介绍
SysAdmins负责安装和配置软件以支持网站,包括运行在DigitalOcean VPS上的网站。 不幸的是,一旦您的网站在互联网上可用,一个或多个恶意黑客可能会花费大量的时间和精力在您的系统中找到一些漏洞,以获得未经授权的访问和进行可能需要您的系统的更改下降完全。 在极端情况下,这些人实际上可能尝试使用您的网站攻击其他系统,让您处于一个位置,你必须解释你的IP是如何追溯到另一个可能更安全的系统的攻击源。
好消息是,您可以使用行业最佳实践保护您的VPS,包括建立软件配置基线,确保您可以检测和跟踪您的Droplet的所有更改。 监视对Unix或Linux系统的更改的最流行的工具之一被称为高级入侵检测环境(AIDE),最初由Rami Lehti和Pablo Virolainen于1999年写。本文将帮助您开始描述如何安装,配置,并以有效的方式使用Aide。
创建安全的可信基站
Unix和Linux服务器(包括DigitalOcean VPS)为安装,配置和运行为互联网上可用的网站提供动力的软件提供了强大的平台。 诸如IEEE 828配置管理标准和itSMF ITIL v3框架的行业标准提供了关于如何记录和维护稳定的操作系统和应用基线的良好的行业指导,这对于确保这些系统是安全和可靠的是至关重要的。
包括大型银行,贸易公司在内的金融服务公司和交易所本身是联邦监管机构要求的,包括金融业监管局(Finra),货币主计长办公室(OCC)和联邦储备系统(Fed)这些最佳做法。 作为SysAdmin,您可以使用这些相同的过程来保护您的DigitalOcean VPS,并使用DevOps最佳做法创建安全的受信任的应用程序基础。 当我创建一个新的Linux或Unix VPS时,我总是从安装一个工具,如Aide或Tripwire。
第1步 - 使用yum安装Aide
第一步是要运行的命令yum install aide如图1.0检查依赖性和验证可以安装Aide。
[root@myserver ~]# yum install aide
您将需要输入以继续安装。
Is this ok [y/N]: y
第2步 - 运行助手帮助并验证助手版本
安装完成后,您应该运行aide --help屏幕,并验证助手的版本如下所示
[root @ myserver〜]#aide --help
接下来,您应该验证您正在运行的助手的版本。 记下/etc/aide.conf的位置,我们将在本技术说明的末尾讨论。
[root @ myserver〜]#aide -v
Aide 0.13.1
Compiled with the following options:
WITH_MMAP
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_LSTAT64
WITH_READDIR64
WITH_GCRYPT
WITH_AUDIT
CONFIG_FILE "/etc/aide.conf"
现在我们已经验证Aide已安装,我们将创建我们的第一个助手数据库。
第3步 - 初始化第一助手数据库
通过发出命令“aide init”初始化第一个助手数据库,如图所示。
[root@myserver ~]# aide --init
验证是否已创建新的辅助数据库
[root@myserver ~]# cd /var/lib/aide
[root@myserver aide]# ls -lt
total 1488
-rw------- 1 root root 1520639 Dec 8 16:57 aide.db.new.gz
初始辅助数据库(aide.db.new.gz)必须重命名(aide.db.gz),以便辅助工作成功。
第4步 - 使用unix mv命令重命名助手数据库,以便可以使用它
[root@myserver aide]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
[root@myserver aide]# ls -lt
total 1488
-rw------- 1 root root 1520639 Dec 8 16:57 aide.db.gz
接下来,我们将运行助手检查,以证明没有发生任何更改。
第5步 - 运行第一个助手--check而不进行任何更改
[root@myserver aide]# aide --check
接下来,我们将在/ usr / sbin目录中创建一个文件,以测试助手可以检测和报告更改。
第6步 - 创建一个新文件作为测试
接下来,我们使用unix touch命令创建一个新文件,然后我们可以使用它来测试辅助,并验证辅助检查是否检测到新创建的文件。
[root@myserver aide]# touch /usr/sbin/mytestfile.txt
第7步 - 运行辅助检查以检测新文件
[root @ myserver aide]#aide --check
一旦我们审核了辅助支票检测到的更改,我们可能不希望备份再次报告,因为这些报告可能会很长。 实际的方法是检查更改,然后更新辅助数据库,以便下次运行辅助检查时不会再次报告。
第8步 - 创建更新的辅助数据库,以忽略以前的更改
接下来,您将创建一个更新的辅助数据库,忽略所有以前进行(和审核)的更改。
[root@myserver aide]# aide --update
新助手数据库称为aide.db.new.gz,如下图11所示。
[root@myserver aide]# ls -lt
total 2976
-rw------- 1 root root 1520708 Dec 8 17:13 aide.db.new.gz
-rw------- 1 root root 1520639 Dec 8 16:57 aide.db.gz
下一步是再次重命名aide数据库,以便我们使用新版本的aide数据库仅报告从这一点开始发生的更改。
第9步 - 使用更新的助手数据库
通常通过使用如图12所示的日期重命名旧的助手数据库来保存旧助手数据库,以便您可以跟踪任何更改(如有必要),这通常是个好主意。 最终,可以归档和删除旧版本的助手数据库。 您还需要使用unix mv命令重命名新创建的辅助数据库,以便可以继续使用。
`[root@myserver aide]# mv aide.db.gz aide.db.gz-Dec082013`
`[root@myserver aide]# mv aide.db.new.gz aide.db.gz`
虽然这些过程是直接的,但它们可能变得既乏味又耗时。 必须编写脚本以更新数据库,并运行助手检查报告以自动报告更改。
第10步.使用cron和sendmail自动化
我通常创建一个crontab条目运行一个aide --check每天它可以方便地显示我的手持设备上的报告。 这使得使用辅助监视您的文件系统更容易和更实用。
`06 01 * * 0-6 /var/log/aide/chkaide.sh`
这里是可以从crontab中运行自动化的脚本的一个简单例子aide check和电子邮件的最后20行的报告,这通常是足够的信息,每天总结。
[root@myserver ~]# cat /var/log/aide/chaide.sh
#! /bin/sh
#chkaide.sh - Bob Aiello
MYDATE`date +%Y-%m-%d`
MYFILENAME"Aide-"$MYDATE.txt
/bin/echo "Aide check !! `date`" > /tmp/$MYFILENAME
/usr/sbin/aide --check > /tmp/myAide.txt
/bin/cat /tmp/myAide.txt|/bin/grep -v failed >> /tmp/$MYFILENAME
/bin/echo "**************************************" >> /tmp/$MYFILENAME
/usr/bin/tail -20 /tmp/myAide.txt >> /tmp/$MYFILENAME
/bin/echo "****************DONE******************" >> /tmp/$MYFILENAME
/bin/mail -s"$MYFILENAME `date`" bob.aiello@ieee.org < /tmp/$MYFILENAME
最后步骤
您还可以修改/etc/aide.conf以配置高级设置,例如包括或排除特定目录。 由于自动安装的/etc/aide.conf版本具有最常见的设置,因此SysAdmins修改此文件相对不常见。
概要
使用DigitalOcean VPS创建安全稳健的网站需要一种全面的信息安全方法,包括跟踪系统和应用程序基线的更改。 使用Aide是一个伟大的第一步,将帮助您了解对您的系统所做的更改,以及识别通过恶意或人为错误发生的未经授权的更改。 在以后的文章中,我们将介绍您可以采取哪些其他步骤来创建安全的受信任的基础。 安装Aide并每天使用它将帮助您开始管理您的DigitalOcean VPS!
