Phenquestions
I modsætning til disse indtrængningsdetekteringssystemer (normalt benævnt IDS) kontrollerer avanceret indtrængningsdetektionsmiljø (kendt som AIDE) for filintegritet ved at sammenligne systemfiloplysninger og attributter med en oprindeligt oprettet database.
Først opretter det databasen over det sunde system for senere at sammenligne integriteten ved hjælp af algoritmer sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool med valgfri integrationer til gost, haval og cr32b. Selvfølgelig understøtter AIDE fjernovervågning.
Sammen med filoplysninger kontrollerer AIDE for filattributter såsom filtype, tilladelser, GID, UID, størrelse, linknavn, blokantal, antal links, mtime, ctime og atime og attributter genereret af XAttrs, SELinux, Posix ACL og Extended. Med AIDE er det muligt at specificere filer og kataloger, der skal udelukkes eller inkluderes i overvågningsopgaver.
Opsætning og konfiguration: Installer avanceret indtrængningsregistreringsmiljø på Debian
For at starte med at installere AIDE på Debian og afledte Linux-distributionskørsler:
# apt install aide-common -y
Efter installation af AIDE er det første skridt, der skal følges, at oprette en database på dit sundhedssystem, der skal kontrasteres med snapshots for at kontrollere filernes integritet.
Sådan oprettes den indledende databasekørsel:
# sudo aideinit
Bemærk: hvis du havde en tidligere database, overskriver AIDE den (anmodning om forudgående bekræftelse), anbefales det at foretage en verifikation, før du fortsætter.
Denne proces kan vare lange minutter, indtil den output vises, som du kan se nedenfor
Som du kan se blev databasen genereret på / var / lib / aide / aide.db.nyt inden for telefonbogen / var / lib / aide / du vil også se en fil kaldet medhjælper.db:
Hvis output er 0, fandt AIDE ikke problemer. Hvis flag-check anvendes, er den mulige outputbetydning:
1 = Nye filer blev fundet i systemet.
2 = Filer blev fjernet fra systemet.
4 = Filer i systemet led ændringer.
14 = Fejl ved skrivefejl.
15 = Ugyldig argumentfejl.
16 = Ikke-implementeret funktionsfejl.
17 = Ugyldig konfigurationslinjefejl.
18 = I / O-fejl.
19 = Fejl ved versionsfejl.
AIDE-muligheder og parametre inkluderer:
-i det eller -jeg: denne mulighed initialiserer databasen, dette er en obligatorisk udførelse inden enhver kontrol, kontroller fungerer ikke, hvis databasen ikke blev initialiseret først.
-kontrollere eller -C: når denne indstilling anvendes, sammenligner AIDE systemfilerne med databaseoplysningerne. Dette er standardindstillingen, der anvendes, når AIDE udføres uden optioner.
-opdatering eller -u: denne mulighed bruges til at opdatere en database.
-sammenligne: denne mulighed bruges til at sammenligne forskellige databaser, databaser skal være defineret tidligere i konfigurationsfilen.
-config-check eller -D: denne mulighed er nyttig til at finde fejl i konfigurationsfilen ved at tilføje denne kommando AIDE læser kun konfigurationen uden at fortsætte processen med filkontrol.
-config eller -c = denne parameter er nyttig til at angive en anden konfigurationsfil end hjælpemiddel.konf.
-Før eller -B = tilføj konfigurationsparametre, før du læser konfigurationsfilen.
-efter eller -EN = tilføj konfigurationsparametre efter at have læst konfigurationsfilen.
-ordrig eller -V = med denne kommando kan du specificere det detaljerede niveau, der kan defineres mellem 0 og 255.
-rapport eller -r = med denne indstilling kan du sende AIDE's resultatrapport til andre destinationer, du kan gentage denne indstilling, der instruerer AIDE om at sende rapporter til forskellige destinationer.
Du kan få yderligere oplysninger om disse og flere AIDE-kommandoer og valgmuligheder på mandsiden.
AIDE-konfigurationsfil:
AIDE's konfiguration udføres på konfigurationsfilen placeret i / etc / aide.conf, derfra kan du definere AIDE's adfærd, nedenfor har du nogle af de mest populære muligheder forklaret:
Linjerne i konfigurationsfilen inkluderer blandt flere funktioner:
database_out: her kan du angive den nye db-placering. Mens du kan definere flere destinationer, når du starter kommandoen, kan du i denne konfigurationsfil kun indstille en url.
database_ny: kilde db url når man sammenligner databaser.
database_attrs: Kontrolsum
database_add_metadata: tilføj yderligere oplysninger som kommentarer såsom oprettelse af db-tid osv.
ordrig: her kan du indtaste en værdi mellem 0 og 255 for at definere det detaljerede niveau.
report_url: url, der definerer outputplacering.
report_quiet: springer output, hvis der ikke blev fundet nogen forskelle.
gzip_dbout: her kan du definere, om db skal komprimeres (afhænger af zlib).
advare_død_symlinks: definer, om døde symlinks skal rapporteres eller ej.
grupperet: gruppefiler, som efter sigende har lidt ændringer.
Flere instruktioner om konfigurationsfilindstillinger findes på https: // linux.dø.net / mand / 5 / hjælp.konf.
Jeg håber, du fandt denne artikel om opsætning og konfiguration af Debian Linux Install Advanced Advanced Intrusion Detection Environment nyttigt. Fortsæt med at følge LinuxHint for flere tip og opdateringer om Linux og netværk.
