Na rozdiel od týchto systémov detekcie narušenia totožnosti (zvyčajne sa označuje ako IDS), prostredie Advanced Intrusion Detection Environment (známe ako AIDE) kontroluje integritu súborov porovnaním informácií a atribútov systémových súborov s pôvodne vytvorenou databázou.
Najskôr vytvorí databázu zdravého systému na neskoršie porovnanie integrity pomocou algoritmov sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool s voliteľnými integráciami pre gost, haval a cr32b. AIDE samozrejme podporuje vzdialené monitorovanie.
Spolu s informáciami o súboroch AIDE kontroluje atribúty súborov, ako sú typ súboru, povolenia, GID, UID, veľkosť, názov odkazu, počet blokov, počet odkazov, mtime, ctime a atime a atribúty generované XAttrs, SELinux, Posix ACL a Extended. Pomocou AIDE je možné určiť súbory a adresáre, ktoré sa majú vylúčiť alebo zahrnúť do monitorovacích úloh.
Inštalácia a konfigurácia: Nainštalujte si na Debian prostredie Advanced Intrusion Detection Environment
Ak chcete začať inštaláciou AIDE na Debian a odvodené distribúcie Linuxu, postupujte takto:
# apt nainštalujte aide-common -y
Po inštalácii AIDE je prvým krokom vytvorenie databázy vo vašom systéme zdravotníctva, ktorá sa porovná so snímkami na overenie integrity súborov.
Postup vytvorenia počiatočného spustenia databázy:
# sudo aideinit
Poznámka: ak ste mali predchádzajúcu databázu, AIDE ju prepíše (predchádzajúca žiadosť o potvrdenie), odporúča sa pred pokračovaním vykonať overenie.
Tento proces môže trvať dlhé minúty, kým sa nezobrazí výstup, ktorý vidíte nižšie
Ako vidíte, databáza bola vygenerovaná na adrese / var / lib / aide / aide.db.nové, v adresári / var / lib / aide / uvidíte tiež súbor s názvom pobočník.db:
# pobočník.zavinovačka -c / etc / aide / aide.conf - skontrolovať
Ak je výstup 0, AIDE nenašiel problémy. Ak sa použije príznak -check, potom sú možné tieto výstupy:
1 = V systéme boli nájdené nové súbory.
2 = Súbory boli odstránené zo systému.
4 = Súbory v systéme prešli zmenami.
14 = Chyba pri zápise.
15 = Neplatná chyba argumentu.
16 = Neimplementovaná funkčná chyba.
17 = neplatná chyba konfigurácie.
18 = I / O chyba.
19 = Chyba nezhody verzie.
Možnosti a parametre AIDE zahŕňajú:
-init alebo -i: táto možnosť inicializuje databázu, jedná sa o povinné vykonanie pred každou kontrolou, kontroly nebudú fungovať, ak databáza nebola inicializovaná ako prvá.
-skontrolovať alebo -C: pri použití tejto možnosti AIDE porovnáva systémové súbory s informáciami o databáze. Toto je predvolená možnosť, ktorá sa použije, keď sa AIDE vykoná bez možností.
-aktualizovať alebo -u: táto možnosť sa používa na aktualizáciu databázy.
-porovnaj: táto možnosť sa používa na porovnanie rôznych databáz, databázy musia byť predtým definované v konfiguračnom súbore.
-kontrola konfigurácie alebo -D: táto voľba je užitočná na vyhľadanie chýb v konfiguračnom súbore. Pridaním tohto príkazu AIDE prečíta konfiguráciu iba bez pokračovania procesu s kontrolou súborov.
-konfigur alebo -c = tento parameter je užitočný na zadanie iného konfiguračného súboru ako aide.konf.
-predtým alebo -B = pridať konfiguračné parametre pred načítaním konfiguračného súboru.
-po alebo -A = pridať konfiguračné parametre po prečítaní konfiguračného súboru.
-podrobné alebo -V = pomocou tohto príkazu môžete určiť úroveň výrečnosti, ktorú je možné definovať medzi 0 a 255.
-správa alebo -r = s touto voľbou môžete posielať správy o výsledkoch AIDE do iných cieľov, môžete opakovať túto voľbu a dať AIDE pokyn, aby zasielali správy do rôznych cieľov.
Ďalšie informácie o týchto a ďalších príkazoch a možnostiach AIDE nájdete na manuálovej stránke.
Konfiguračný súbor AIDE:
Konfigurácia AIDE sa vykonáva v konfiguračnom súbore umiestnenom v priečinku / etc / aide.conf, odtiaľ môžete definovať správanie AIDE, nižšie máte vysvetlené niektoré z najpopulárnejších možností:
Riadky v konfiguračnom súbore zahŕňajú okrem ďalších funkcií aj:
database_out: tu môžete určiť nové umiestnenie db. Aj keď pri spustení príkazu môžete definovať niekoľko cieľov, v tomto konfiguračnom súbore môžete nastaviť iba jednu adresu URL.
database_new: zdrojová adresa URL pri porovnávaní databáz.
database_attrs: Kontrolný súčet
database_add_metadata: pridať ďalšie informácie ako komentáre, ako je tvorba času db atď.
podrobné: tu môžete zadať hodnotu od 0 do 255, aby ste určili úroveň výrečnosti.
report_url: url definujúca umiestnenie výstupu.
report_quiet: preskočí výstup, ak sa nenašli rozdiely.
gzip_dbout: tu môžete definovať, či má byť db komprimovaný (záleží na zlib).
warn_dead_symlinks: definujte, či sa majú hlásiť mŕtve symbolické odkazy alebo nie.
zoskupené: skupinové súbory, ktoré údajne utrpeli zmeny.
Ďalšie pokyny k možnostiam konfiguračného súboru sú k dispozícii na stránke https: // linux.zomrieť.net / man / 5 / aide.konf.
Dúfam, že vám bol tento článok o Inštalácii a konfigurácii Debianu Inštalácia systému Linux Inštalácia prostredia pokročilého zisťovania narušenia užitočný. Postupujte podľa pokynov pre systém LinuxHint, kde nájdete ďalšie tipy a aktualizácie pre systém Linux a prácu v sieti.