Phenquestions
I motsetning til disse inntrengingsdeteksjonssystemene (vanligvis referert til som IDS), sjekker Advanced Intrusion Detection Environment (kjent som AIDE) for filintegritet ved å sammenligne systemfilinformasjonen og attributtene med en opprinnelig opprettet database.
Først oppretter den databasen over det sunne systemet for senere å sammenligne integriteten ved hjelp av algoritmene sha1, rmd160, tiger, crc32, sha256, sha512, boblebad med valgfrie integrasjoner for gost, haval og cr32b. Selvfølgelig støtter AIDE fjernovervåking.
Sammen med filinformasjon sjekker AIDE for filattributter som filtype, tillatelser, GID, UID, størrelse, lenkenavn, antall blokkeringer, antall lenker, mtime, ctime og atime og attributter generert av XAttrs, SELinux, Posix ACL og utvidet. Med AIDE er det mulig å spesifisere filer og kataloger som skal ekskluderes eller inkluderes i overvåkingsoppgaver.
Konfigurer og konfigurer: Installer Advanced Intrusion Detection Environment på Debian
For å starte med å installere AIDE på Debian og avledede Linux-distribusjoner:
# apt install aide-common -y
Etter å ha installert AIDE, er det første trinnet å følge å lage en database på helsesystemet ditt som skal kontrasteres med øyeblikksbilder for å bekrefte filens integritet.
Slik bygger du den første databasekjøringen:
# sudo aideinit
Merk: Hvis du hadde en tidligere database, vil AIDE overskrive den (forespørsel om bekreftelse), anbefales det å gjøre en bekreftelse før du fortsetter.
Denne prosessen kan vare lange minutter til den viser utdataene du kan se nedenfor
Som du kan se ble databasen generert på / var / lib / aide / aide.db.ny, i katalogen / var / lib / aide / du vil også se en fil som heter assistent.db:
Hvis utgangen er 0, fant AIDE ikke problemer. Hvis flaggkontrollen brukes, er den mulige utgangsbetydningen:
1 = Nye filer ble funnet i systemet.
2 = Filer ble fjernet fra systemet.
4 = Filer i systemet fikk endringer.
14 = Feil ved skrivefeil.
15 = Ugyldig argumentfeil.
16 = Ikke implementert funksjonsfeil.
17 = Ugyldig konfigurasjonsfeil.
18 = I / O-feil.
19 = Feil ved versjonsfeil.
AIDE-alternativer og parametere inkluderer:
-i det eller -Jeg: dette alternativet initialiserer databasen, dette er en obligatorisk utførelse før kontroll, sjekker fungerer ikke hvis databasen ikke ble initialisert først.
-Sjekk eller -C: når dette alternativet brukes, sammenligner AIDE systemfilene med databaseinformasjonen. Dette er standardalternativet som brukes når AIDE kjøres uten opsjoner.
-Oppdater eller -u: dette alternativet brukes til å oppdatere en database.
-sammenligne: dette alternativet brukes til å sammenligne forskjellige databaser, databaser må være definert tidligere i konfigurasjonsfilen.
-konfigurasjonskontroll eller -D: dette alternativet er nyttig for å finne feil i konfigurasjonsfilen, ved å legge til denne kommandoen vil AIDE bare lese konfigurasjonen uten å fortsette prosessen med filkontroll.
-config eller -c = denne parameteren er nyttig for å spesifisere annen konfigurasjonsfil enn aide.konf.
-før eller -B = legg til konfigurasjonsparametere før du leser konfigurasjonsfilen.
-etter eller -EN = legg til konfigurasjonsparametere etter å ha lest konfigurasjonsfilen.
-utdypende eller -V = med denne kommandoen kan du spesifisere detaljnivået som kan defineres mellom 0 og 255.
-rapportere eller -r = med dette alternativet kan du sende AIDEs resultatrapport til andre destinasjoner, du kan gjenta dette alternativet og instruere AIDE om å sende rapporter til forskjellige destinasjoner.
Du kan få ytterligere informasjon om disse og flere AIDE-kommandoer og alternativer på mannssiden.
AIDE-konfigurasjonsfil:
AIDEs konfigurasjon gjøres på konfigurasjonsfilen i / etc / aide.conf, derfra kan du definere AIDEs atferd, nedenfor har du noen av de mest populære alternativene forklart:
Linjene i konfigurasjonsfilen inkluderer blant flere funksjoner:
database_out: her kan du spesifisere den nye db-plasseringen. Mens du kan definere flere destinasjoner når du starter kommandoen, kan du i denne konfigurasjonsfilen bare angi en url.
database_new: kilde db url når man sammenligner databaser.
database_attrs: Sjekksum
database_add_metadata: legge til tilleggsinformasjon som kommentarer som db-tidsopprettelse osv.
utdypende: her kan du legge inn en verdi mellom 0 og 255 for å definere detaljnivået.
report_url: url som definerer utgangssted.
report_quiet: hopper over utdata hvis ingen forskjeller ble funnet.
gzip_dbout: her kan du definere om db skal komprimeres (avhenger av zlib).
warn_dead_symlinks: definere om døde symlinker skal rapporteres eller ikke.
gruppert: gruppefiler som angivelig har fått endringer.
Flere instruksjoner om konfigurasjonsfilalternativene er tilgjengelige på https: // linux.dø.nett / mann / 5 / medhjelper.konf.
Jeg håper du fant denne artikkelen om oppsett og konfigurering av Debian Linux Install Advanced Avansert inntrengingsdeteksjonsmiljø nyttig. Fortsett å følge LinuxHint for flere tips og oppdateringer om Linux og nettverk.
