Phenquestions
Päinvastoin kuin näissä tunkeutumisen havaitsemisjärjestelmissä (kutsutaan yleensä IDS), Advanced Intrusion Detection Environment (AIDE) tarkistaa tiedostojen eheyden vertaamalla järjestelmätiedostojen tietoja ja määritteitä alun perin luotuun tietokantaan.
Ensin se luo terveellisen järjestelmän tietokannan eheyden vertaamiseksi myöhemmin algoritmeilla sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool valinnaisilla integraatioilla gost, haval ja cr32b. Tietenkin AIDE tukee etävalvontaa.
Yhdessä tiedostotietojen kanssa AIDE tarkistaa tiedostomääritteet, kuten tiedostotyyppi, käyttöoikeudet, GID, UID, koko, linkin nimi, lohkojen määrä, linkkien lukumäärä, mtime, ctime ja atime sekä XAttrsin luomat attribuutit, SELinux, Posix ACL ja Extended. AIDE: n avulla on mahdollista määrittää tiedostot ja hakemistot, jotka jätetään pois tai sisällytetään valvontatehtäviin.
Asennus ja määritys: Asenna Advanced Intrusion Detection Environment Debianiin
Aloita asentamalla AIDE Debianiin ja johdettuihin Linux-jakeluihin:
# apt install aide-common -y
AIDE: n asentamisen jälkeen ensimmäinen vaihe on luoda terveystietojärjestelmään tietokanta, jota verrataan tilannevedoksiin tiedostojen eheyden varmistamiseksi.
Alkuperäisen tietokantaajon luominen:
# sudo aideinit
merkintä: jos sinulla on aikaisempi tietokanta, AIDE korvaa sen (ennakkovahvistuspyyntö), on suositeltavaa tehdä vahvistus ennen jatkamista.
Tämä prosessi voi kestää kauan, kunnes näyttää alla olevan tuloksen
Kuten näette, tietokanta luotiin osoitteessa / var / lib / aide / aide.db.uusi, hakemistossa / var / lib / aide / näet myös tiedoston nimeltä avustaja.db:
Jos lähtö on 0, AIDE ei löytänyt ongelmia. Jos lipputarkistusta käytetään, mahdolliset lähtötiedot ovat:
1 = Järjestelmästä löytyi uusia tiedostoja.
2 = Tiedostot poistettiin järjestelmästä.
4 = Järjestelmän tiedostoissa tapahtui muutoksia.
14 = Virhe kirjoitettaessa virhe.
15 = Virheellinen argumenttivirhe.
16 = Toteuttamaton toimintavirhe.
17 = Virheellinen konfigurointivirhe.
18 = I / O-virhe.
19 = Versiovirhe.
AIDE-vaihtoehtoja ja parametreja ovat:
-sen sisällä tai -i: tämä vaihtoehto alustaa tietokannan, tämä on pakollinen suoritus ennen minkäänlaista tarkistusta. Tarkistukset eivät toimi, jos tietokantaa ei alustettu ensin.
-tarkistaa tai -C: kun tätä vaihtoehtoa käytetään, AIDE vertaa järjestelmätiedostoja tietokantatietoihin. Tämä on oletusasetus, jota käytetään, kun AIDE suoritetaan ilman asetuksia.
-päivittää tai -u: Tätä vaihtoehtoa käytetään tietokannan päivittämiseen.
-vertailla: Tätä vaihtoehtoa käytetään vertaamaan eri tietokantoja, tietokannat on määriteltävä aiemmin määritystiedostossa.
-konfiguraation tarkistus tai -D: Tämä vaihtoehto on hyödyllinen virheiden löytämiseksi määritystiedostosta lisäämällä tämä komento AIDE lukee vain kokoonpanon jatkamatta prosessia tiedostojen tarkistuksella.
-konfig tai -c = tämä parametri on hyödyllinen määritettäessä muuta määritystiedostoa kuin apua.konf.
-ennen tai -B = lisää määritysparametrit ennen määritystiedoston lukemista.
-jälkeen tai -A = lisää kokoonpanoparametrit määritystiedoston lukemisen jälkeen.
-sanallinen tai -V = tällä komennolla voit määrittää tarkkuustason, joka voidaan määrittää välillä 0 - 255.
-raportti tai -r = tällä vaihtoehdolla voit lähettää AIDE: n tulosraportin muihin kohteisiin, voit toistaa tämän vaihtoehdon ohjeiden AIDE: n lähettämään raportteja eri kohteisiin.
Saat lisätietoja näistä ja muista AIDE-komennoista ja vaihtoehdoista man-sivulta.
AIDE-määritystiedosto:
AIDE: n määritykset tehdään asetustiedostossa, joka sijaitsee / etc / aide -kohdassa.conf, sieltä voit määrittää AIDE: n käyttäytymisen, alla on joitain suosituimpia vaihtoehtoja:
Kokoonpanotiedoston rivit sisältävät muun toiminnallisuuden joukossa:
database_out: tässä voit määrittää uuden db-sijainnin. Vaikka voit määrittää useita kohteita käynnistettäessä komentoa, tässä asetustiedostossa voit asettaa vain yhden URL-osoitteen.
database_new: source db url kun verrataan tietokantoja.
database_attrs: Tarkistussumma
database_add_metadata: lisää lisätietoja kommentteina, kuten db-ajan luominen jne.
sanallinen: tässä voit syöttää arvon välillä 0 ja 255 määritelläksesi tarkkuustason.
report_url: URL määrittelee lähtöpaikan.
report_quiet: ohittaa tuotoksen, jos eroja ei löydy.
gzip_dbout: tässä voit määrittää, onko db pakattava (riippuu zlibistä).
warn_dead_symlinks: määritä, onko kuolleista symlinkeistä ilmoitettava vai ei.
ryhmitelty: ryhmätiedostot, joihin on ilmoitettu aiheutuneen muutoksia.
Lisää ohjeita kokoonpanotiedoston asetuksista on osoitteessa https: // linux.kuolla.verkko / mies / 5 / avustaja.konf.
Toivon, että pidit tämän artikkelin Debian Linuxin asennus- ja määritysasennuksen asennuksen edistyneestä tunkeutumisen tunnistusympäristöstä hyödyllisenä. Seuraa LinuxHint-ohjelmaa saadaksesi lisää vinkkejä ja päivityksiä Linuxista ja verkostoitumisesta.
