Ezekkel a behatolás-észlelő rendszerekkel (általában IDS néven) az Advanced Intrusion Detection Environment (AIDE néven ismert) ellenőrzi a fájlok integritását, összehasonlítva a rendszerfájlok adatait és attribútumait egy eredetileg létrehozott adatbázissal.
Először létrehozza az egészséges rendszer adatbázisát, hogy később összehasonlítsa az integritást a sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool algoritmusok opcionális integrációival a gost, a haval és a cr32b. Természetesen az AIDE támogatja a távfelügyeletet.
A fájlokkal kapcsolatos információkkal együtt az AIDE ellenőrzi a fájlattribútumokat, például a fájltípust, az engedélyeket, a GID, az UID-t, a méretet, a link nevét, a blokkok számát, a linkek számát, az mtime, a ctime és az atime, valamint az XAttrs által generált attribútumokat, SELinux, Posix ACL és Extended. Az AIDE segítségével megadhatók azok a fájlok és könyvtárak, amelyeket ki kell zárni vagy be kell vonni a felügyeleti feladatokba.
Beállítás és konfigurálás: Telepítse az Advanced Intrusion Detection Environment alkalmazást a Debianra
Először az AIDE telepítésével a Debianra és a futó Linux disztribúciókra:
# apt install aide-common -y
Az AIDE telepítése után az első lépés az adatbázis létrehozása az egészségügyi rendszeren, amelyet szembe kell állítani a pillanatképekkel a fájlok integritásának ellenőrzése érdekében.
A kezdeti adatbázisfuttatás felépítése:
# sudo aideinit
Jegyzet: ha volt korábbi adatbázisa, akkor az AIDE felülírja (előzetes megerősítési kérelem), a folytatás előtt ajánlott ellenőrizni.
Ez a folyamat hosszú percekig tarthat, amíg meg nem jeleníti az alább látható kimenetet
Amint láthatja, az adatbázis a / var / lib / aide / aide könyvtárban jött létre.db.új, a könyvtáron belül / var / lib / aide / nevű fájlt is látni fogja segéd.db:
# segéd.burkoló -c / etc / aide / aide.conf --ellenőrizze
Ha a kimenet 0, AIDE nem talált problémát. Ha a flag-ellenőrzést alkalmazzuk, akkor a lehetséges kimeneti jelentések a következők:
1 = Új fájlok találhatók a rendszerben.
2 = A fájlokat eltávolították a rendszerből.
4 = A rendszer fájljai megváltoztak.
14 = Hiba írási hiba.
15 = Érvénytelen argumentumhiba.
16 = Nem megvalósított függvényhiba.
17 = Érvénytelen konfigurációs hiba.
18 = I / O hiba.
19 = Verzió-eltérési hiba.
Az AIDE opciói és paraméterei a következők:
-benne vagy -én: ez az opció inicializálja az adatbázist, ez minden ellenőrzés előtt kötelező végrehajtás, az ellenőrzések nem működnek, ha az adatbázist nem először inicializálták.
-jelölje be vagy -C: ennek az opciónak az alkalmazásakor az AIDE összehasonlítja a rendszerfájlokat az adatbázis információival. Ez az alapértelmezett beállítás, amelyet az AIDE opciók nélküli végrehajtásakor alkalmaznak.
-frissítés vagy -u: ez az opció az adatbázis frissítésére szolgál.
-hasonlítsa össze: ez az opció a különböző adatbázisok összehasonlítására szolgál, az adatbázisokat korábban meg kell adni a konfigurációs fájlban.
-config-check vagy -D: ez az opció hasznos a hibák megtalálásához a konfigurációs fájlban, ennek a parancsnak a hozzáadásával az AIDE csak akkor olvassa el a konfigurációt, hogy a folyamatot nem folytatja fájlellenőrzéssel.
-konfig vagy -c = ez a paraméter hasznos a segédprogramtól eltérő konfigurációs fájl megadásához.konf.
-előtt vagy -B = adjon hozzá konfigurációs paramétereket a konfigurációs fájl elolvasása előtt.
-utána vagy -A = konfigurációs paraméterek hozzáadása a konfigurációs fájl elolvasása után.
-bőbeszédű vagy -V = ezzel a paranccsal megadhatja azt a részletességi szintet, amely 0 és 255 között definiálható.
-jelentés vagy -r = ezzel az opcióval elküldheti az AIDE eredményjelentését más célállomásokra, megismételheti ezt az opciót, utasítva az AIDE-t, hogy küldjön jelentéseket különböző célállomásokra.
Ezekről és további AIDE parancsokról és opciókról további információkat kaphat a man oldalon.
AIDE konfigurációs fájl:
Az AIDE konfigurálása az / etc / aide könyvtárban található konfigurációs fájlon történik.conf, onnan határozhatja meg az AIDE viselkedését, az alábbiakban bemutatja a legnépszerűbb lehetőségeket:
A konfigurációs fájl sorai több funkciót tartalmaznak:
database_out: itt megadhatja az új db helyet. Míg a parancs elindításakor több rendeltetési helyet is meghatározhat, ebben a konfigurációs fájlban csak egy URL-t állíthat be.
database_new: forrás db url az adatbázisok összehasonlításakor.
database_attrs: Ellenőrző összeg
database_add_metadata: adjon meg további információkat, például megjegyzéseket, például a db idő létrehozása stb.
bőbeszédű: itt 0 és 255 közötti értéket adhat meg a részletességi szint meghatározásához.
report_url: a kimenet helyét meghatározó URL.
report_quiet: kihagyja a kimenetet, ha nem találtak különbséget.
gzip_dbout: itt megadhatod, hogy a db-t tömöríteni kell-e (a zlib-től függ).
warn_dead_symlinks: határozza meg, hogy be kell-e jelenteni az elhunyt hivatkozásokat vagy sem.
csoportosítva: csoport állományok, amelyek állítólag változásokat szenvedtek el.
További információ a konfigurációs fájl beállításairól a következő címen érhető el: https: // linux.meghal.net / ember / 5 / segéd.konf.
Remélem, hasznosnak találta ezt a cikket a Debian Linux Install Advanced Intrusion Detection Environment telepítéséről és konfigurálásáról. Kövesse a LinuxHint alkalmazást, ha további tippeket és frissítéseket szeretne kapni a Linuxról és a hálózatról.