Konfiguracja Debian Linux - Zaawansowane środowisko wykrywania włamań

Zaawansowane środowisko wykrywania włamań (pomoc) to kolejna metoda wykrywania anomalii w systemie. Aide nie można mylić z bardziej znanymi systemami wykrywania włamań, takimi jak OSSEC lub Snort, które w celu wykrycia ataków lub zdarzeń bezpieczeństwa analizują ruch szukający anomalnych pakietów.

W przeciwieństwie do tych systemów wykrywania włamań (zwykle określanych jako identyfikatory), zaawansowane środowisko wykrywania włamań (znane jako AIDE) sprawdza integralność plików poprzez porównanie informacji i atrybutów plików systemowych z początkowo utworzoną bazą danych.

Najpierw tworzy bazę danych zdrowego systemu do późniejszego porównania integralności za pomocą algorytmów SHA1, RMD160, TIGER, CRC32, SHA256, SHA512, WHIRLPOOL z opcjonalnymi integracjami dla GOST, HAVAL i CR32B. Oczywiście Aide obsługuje zdalne monitorowanie.

Razem z plikami Informacje na temat kontroli AIDE dla plików, takich jak typ pliku, uprawnienia, GID, UID, rozmiar, nazwa linku, liczba bloków, liczba linków, Mtime, Ctime i Atime i atrybuty generowane przez XATTR, SELINUX, POSIX ACL i rozszerzone. W przypadku pomocy można określić pliki i katalogi, które należy wykluczyć lub uwzględnić w zadaniach monitorowania.

Skonfiguruj i konfiguruj: Zainstaluj zaawansowane środowisko wykrywania włamań na Debian

Aby rozpocząć od zainstalowania pomocy w dystrybucjach Debian i Desived Linux:

# apt Zainstaluj pomocnik -common -y

Po zainstalowaniu AIDE pierwszym krokiem do naśladowania jest utworzenie bazy danych w systemie opieki zdrowotnej, która jest kontrastowa z migawkami, aby zweryfikować integralność plików.

Aby zbudować początkową bazę danych:

# Sudo Aideinit

Notatka: Jeśli miałeś poprzedni pomocnik bazy danych, zastąpi ją (wcześniejsze żądanie potwierdzenia), zaleca się weryfikację przed kontynuowaniem.

Ten proces może trwać długie minuty, aż do wyświetlenia wyjścia, które można zobaczyć poniżej

Jak widać, baza danych została wygenerowana w/var/lib/aid/aide.db.Nowy, w katalogu /var/lib/aide/ zobaczysz także plik o nazwie doradca.db:

# pomocnik.opakowanie -C/itp./Aid/Aide.Conf -sprawdź

Jeśli wyjście wynosi 0, pomoc nie znalazł problemów. Jeśli zastosowano sprawozdanie flagi, to możliwe wyniki znaczące są:

1 = nowe pliki znaleziono w systemie.
2 = pliki zostały usunięte z systemu.
4 = pliki w systemie poniosły zmiany.
14 = Błąd pisania błędów.
15 = nieprawidłowy błąd argumentu.
16 = Błąd funkcji niezapłaconej.
17 = nieprawidłowy błąd konfiguracyjny.
18 = błąd we/wy.
19 = błąd niedopasowania wersji.

Opcje i parametry AIDE obejmują:

-w tym Lub -I: Ta opcja inicjuje bazę danych, jest to obowiązkowe wykonywanie przed jakimkolwiek czekiem, czeki nie zadziałają, jeśli baza danych nie została zainicjowana najpierw.

-sprawdzać Lub -C: Po zastosowaniu ta opcja ta opcja porównuje pliki systemowe z informacjami o bazie danych. Jest to domyślna opcja zastosowana po wykonywaniu pomocy bez opcji.

-aktualizacja Lub -u: Ta opcja służy do aktualizacji bazy danych.

-porównywać: Ta opcja służy do porównania różnych baz danych, bazy danych muszą być wcześniej zdefiniowane w pliku konfiguracyjnym.

-Konfiguracja Lub -D: Ta opcja jest przydatna do znalezienia błędów w pliku konfiguracyjnym, dodając ten asystent polecenia będzie odczytać tylko konfigurację bez kontynuowania procesu z sprawdzaniem plików.

-konfigurator Lub -C = Ten parametr jest przydatny do określenia innego pliku konfiguracyjnego niż Aide.conf.

-zanim Lub -B = Dodaj parametry konfiguracyjne przed przeczytaniem pliku konfiguracyjnego.

-Po Lub -A = Dodaj parametry konfiguracyjne po odczytaniu pliku konfiguracyjnego.

-gadatliwy Lub -V = Za pomocą tego polecenia możesz określić poziom gadatości, który można zdefiniować między 0 a 255.

-raport Lub -R = Dzięki tej opcji możesz wysłać raport wyników Aide do innych miejsc docelowych, możesz powtórzyć tę opcję, instruując asystencję o wysyłaniu raportów do różnych miejsc docelowych.

Możesz uzyskać dodatkowe informacje na temat tych i większej liczby poleceń i opcji pomocniczych na stronie Man.

Plik konfiguracyjny AIDE:

Konfiguracja Aide odbywa się w pliku konfiguracyjnym znajdującym się w /etc /aide.Conf, stamtąd możesz zdefiniować zachowanie Aide, poniżej masz niektóre z najpopularniejszych opcji:

Linie w pliku konfiguracyjnym obejmują, wśród większej liczby funkcji:

DATABASE_OUT: Tutaj możesz określić nową lokalizację DB. Podczas uruchamiania polecenia możesz zdefiniować kilka miejsc docelowych, w tym pliku konfiguracyjnym możesz ustawić tylko jeden adres URL.

DATABASE_NEW: źródło adresu URL DB podczas porównywania baz danych.

baza danych_attrs: Suma kontrolna

baza danych_add_metadata: Dodaj dodatkowe informacje jako komentarze, takie jak tworzenie czasu DB itp.

gadatliwy: Tutaj możesz wprowadzić wartość od 0 do 255, aby zdefiniować poziom gadatości.

raport_url: URL Definiowanie lokalizacji wyjściowej.

raport_quiet: pomija wyjście, jeśli nie znaleziono różnic.

gzip_dbout: Tutaj możesz zdefiniować, czy db powinien być ściśnięty (zależy od zlib).

Warn_Dead_SymLinks: Zdefiniuj, czy należy zgłosić martwe symlinki, czy nie.

zgrupowane: Pliki grupowe, które podobno poniosły zmiany.

Więcej instrukcji dotyczących opcji plików konfiguracyjnych jest dostępnych na stronie https: // linux.umierać.Net/Man/5/Aide.conf.

Mam nadzieję, że ten artykuł znalazłby na konfiguracji i skonfiguruj Debian Linux Zainstaluj zaawansowane środowisko wykrywania włamań przydatne. Śledź śledź Linuxhint, aby uzyskać więcej wskazówek i aktualizacji na temat Linux i sieci.