Phenquestions
Na rozdíl od těchto systémů detekce narušení (obvykle označovaných jako IDS), prostředí Advanced Intrusion Detection Environment (známé jako AIDE) kontroluje integritu souborů porovnáním informací a atributů systémových souborů s původně vytvořenou databází.
Nejprve vytvoří databázi zdravého systému pro pozdější porovnání integrity pomocí algoritmů sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool s volitelnou integrací pro gost, haval a cr32b. AIDE samozřejmě podporuje vzdálené monitorování.
Spolu s informacemi o souborech AIDE kontroluje atributy souborů, jako je typ souboru, oprávnění, GID, UID, velikost, název odkazu, počet bloků, počet odkazů, mtime, ctime a atime a atributy generované XAttrs, SELinux, Posix ACL a Extended. Pomocí AIDE je možné určit soubory a adresáře, které mají být vyloučeny nebo zahrnuty do monitorovacích úkolů.
Nastavení a konfigurace: Nainstalujte si na Debian prostředí Advanced Intrusion Detection Environment
Chcete-li začít instalací AIDE na spuštěné distribuce Debian a odvozené Linux:
# apt nainstalovat aide-common -y
Po instalaci AIDE je prvním krokem vytvoření databáze ve vašem zdravotním systému, která bude porovnána se snímky pro ověření integrity souborů.
Postup vytvoření počátečního spuštění databáze:
# sudo aideinit
Poznámka: pokud jste měli předchozí databázi, AIDE ji přepíše (předchozí požadavek na potvrzení), doporučuje se provést ověření před pokračováním.
Tento proces může trvat dlouhé minuty, dokud se nezobrazí výstup, který vidíte níže
Jak vidíte, databáze byla vygenerována na / var / lib / aide / aide.db.nový, v adresáři / var / lib / aide / uvidíte také soubor s názvem pobočník.db:
Pokud je výstup 0, AIDE nenašel problémy. Pokud je použita kontrola příznaků, pak jsou možné významy výstupů:
1 = V systému byly nalezeny nové soubory.
2 = Soubory byly odstraněny ze systému.
4 = Soubory v systému utrpěly změny.
14 = Chyba při psaní.
15 = Neplatná chyba argumentu.
16 = Neimplementovaná chyba funkce.
17 = Neplatná chyba konfigurace.
18 = I / O chyba.
19 = Chyba neshody verzí.
Možnosti a parametry AIDE zahrnují:
-inic nebo -i: tato možnost inicializuje databázi, jedná se o povinné provedení před jakoukoli kontrolou, kontroly nebudou fungovat, pokud databáze nebyla inicializována jako první.
-šek nebo -C: při použití této možnosti AIDE porovnává systémové soubory s informacemi o databázi. Toto je výchozí volba, která se použije, když se AIDE provede bez voleb.
-Aktualizace nebo -u: tato možnost se používá k aktualizaci databáze.
-porovnat: tato možnost se používá k porovnání různých databází, databáze musí být předem definovány v konfiguračním souboru.
-kontrola konfigurace nebo -D: tato možnost je užitečná k vyhledání chyb v konfiguračním souboru, přidáním tohoto příkazu AIDE načte konfiguraci pouze bez pokračování procesu s kontrolou souborů.
-konfigurace nebo -C = tento parametr je užitečný k určení jiného konfiguračního souboru než aide.konf.
-před nebo -B = přidat konfigurační parametry před čtením konfiguračního souboru.
-po nebo -A = přidat konfigurační parametry po přečtení konfiguračního souboru.
-podrobně nebo -PROTI = tímto příkazem můžete určit úroveň výřečnosti, kterou lze definovat mezi 0 a 255.
-zpráva nebo -r = s touto možností můžete posílat zprávy o výsledcích AIDE do jiných cílů, můžete opakovat tuto možnost a instruovat AIDE, aby posílala zprávy do různých cílů.
Další informace o těchto a dalších příkazech a volbách AIDE najdete na manuálové stránce.
Konfigurační soubor AIDE:
Konfigurace AIDE se provádí v konfiguračním souboru umístěném v / etc / aide.conf, odtud můžete definovat chování AIDE, níže máte vysvětleny některé z nejpopulárnějších možností:
Řádky v konfiguračním souboru zahrnují mimo jiné další funkce:
database_out: zde můžete zadat nové umístění db. I když můžete při spuštění příkazu definovat několik cílů, v tomto konfiguračním souboru můžete nastavit pouze jednu adresu URL.
nová_databáze: zdrojová URL při porovnávání databází.
database_attrs: Kontrolní součet
database_add_metadata: přidejte další informace jako komentáře, jako je tvorba času db atd.
podrobné: zde můžete zadat hodnotu mezi 0 a 255 k definování úrovně výřečnosti.
report_url: url definující umístění výstupu.
report_quiet: přeskočí výstup, pokud nebyly nalezeny žádné rozdíly.
gzip_dbout: zde můžete definovat, zda má být db komprimován (záleží na zlib).
warn_dead_symlinks: definujte, zda mají být hlášeny mrtvé symbolické odkazy nebo ne.
seskupeno: skupinové soubory, které údajně utrpěly změny.
Další pokyny k možnostem konfiguračního souboru jsou k dispozici na adrese https: // linux.zemřít.net / man / 5 / aide.konf.
Doufám, že vám tento článek o instalaci a konfiguraci systému Debian Linux Install Advanced Intrusion Detection Environment připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.
