AIDE ကို Linux Hardening ပိုင်းတွေမှာ hardening feature တစ်ခုအနေနဲ့ အသုံးပြုပါတယ်။ Files ပြုပြင်ပြောင်းလဲမှုများကို မှတ်သားထားပေးတဲ့ features တစ်ခုဖြစ်ပါတယ်။ Files တစ်ခုခုကို changes လုပ်လိုက်တယ် file နဲ့ပတ်သက်တဲ့ permission တွေကို ပြောင်းလိုက်တယ် fileကို delete လုပ်လိုက်တာ အသစ်တည်ဆောက်လိုက်တာတွေကအစ အကုန် log တစ်ခုအနေနဲ့မှတ်ထားပေးတဲ့ feature တစ်ခုဖြစ်ပါတယ်။ လက်ရှိ office မှာ App Project တွေ Linux run ထားတဲ့ server တွေကို hardening guideအတိုင်း လုပ်ပေးရင် မပါမဖြစ်တဲ့ feature တစ်ခုဖြစ်ပါတယ်။
Install AIDE
ထုံးစံအတိုင်း #yum install aide -y နှင့် installation.ပြုလုပ်ပါတယ်။
Create AIDE Database
Installation ပြီးရင်တော့ ပထမဆုံး AIDE database တစ်ခု တည်ဆောက်ရပါတယ်။
#aide --init <= ဒီ command ကိုအသုံးပြုပြီးရင် "/var/lib/aide/" အောက်မှာ new database file တစ်ခု ရောက်လာပါလိမ့်မယ်။ Baseline database တစ်ခုကို အရင်ဆုံး create လုပ်ရခြင်းက aide.conf file ထဲက သတ်မှတ်ထားတာတွေကို Initialize ပြုလုပ်တာဖြစ်ပါတယ်။ Default Config file "/etc/aide.conf" ထဲမှာဆိုရင် ကိုယ့်စိတ်ကြိုက် setting တွေကိုပြုပြင်နိုင်ပါတယ် ပြီးရင်တော့ database ကို initialize လုပ်ရမှာဖြစ်ပါတယ်။
Run #aide --check
AIDE Monitor လုပ်ထားတာတွေကိုကြည့်ဖို့အတွက် #aide --check command ကိုအသုံးပြုရပါမယ်။ ပုံထဲမှာ Directoris and file အသစ်တစ်ခု create လုပ်ပြထားတယ် #aide --check command run ပြီးတဲ့အခါ result မှာ New File added ဆိုတာ ကိုတွေ့ရမှာဖြစ်ပါတယ်။
Default AIDE Monitoring Path and Setting
AIDE ရဲ့ setting တွေကို config လုပ်ချင်တယ် ဆိုရင် "/etc/aide.conf" ထဲမှာပြုလုပ်ရမှာဖြစ်ပါတယ်။ ထိုအထဲမှာ AIDE က ဘာတွေကို အခြေခံပြီး checkလုပ်လဲ ဥပမာ files/folders modification တွေသာမက SELINUX Permission တွေ ACL Permission တွေ Checksum တွေကိုပါ Monitor လုပ်နိုင်ပါတယ်။ တစ်ခု ရှိတာက AIDE သည် ဘာတွေ ပြောင်းလဲသွားတယ် ဆိုတာကိုတာ ပြပေးနိုင်ပြီး "Security Breach" ဖြစ်တာ မဖြစ်တာက ကို်ယ့်ဘာသာ ဆုံးဖြတ်ရမှာဖြစ်ပါတယ်။ Condition တွေအများကြီးနဲ့ တည်ဆောက်ထားလို့ ကို်ယ်တိုင် config file ကိုကြည့်ကြည့်ပါ။
AIDE Default Rules List အဲ့ဒီ rules တွေကို အခြေခံပြီး Monitoring လုပ်ပါတယ်
Default Directors/Files location
/etc/ အောက်က monitor လုပ်မယ့် default lists
Check for Networking and Logins Accounts
Install AIDE
ထုံးစံအတိုင်း #yum install aide -y နှင့် installation.ပြုလုပ်ပါတယ်။
Create AIDE Database
Installation ပြီးရင်တော့ ပထမဆုံး AIDE database တစ်ခု တည်ဆောက်ရပါတယ်။
#aide --init <= ဒီ command ကိုအသုံးပြုပြီးရင် "/var/lib/aide/" အောက်မှာ new database file တစ်ခု ရောက်လာပါလိမ့်မယ်။ Baseline database တစ်ခုကို အရင်ဆုံး create လုပ်ရခြင်းက aide.conf file ထဲက သတ်မှတ်ထားတာတွေကို Initialize ပြုလုပ်တာဖြစ်ပါတယ်။ Default Config file "/etc/aide.conf" ထဲမှာဆိုရင် ကိုယ့်စိတ်ကြိုက် setting တွေကိုပြုပြင်နိုင်ပါတယ် ပြီးရင်တော့ database ကို initialize လုပ်ရမှာဖြစ်ပါတယ်။
#aide --init ပြီးတဲ့အခါမှာ default database ဖြစ်တဲ့ aide.db.new.gz ကို aide.db.gz ဆိုပြီး rename လုပ်ရပါမယ်။ ၄င်း database file ကို date နှင့် အတိအကျမှတ်ပြီး archive လုပ်သိမ်းထားလို့ရပါတယ်။ ဥပမာ old log တွေ ပါတဲ့ database file ကို archive လုပ်ပြီး နောက်ထပ် database အသစ်တစ်ခု ကို #aide --update command ဖြင့် create လုပ်လို့ရပါတယ်။
Run #aide --check
AIDE Monitor လုပ်ထားတာတွေကိုကြည့်ဖို့အတွက် #aide --check command ကိုအသုံးပြုရပါမယ်။ ပုံထဲမှာ Directoris and file အသစ်တစ်ခု create လုပ်ပြထားတယ် #aide --check command run ပြီးတဲ့အခါ result မှာ New File added ဆိုတာ ကိုတွေ့ရမှာဖြစ်ပါတယ်။
New Dir and Files added
File2 was deleted and monitored by AIDE
Permission Changed monitored by AIDE
အထက်က လုပ်ပြခဲ့တဲ့ ဥပမာတွေအတိုင်းပဲ AIDE feature ကိုအသုံးပြုပြီးတော့ file/folder creation, deletion and Permission modification များကို log မှတ်ပြီး check လုပ်နိုင်ပါတယ်။
#aide --update
#aide --update command ကို changes ဖြစ်သွားတာတွေကို acknowledge ဖြစ်ပြီ နောက်ထပ် အသစ် database တစ်ခု ပြန်လုပ်မယ်ဆိုရင် အသုံးပြုပါတယ်။ အရင်က changes တွေကိုမှတ်ထားတဲ့ old database ကို location တစ်ခုမှာသိမ်းထားလို့ရပါတယ်။ ပြီးရင် အသစ် database ကို အစက အတိုင်း #mv command သုံးပြီး database ကို rename လုပ်ပေးရပါမယ်။
Please also Like and Follow Root Of Info Page
0 comments:
Post a Comment
Note: Only a member of this blog may post a comment.