Phenquestions
Противно на тези системи за откриване на проникване (обикновено наричани IDS), разширената среда за откриване на проникване (известна като AIDE) проверява целостта на файловете, като сравнява информацията и атрибутите на системните файлове с първоначално създадена база данни.
Първо създава базата данни на здравата система, за да сравнява по-късно целостта, използвайки алгоритми sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool с незадължителни интеграции за gost, haval и cr32b. Разбира се AIDE поддържа дистанционно наблюдение.
Заедно с информацията за файловете AIDE проверява файлови атрибути като тип файл, разрешения, GID, UID, размер, име на връзка, брой блокове, брой връзки, mtime, ctime и atime и атрибути, генерирани от XAttrs, SELinux, Posix ACL и Extended. С AIDE е възможно да се определят файлове и директории, които да бъдат изключени или включени в задачи за наблюдение.
Настройка и конфигуриране: Инсталирайте разширена среда за откриване на проникване в Debian
За да започнете с инсталиране на AIDE на Debian и извлечени Linux дистрибуции:
# apt инсталирайте aide-common -y
След инсталирането на AIDE, първата стъпка, която трябва да следвате, е да създадете база данни на вашата здравна система, която да бъде сравнена със снимки, за да се провери целостта на файловете.
За да изградите първоначалното изпълнение на базата данни:
# sudo aideinit
Забележка: ако сте имали предишна база данни, AIDE ще я презапише (предварителна заявка за потвърждение), препоръчително е да направите проверка, преди да продължите.
Този процес може да продължи дълги минути, докато покаже изхода, който можете да видите по-долу
Както можете да видите базата данни е генерирана в / var / lib / aide / aide.db.ново, в директорията / var / lib / aide / ще видите и файл с име помощник.db:
Ако изходът е 0 AIDE не е намерил проблеми. Ако флагът -check е приложен, тогава възможните изходи в смисъл са:
1 = В системата бяха намерени нови файлове.
2 = Файловете бяха премахнати от системата.
4 = Файловете в системата претърпяха промени.
14 = Грешка при писане на грешка.
15 = Грешка в невалиден аргумент.
16 = Неприложена функционална грешка.
17 = Невалидна грешка в конфигурационната линия.
18 = I / O грешка.
19 = Грешка при несъответствие на версията.
Опциите и параметрите на AIDE включват:
-в него или -i: тази опция инициализира базата данни, това е задължително изпълнение преди всяка проверка, проверките няма да работят, ако базата данни не е била инициализирана първо.
-проверете или -° С: когато се прилага тази опция AIDE сравнява системните файлове с информацията в базата данни. Това е опцията по подразбиране, приложена, когато AIDE се изпълнява без опции.
-актуализиране или -u: тази опция се използва за актуализиране на база данни.
-сравнете: тази опция се използва за сравняване на различни бази данни, базите данни трябва да бъдат предварително дефинирани в конфигурационния файл.
-config-check или -д: тази опция е полезна за намиране на грешки в конфигурационния файл, като добавите тази команда AIDE само ще прочете конфигурацията, без да продължи процеса с проверка на файлове.
-конфиг или -° С = този параметър е полезен за задаване на друг конфигурационен файл освен помощник.конф.
-преди или -Б = добавете конфигурационни параметри, преди да прочетете конфигурационния файл.
-след или -A = добавете конфигурационни параметри след четене на конфигурационния файл.
-многословен или -V = с тази команда можете да зададете ниво на многословност, което може да бъде определено между 0 и 255.
-доклад или -r = с тази опция можете да изпратите отчета за резултатите на AIDE до други дестинации, можете да повторите тази опция, като инструктирате AIDE да изпраща отчети до различни дестинации.
Можете да получите допълнителна информация за тези и повече AIDE команди и опции в ръководството.
AIDE конфигурационен файл:
Конфигурирането на AIDE се извършва в конфигурационния файл, намиращ се в / etc / aide.conf, оттам можете да определите поведението на AIDE, по-долу са обяснени някои от най-популярните опции:
Редовете в конфигурационния файл включват, сред повече функционалности:
database_out: тук можете да посочите новото db местоположение. Въпреки че можете да дефинирате няколко дестинации при стартиране на командата, в този конфигурационен файл можете да зададете само един url.
database_new: източник db url при сравняване на бази данни.
data_attrs: Контролна сума
database_add_metadata: добавете допълнителна информация като коментари като създаване на db време и т.н.
многословен: тук можете да въведете стойност между 0 и 255, за да определите нивото на многословност.
report_url: url, определящ изходното местоположение.
report_quiet: прескача изхода, ако не са открити разлики.
gzip_dbout: тук можете да определите дали db трябва да се компресира (зависи от zlib).
warn_dead_symlinks: дефинирайте дали мъртвите символни връзки трябва да бъдат докладвани или не.
групирани: групови файлове, които според съобщенията са претърпели промени.
Повече инструкции за опциите на конфигурационния файл са налични на https: // linux.умре.net / man / 5 / aide.конф.
Надявам се, че тази статия за настройка и конфигуриране на Debian Linux Install Advanced Intrusion Detection Environment ви е била полезна. Продължавайте да следвате LinuxHint за още съвети и актуализации за Linux и мрежи.
