Phenquestions
W przeciwieństwie do tych systemów wykrywania włamań (zwykle określanych jako IDS), Advanced Intrusion Detection Environment (znany jako AIDE) sprawdza integralność plików, porównując informacje i atrybuty plików systemowych z pierwotnie utworzoną bazą danych.
Najpierw tworzy bazę danych zdrowego systemu, aby później porównać integralność za pomocą algorytmów sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool z opcjonalnymi integracjami dla gost, haval i cr32b. Oczywiście AIDE obsługuje zdalne monitorowanie.
Wraz z informacjami o plikach AIDE sprawdza atrybuty plików, takie jak typ pliku, uprawnienia, GID, UID, rozmiar, nazwa linku, liczba bloków, liczba linków, mtime, ctime i atime oraz atrybuty generowane przez XAttrs, SELinux, Posix ACL i Rozszerzone. Dzięki AIDE można określić pliki i katalogi, które mają być wykluczone lub uwzględnione w zadaniach monitorowania.
Instalacja i konfiguracja: Zainstaluj zaawansowane środowisko wykrywania włamań na Debianie
Aby rozpocząć od zainstalowania AIDE na Debianie i pochodnych dystrybucjach Linuksa uruchom:
# apt install aide-common -y
Po zainstalowaniu AIDE pierwszym krokiem do wykonania jest utworzenie bazy danych w systemie opieki zdrowotnej, która będzie skonfrontowana z migawkami w celu zweryfikowania integralności plików.
Aby zbudować początkowe uruchomienie bazy danych:
# sudo aideinit
Uwaga: jeśli miałeś poprzednią bazę danych, AIDE ją nadpisze (wcześniejsze żądanie potwierdzenia), zaleca się przeprowadzenie weryfikacji przed kontynuowaniem.
Ten proces może potrwać długie minuty, dopóki nie zostanie wyświetlony wynik, który możesz zobaczyć poniżej
Jak widać baza danych została wygenerowana w /var/lib/aide/aide.db.nowy, w katalogu /var/lib/pomoc/ zobaczysz także plik o nazwie adiutant.db:
Jeśli wyjście to 0, AIDE nie znalazł problemów. Jeśli flaga -check jest zastosowana, możliwe znaczenia wyjść są następujące:
1 = W systemie znaleziono nowe pliki.
2 = Pliki zostały usunięte z systemu.
4 = Pliki w systemie uległy zmianom.
14 = Błąd zapisu błędu.
15 = Błąd nieprawidłowego argumentu.
16 = Błąd niezaimplementowanej funkcji.
17 = Nieprawidłowy błąd konfiguracji.
18 = błąd we/wy.
19 = Błąd niezgodności wersji.
Opcje i parametry AIDE obejmują:
-w tym lub -ja: ta opcja inicjuje bazę danych, jest to obowiązkowe wykonanie przed jakimkolwiek sprawdzeniem, sprawdzenia nie zadziałają, jeśli baza danych nie została najpierw zainicjowana.
-czek lub -do: po zastosowaniu tej opcji AIDE porównuje pliki systemowe z informacjami z bazy danych. Jest to domyślna opcja stosowana, gdy AIDE jest uruchamiane bez opcji.
-aktualizacja lub -ty: ta opcja służy do aktualizacji bazy danych.
-porównać: ta opcja służy do porównywania różnych baz danych, bazy danych muszą być wcześniej zdefiniowane w pliku konfiguracyjnym.
-sprawdzanie konfiguracji lub -re: ta opcja jest przydatna do wyszukiwania błędów w pliku konfiguracyjnym, dodając to polecenie AIDE tylko odczyta konfigurację bez kontynuowania procesu sprawdzania plików.
-konfiguracja lub -do = ten parametr jest przydatny do określenia innego pliku konfiguracyjnego niż aide.konf.
-przed lub -b = dodaj parametry konfiguracyjne przed odczytaniem pliku konfiguracyjnego.
-po lub -ZA = dodaj parametry konfiguracyjne po odczytaniu pliku konfiguracyjnego.
-gadatliwy lub -V = za pomocą tego polecenia możesz określić poziom szczegółowości, który można zdefiniować w zakresie od 0 do 255.
-raport lub -r = za pomocą tej opcji możesz wysłać raport wyników AIDE do innych miejsc docelowych, możesz powtórzyć tę opcję, nakazując AIDE wysyłanie raportów do różnych miejsc docelowych.
Możesz uzyskać dodatkowe informacje na temat tych i innych poleceń i opcji AIDE na stronie podręcznika.
Plik konfiguracyjny AIDE:
Konfiguracja AIDE odbywa się w pliku konfiguracyjnym znajdującym się w /etc/aide.conf, stamtąd możesz zdefiniować zachowanie AIDE, poniżej wyjaśniono niektóre z najpopularniejszych opcji:
Wiersze w pliku konfiguracyjnym obejmują między innymi:
database_out: tutaj możesz określić nową lokalizację bazy danych. Chociaż możesz zdefiniować kilka miejsc docelowych podczas uruchamiania polecenia, w tym pliku konfiguracyjnym możesz ustawić tylko jeden adres URL.
database_new: źródłowy adres URL bazy danych podczas porównywania baz danych.
database_attrs: Suma kontrolna
database_add_metadata: dodaj dodatkowe informacje, takie jak komentarze, takie jak tworzenie czasu db itp.
gadatliwy: tutaj możesz wprowadzić wartość z zakresu od 0 do 255, aby zdefiniować poziom szczegółowości.
report_url: URL określający lokalizację wyjściową.
report_quiet: pomija dane wyjściowe, jeśli nie znaleziono żadnych różnic.
gzip_dout: tutaj możesz określić, czy baza danych powinna być skompresowana (w zależności od zlib).
warn_dead_symlinks: określ, czy martwe dowiązania symboliczne powinny być zgłaszane, czy nie.
zgrupowane: pliki grup, które podobno uległy zmianom.
Więcej instrukcji na temat opcji pliku konfiguracyjnego jest dostępnych na https://linux.umierać.sieć/człowiek/5/doradca.konf.
Mam nadzieję, że ten artykuł na temat instalacji i konfiguracji systemu Debian Linux Install Advanced Intrusion Detection Environment jest przydatny. Śledź LinuxHint, aby uzyskać więcej wskazówek i aktualizacji dotyczących systemu Linux i sieci.
