Phenquestions
Suprotno tim sustavima za otkrivanje upada (obično se nazivaju IDS), Napredno okruženje za otkrivanje provala (poznato kao AIDE) provjerava cjelovitost datoteka uspoređujući podatke o sistemskim datotekama i atributima s bazom podataka koja je prvobitno kreirana.
Prvo stvara bazu podataka zdravog sustava da bi kasnije usporedio integritet pomoću algoritama sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool s opcijskim integracijama za gost, haval i cr32b. Naravno, AIDE podržava daljinski nadzor.
Zajedno s podacima o datotekama AIDE provjerava atribute datoteka kao što su vrsta datoteke, dopuštenja, GID, UID, veličina, naziv veze, broj blokova, broj veza, mtime, ctime i atime te atributi generirani od XAttrs, SELinux, Posix ACL i prošireni. Pomoću AIDE moguće je odrediti datoteke i direktorije koje će se izuzeti ili uključiti u zadatke nadzora.
Postavljanje i konfiguriranje: Instalirajte Napredno okruženje za otkrivanje upada na Debian
Za početak instaliranjem AIDE na Debian i izvedenim Linux distribucijama pokrenite:
# apt instalirati aide-common -y
Nakon instalacije AIDE, prvi korak koji treba slijediti je stvaranje baze podataka na vašem zdravstvenom sustavu koja će se usporediti sa snimkama radi provjere integriteta datoteka.
Da biste izgradili početno pokretanje baze podataka:
# sudo aideinit
Bilješka: ako ste imali prethodnu bazu podataka, AIDE će je prebrisati (prethodni zahtjev za potvrdu), preporučuje se provjera prije nego što nastavite.
Ovaj postupak može trajati dugo minuta dok se ne prikaže izlaz koji možete vidjeti u nastavku
Kao što vidite, baza podataka generirana je na / var / lib / aide / aide.db.novo, unutar direktorija / var / lib / aide / vidjet ćete i datoteku pod nazivom pomoćnik.db:
Ako je izlaz 0 AIDE, nije našao problema. Ako se primijeni provjera zastavice, mogući izlazi koji znače su:
1 = U sustavu su pronađene nove datoteke.
2 = Datoteke su uklonjene iz sustava.
4 = Datoteke u sustavu pretrpjele su promjene.
14 = Pogreška pri pisanju pogreške.
15 = Neispravna pogreška argumenta.
16 = Neprovedena pogreška funkcije.
17 = Neispravna pogreška konfiguracijske linije.
18 = I / O pogreška.
19 = Pogreška nepodudaranja verzije.
Opcije i parametri AIDE uključuju:
-u tome ili -ja: ova opcija inicijalizira bazu podataka, ovo je obavezno izvršavanje prije bilo kakve provjere, provjere neće raditi ako baza podataka nije prvo inicijalizirana.
-ček ili -C: kada se primijeni ova opcija AIDE uspoređuje sistemske datoteke s informacijama iz baze podataka. Ovo je zadana opcija koja se primjenjuje kada se AIDE izvršava bez opcija.
-ažuriranje ili -u: ova se opcija koristi za ažuriranje baze podataka.
-usporedi: ova se opcija koristi za usporedbu različitih baza podataka, baze podataka moraju biti prethodno definirane u konfiguracijskoj datoteci.
-config-check ili -D: ova je opcija korisna za pronalaženje pogrešaka u konfiguracijskoj datoteci, dodavanjem ove naredbe AIDE će samo čitati konfiguraciju bez nastavka postupka s provjerom datoteka.
-konfiguracija ili -c = ovaj je parametar koristan za specificiranje druge konfiguracijske datoteke osim aide.konf.
-prije ili -B = dodaj konfiguracijske parametre prije čitanja konfiguracijske datoteke.
-nakon ili -A = dodaj konfiguracijske parametre nakon čitanja konfiguracijske datoteke.
-glagolan ili -V = ovom naredbom možete odrediti razinu detaljnosti koja se može definirati između 0 i 255.
-izvješće ili -r = s ovom opcijom možete poslati AIDE-ovo izvješće o rezultatima na druga odredišta, možete ponoviti ovu opciju upućujući AIDE-u da pošalje izvješća na različita odredišta.
Dodatne informacije o tim i više naredbi i opcija AIDE možete dobiti na stranici s uputama.
Datoteka za konfiguraciju AIDE:
Konfiguracija AIDE vrši se na konfiguracijskoj datoteci koja se nalazi u / etc / aide.conf, odatle možete definirati ponašanje AIDE-a, u nastavku su objašnjene neke od najpopularnijih opcija:
Redci u konfiguracijskoj datoteci uključuju, među više funkcionalnosti:
database_out: ovdje možete odrediti novo db mjesto. Iako prilikom pokretanja naredbe možete definirati nekoliko odredišta, u ovoj konfiguracijskoj datoteci možete postaviti samo jedan url.
baza podataka_novo: izvor db url prilikom usporedbe baza podataka.
data_attrs: Kontrolna suma
database_add_metadata: dodati dodatne informacije kao komentare poput db stvaranja vremena itd.
opširno: ovdje možete unijeti vrijednost između 0 i 255 kako biste definirali razinu detaljnosti.
url_ izvještaja: url koji definira izlazno mjesto.
report_quiet: preskače izlaz ako nisu pronađene razlike.
gzip_dbout: ovdje možete definirati treba li komprimirati db (ovisi o zlibu).
warn_dead_symlinks: definirajte treba li prijaviti mrtve simboličke veze ili ne.
grupirano: grupirati datoteke koje su navodno pretrpjele promjene.
Više uputa o opcijama konfiguracijske datoteke dostupno je na https: // linux.umrijeti.net / man / 5 / aide.konf.
Nadam se da vam je ovaj članak o postavljanju i konfiguriranju naprednog okruženja za otkrivanje upada u sustav Debian Linux bio koristan. Nastavite pratiti LinuxHint za više savjeta i ažuriranja o Linuxu i umrežavanju.
