FGiảm giá thiết kế nhận diện thương hiệu tại bắc ninh

10/02/2018

Hướng dẫn cấu hình file AIDE cho website của bạn

Trong bài viết sau đây, Quản Trị Mạng sẽ giới thiệu với các bạn cách thiết lập và cấu hình hệ thống file tích hợp rà soát AIDE (Advanced Intrusion Detection Environment) cho website của bạn. Hãy thử tưởng tượng rằng tin tặc đang cố gắng đặt 1 ứng dụng backdoor nào đó vào website, hoặc đơn giản hơn, thay đổi mẫu email yêu cầu, đơn đặt hàng để toàn bộ thông tin đăng ký của khách hàng gửi về hòm thư của tin tặc, và từ đó chúng có thể khai thác những thông tin đó.


Bằng việc thiết lập chế độ báo cáo hàng ngày, tính năng này sẽ thông báo cho người quản lý mỗi khi có dữ liệu thay đổi, thêm hoặc xóa … bất cứ vào thời điểm nào. Những hướng dẫn này được tạo ra dành cho phía người dùng cuối – end user, những tài khoản người dùng này không có quyền truy cập ở cấp độ root. Hiện nay, hầu hết các host đều được cài đặt tính năng này sẵn, hoặc bạn có thể yêu cầu đơn vị cung cấp hỗ trợ.

Download file cấu hình mẫu AIDE

Chúng ta sẽ bắt đầu với 1 ví dụ đơn giản, file này sẽ có chức năng quét toàn bộ thư mục web root để phát hiện bất cứ thay đổi nào trong mã md5 hash. Để tải file này, SSH vào tài khoản và chạy lệnh sau:



Tại đây, bạn cần thay đổi giá trị username ở dòng đầu tiên tương ứng, và trỏ đường dẫn chính xác tới thư mục root của bạn. Sau đó, tại dòng lệnh cuối cùng, chỉ định lại giá trị public_html tới thư mục web root. Nếu host của bạn có sử dụng cơ chế điều khiển cPanel, thì public_html sẽ là web root của bạn.

Khởi tạo cơ sở dữ liệu AIDE

Để bắt đầu khởi tạo dữ liệu của AIDE, hãy dùng lệnh sau:

$ nice -19 aide –init –config=/home/username/aide.conf

AIDE hiện đang là 1 trong những ứng dụng ít tiêu tốn tài nguyên hệ thống nhất. Sau khi hoàn tất bước trên, hãy copy file kết xuất của cơ sở dữ liệu AIDE tới dữ liệu đầu vào:


$ cp aide.db.out aide.db.in


Kiểm tra lại aide:


$ nice -19 aide -C –config=/home/username/aide.conf


Thực hiện cơ chế báo cáo hàng ngày

Có vài cách khá đơn giản để nhận báo cáo của aide, thông thường chương trình sẽ được cấu hình để tự động gửi báo cáo đến hòm thư của người quản lý. Để làm việc này, bạn có thể thiết lập 1 công việc cronjob để tự kích hoạt aide hàng ngày, hoặc bất cứ khi nào bạn muốn.

Mở fie cấu hình, quản lý crontab và thêm dòng mã sau:


0 1 * * * nice -19 /usr/local/bin/aide –config=/home/username/aide.conf -C| mail you@domain -saide\ domain


Những dữ liệu báo cáo này sẽ tăng theo thời gian, vì vậy người dùng cần dọn dẹp lại cơ sở dữ liệu định kỳ để đảm bảo khả năng hoạt động của hệ thống. Thêm dòng mã sau vào crontab:


0 2 * * 0 nice -19 /usr/local/bin/aide –config=/home/username/aide.conf –init;mv -f /home/username/aide.db.out /home/username/aide.db.in


Trên đây là ví dụ cơ bản về việc sử dụng AIDE, các bạn có thể tham khảo thêm mã thiết lập và cấu hình đầy đủ như sau:




Và có thể bạn sẽ cần phải loại bỏ 1 số tập tin, ví dụ nếu có sẵn 1 diễn đàn hoặc gallery ảnh, sẽ có rất nhiều ảnh được thường xuyên thêm vào thư viện này, bạn có thể đặt điều kiện loại trừ dựa vào thuộc tính của dữ liệu như định dạng, tên, ngày tháng … ví dụ như định dạng jpg sau đây:


!@@{TOPDIR}/public_html/images/.*\.jpg$


Và dòng lệnh đó nên được đặt ngay trên dòng này:


@@{TOPDIR}/public_html MD


Tương tự, bạn có thể thiết lập các quy luật tương tự để áp dụng với cơ sở dữ liệu, các tài khoản người dùng … khi sử dụng phương pháp này, tin tặc sẽ không thể tiếp cận đến cơ sở dữ liệu AIDE của bạn. Để đảm bảo an toànhơn nữa, hãy download cơ sở dữ liệu AIDE ngay sau khi tạo ra, và upload ngược lại trước khi tiến hành quét toàn bộ hệ thống. Chúc các bạn thành công!
Share: