rename လုပ်ပေးရပါမယ်။



Please also Like and Follow Root Of Info Page
Share:

0 comments:

Post a Comment

Note: Only a member of this blog may post a comment.