Phenquestions
Im Gegensatz zu diesen Intrusion Detection-Systemen (normalerweise als IDS bezeichnet) überprüft die Advanced Intrusion Detection Environment (bekannt als AIDE) die Dateiintegrität, indem sie die Systemdateiinformationen und -attribute mit einer ursprünglich erstellten Datenbank vergleicht.
Zuerst erstellt es die Datenbank des gesunden Systems, um später die Integrität mit den Algorithmen sha1, rmd160, tiger, crc32, sha256, sha512, Whirlpool mit optionalen Integrationen für gost, haval und cr32b zu vergleichen. Natürlich unterstützt AIDE die Fernüberwachung.
Zusammen mit den Dateiinformationen prüft AIDE auf Dateiattribute wie Dateityp, Berechtigungen, GID, UID, Größe, Linkname, Blockanzahl, Anzahl der Links, mtime, ctime und atime und von XAttrs generierte Attribute, SELinux, Posix-ACL und erweitert. Mit AIDE ist es möglich, Dateien und Verzeichnisse anzugeben, die von Überwachungsaufgaben ausgeschlossen oder eingeschlossen werden sollen.
Einrichten und konfigurieren: Advanced Intrusion Detection Environment auf Debian installieren
Um mit der Installation von AIDE auf Debian und abgeleiteten Linux-Distributionen zu beginnen, führen Sie Folgendes aus:
# apt install aide-common -y
Nach der Installation von AIDE müssen Sie zunächst eine Datenbank auf Ihrem Gesundheitssystem erstellen, die Snapshots gegenübergestellt wird, um die Integrität der Dateien zu überprüfen.
So erstellen Sie den ersten Datenbanklauf:
# sudo aideinit
Hinweis: Wenn Sie eine vorherige Datenbank hatten, wird AIDE diese überschreiben (vorherige Bestätigungsanfrage), es wird empfohlen, eine Überprüfung durchzuführen, bevor Sie fortfahren.
Dieser Vorgang kann einige Minuten dauern, bis die Ausgabe angezeigt wird, die Sie unten sehen können
Wie Sie sehen, wurde die Datenbank unter /var/lib/aide/aide . generiert.db.neu, im Verzeichnis /var/lib/hilfe/ Sie sehen auch eine Datei namens Berater.db:
Wenn die Ausgabe 0 ist, hat AIDE keine Probleme gefunden. Wenn der Flag-Check angewendet wird, sind die möglichen Ausgabebedeutungen:
1 = Neue Dateien wurden im System gefunden found.
2 = Dateien wurden vom System entfernt.
4 = Dateien im System haben Änderungen erfahren.
14 = Fehler Schreibfehler.
15 = Ungültiger Argumentfehler.
16 = Nicht implementierter Funktionsfehler.
17 = Ungültiger Konfigurationsfehler.
18 = E/A-Fehler.
19 = Versionskonfliktfehler.
Zu den AIDE-Optionen und -Parametern gehören:
-drin oder -ich: Diese Option initialisiert die Datenbank, dies ist eine obligatorische Ausführung vor jeder Prüfung, Prüfungen funktionieren nicht, wenn die Datenbank nicht zuerst initialisiert wurde.
-prüfen oder -C: Wenn diese Option angewendet wird, vergleicht AIDE die Systemdateien mit den Datenbankinformationen. Dies ist die Standardoption, die angewendet wird, wenn AIDE ohne Optionen ausgeführt wird.
-aktualisieren oder -du: Diese Option wird verwendet, um eine Datenbank zu aktualisieren.
-vergleichen Sie: diese Option wird verwendet, um verschiedene Datenbanken zu vergleichen, Datenbanken müssen zuvor in der Konfigurationsdatei definiert werden.
-config-check oder -D: Diese Option ist nützlich, um Fehler in der Konfigurationsdatei zu finden. Durch Hinzufügen dieses Befehls liest AIDE nur die Konfiguration, ohne den Prozess mit der Dateiprüfung fortzusetzen.
-Konfiguration oder -c = dieser Parameter ist nützlich, um eine andere Konfigurationsdatei als Hilfe anzugeben.conf.
-Vor oder -B = Konfigurationsparameter hinzufügen, bevor die Konfigurationsdatei gelesen wird.
-nach dem oder -EIN = Konfigurationsparameter nach dem Lesen der Konfigurationsdatei hinzufügen.
-ausführlich oder -V = mit diesem Befehl können Sie die Ausführlichkeitsstufe angeben, die zwischen 0 und 255 . definiert werden kann.
-Bericht oder -r = Mit dieser Option können Sie den Ergebnisbericht von AIDE an andere Ziele senden. Sie können diese Option wiederholen und AIDE anweisen, Berichte an andere Ziele zu senden.
Weitere Informationen zu diesen und weiteren AIDE-Befehlen und -Optionen finden Sie auf der Manpage.
AIDE-Konfigurationsdatei:
Die Konfiguration von AIDE erfolgt in der Konfigurationsdatei in /etc/aide.conf, von dort aus können Sie das Verhalten von AIDE definieren, unten werden einige der beliebtesten Optionen erklärt:
Die Zeilen in der Konfigurationsdatei enthalten unter anderem folgende Funktionen:
database_out: hier können Sie den neuen DB-Speicherort angeben. Während Sie beim Starten des Befehls mehrere Ziele definieren können, können Sie in dieser Konfigurationsdatei nur eine URL festlegen.
Datenbank_neu: Quell-DB-URL beim Vergleich von Datenbanken.
database_attrs: Prüfsumme
database_add_metadata: Fügen Sie zusätzliche Informationen wie Kommentare wie DB-Zeiterstellung usw. hinzu.
ausführlich: hier können Sie einen Wert zwischen 0 und 255 eingeben, um die Ausführlichkeitsstufe zu definieren.
report_url: URL, die den Ausgabeort definiert.
report_quiet: überspringt die Ausgabe, wenn keine Unterschiede gefunden wurden.
gzip_dbout: hier kann man festlegen ob die db komprimiert werden soll (abhängig von zlib).
warn_dead_symlinks: Definieren Sie, ob tote Symlinks gemeldet werden sollen oder nicht.
gruppiert: Gruppendateien, die Berichten zufolge Änderungen erlitten haben.
Weitere Anweisungen zu den Konfigurationsdateioptionen finden Sie unter https://linux.sterben.Netz/Mann/5/Helfer.conf.
Ich hoffe, Sie fanden diesen Artikel zum Einrichten und Konfigurieren von Debian Linux Install Advanced Intrusion Detection Environment hilfreich. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Netzwerken.
