Phenquestions
На відміну від цих систем виявлення вторгнень (зазвичай їх називають IDS), розширене середовище виявлення вторгнень (відоме як AIDE) перевіряє цілісність файлів, порівнюючи інформацію та атрибути системних файлів із базою даних, спочатку створеною.
Спочатку він створює базу даних здорової системи для подальшого порівняння цілісності за допомогою алгоритмів sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool з необов’язковими інтеграціями для gost, haval та cr32b. Звичайно, AIDE підтримує віддалений моніторинг.
Разом із інформацією про файли AIDE перевіряє такі атрибути файлів, як тип файлу, дозволи, GID, UID, розмір, ім'я посилання, кількість блоків, кількість посилань, mtime, ctime та atime та атрибути, створені XAttrs, SELinux, Posix ACL та розширений. За допомогою AIDE можна вказати файли та каталоги, які потрібно виключити або включити до завдань моніторингу.
Налаштування та налаштування: Встановіть розширене середовище виявлення вторгнень на Debian
Для початку встановіть AIDE на Debian та похідні дистрибутиви Linux, запустіть:
# apt встановити aide-common -y
Після встановлення AIDE першим кроком, який слід виконати, є створення бази даних у вашій системі охорони здоров’я для порівняння зі знімками для перевірки цілісності файлів.
Щоб побудувати початковий запуск бази даних:
# sudo aideinit
Примітка: якщо у вас була попередня база даних, AIDE перезапише її (попередній запит на підтвердження), рекомендується провести перевірку перед тим, як продовжити.
Цей процес може тривати довгі хвилини, поки не буде показаний результат, який ви можете побачити нижче
Як бачите, база даних була створена за адресою / var / lib / aide / aide.дб.новий, у межах каталогу / var / lib / aide / ви також побачите файл із назвою помічник.дб:
Якщо вихід 0 AIDE, не виявив проблем. Якщо застосовано прапорець-check, тоді можливими значеннями виводу є:
1 = В системі знайдено нові файли.
2 = Файли видалено з системи.
4 = Файли в системі зазнали змін.
14 = Помилка під час написання.
15 = Недійсна помилка аргументу.
16 = Невиконана помилка функції.
17 = Недійсна помилка конфігураційного рядка.
18 = помилка вводу-виводу.
19 = Помилка невідповідності версії.
Параметри та параметри AIDE включають:
-у цьому або -i: цей параметр ініціалізує базу даних, це обов’язкове виконання перед будь-якою перевіркою, перевірки не працюватимуть, якщо база даних не була ініціалізована першою.
-перевірити або -C: при застосуванні цієї опції AIDE порівнює системні файли з інформацією бази даних. Це опція за замовчуванням, що застосовується, коли AIDE виконується без опцій.
-оновлення або -u: цей параметр використовується для оновлення бази даних.
-порівняти: цей параметр використовується для порівняння різних баз даних, бази даних повинні бути попередньо визначені у файлі конфігурації.
-config-check або -D: цей параметр корисний для пошуку помилок у файлі конфігурації, додавши цю команду, AIDE буде лише читати конфігурацію, не продовжуючи процес із перевіркою файлів.
-конфігурація або -c = цей параметр корисний для вказівки іншого файлу конфігурації, крім допоміжного.конф.
-раніше або -B = додати параметри конфігурації перед читанням конфігураційного файлу.
-після або -A = додати параметри конфігурації після прочитання конфігураційного файлу.
-багатослівний або -V = за допомогою цієї команди ви можете вказати рівень деталізації, який можна визначити від 0 до 255.
-доповідь або -р = за допомогою цієї опції ви можете надсилати звіт про результати AIDE в інші пункти призначення, ви можете повторити цю опцію, вказуючи AIDE надсилати звіти в різні пункти призначення.
Ви можете отримати додаткову інформацію про ці та інші команди та опції AIDE на сторінці користувача.
Файл конфігурації AIDE:
Налаштування AIDE виконується у файлі конфігурації, що знаходиться в / etc / aide.conf, звідти ви можете визначити поведінку AIDE, нижче наведено деякі з найпопулярніших варіантів:
Рядки у файлі конфігурації включають серед інших функціональних можливостей:
database_out: тут ви можете вказати нове розташування db. Хоча під час запуску команди ви можете визначити декілька пунктів призначення, у цьому конфігураційному файлі ви можете встановити лише одну URL-адресу.
database_new: db url джерела при порівнянні баз даних.
data_attrs: Контрольна сума
database_add_metadata: додати додаткову інформацію як коментарі, такі як створення часу db тощо.
багатослівний: тут ви можете ввести значення від 0 до 255, щоб визначити рівень деталізації.
report_url: url, що визначає вихідне розташування.
report_quiet: пропускає вихід, якщо відмінностей не виявлено.
gzip_dbout: тут ви можете визначити, чи слід стискати db (залежить від zlib).
warn_dead_symlinks: визначити, чи слід повідомляти про мертві посилання.
згруповані: групувати файли, які, як повідомляється, зазнали змін.
Додаткові вказівки щодо параметрів файлу конфігурації доступні на https: // linux.померти.net / man / 5 / aide.конф.
Сподіваюся, ця стаття про Налаштування та налаштування Debian Linux Install Advanced Intrusion Detection Environment виявилася вам корисною. Продовжуйте слідкувати за LinuxHint, щоб отримати додаткові поради та оновлення щодо Linux та мереж.
