Phenquestions
I motsats till dessa Intrusion Detection System (vanligtvis kallad IDS), kontrollerar Advanced Intrusion Detection Environment (känd som AIDE) efter filintegritet genom att jämföra systemfilsinformation och attribut med en databas som ursprungligen skapades.
Först skapar den databasen för det sunda systemet för att senare jämföra integriteten med algoritmerna sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool med valfria integrationer för gost, haval och cr32b. Naturligtvis stöder AIDE fjärrövervakning.
Tillsammans med filinformation AIDE söker efter filattribut som filtyp, behörigheter, GID, UID, storlek, länknamn, blockantal, antal länkar, mtime, ctime och atime och attribut genererade av XAttrs, SELinux, Posix ACL och Extended. Med AIDE är det möjligt att ange filer och kataloger som ska uteslutas eller inkluderas i övervakningsuppgifter.
Installera och konfigurera: Installera Advanced Intrusion Detection Environment på Debian
Till att börja med att installera AIDE på Debian och härledda Linux-distributionskörningar:
# apt install aide-common -y
Efter installationen av AIDE är det första steget att följa att skapa en databas i ditt hälsosystem som kontrasteras med ögonblicksbilder för att verifiera filernas integritet.
Så här bygger du den inledande databaskörningen:
# sudo aideinit
Notera: om du hade en tidigare databas kommer AIDE att skriva över den (begäran om tidigare bekräftelse), det rekommenderas att du gör en verifiering innan du fortsätter.
Denna process kan ta långa minuter tills den visar vilken utdata du kan se nedan
Som du kan se genererades databasen på / var / lib / aide / aide.db.ny, i katalogen / var / lib / aide / du ser också en fil som heter medhjälpare.db:
Om utgången är 0 kunde AIDE inte hitta några problem. Om flaggkontrollen tillämpas är den möjliga utgångsbetydelsen:
1 = Nya filer hittades i systemet.
2 = Filer togs bort från systemet.
4 = Filer i systemet fick förändringar.
14 = Fel vid skrivfel.
15 = Ogiltigt argumentfel.
16 = Unimplemented funktionsfel.
17 = Ogiltigt konfigurationsfel.
18 = I / O-fel.
19 = Fel i versionens felaktighet.
AIDE-alternativ och parametrar inkluderar:
-i det eller -i: det här alternativet initialiserar databasen, detta är ett obligatoriskt utförande före någon kontroll, kontroller fungerar inte om databasen inte initialiserades först.
-kolla upp eller -C: när detta alternativ används jämför AIDE systemfilerna med databasinformationen. Detta är standardalternativet som används när AIDE körs utan alternativ.
-uppdatering eller -u: det här alternativet används för att uppdatera en databas.
-jämföra: det här alternativet används för att jämföra olika databaser, databaser måste definieras tidigare i konfigurationsfilen.
-konfigurationskontroll eller -D: det här alternativet är användbart för att hitta fel i konfigurationsfilen, genom att lägga till detta kommando läser AIDE bara konfigurationen utan att fortsätta processen med filkontroll.
-konfigurera eller -c = denna parameter är användbar för att ange annan konfigurationsfil än hjälp.konf.
-innan eller -B = lägg till konfigurationsparametrar innan du läser konfigurationsfilen.
-efter eller -A = lägg till konfigurationsparametrar efter att ha läst konfigurationsfilen.
-mångordig eller -V = med det här kommandot kan du ange vilken detaljnivå som kan definieras mellan 0 och 255.
-Rapportera eller -r = med detta alternativ kan du skicka AIDE: s resultatrapport till andra destinationer, du kan upprepa det här alternativet och instruera AIDE att skicka rapporter till olika destinationer.
Du kan få ytterligare information om dessa och fler AIDE-kommandon och alternativ på mansidan.
AIDE-konfigurationsfil:
AIDE: s konfiguration görs på konfigurationsfilen som finns i / etc / aide.conf, därifrån kan du definiera AIDE: s beteende, nedan har du några av de mest populära alternativen förklarade:
Raderna i konfigurationsfilen inkluderar bland fler funktioner:
database_out: här kan du ange den nya db-platsen. Medan du kan definiera flera destinationer när du startar kommandot, kan du i denna konfigurationsfil bara ange en webbadress.
database_new: källa db url när man jämför databaser.
database_attrs: Kontrollsumma
database_add_metadata: lägg till ytterligare information som kommentarer som skapande av db-tid osv.
mångordig: här kan du mata in ett värde mellan 0 och 255 för att definiera mångfaldsnivån.
report_url: url som definierar utmatningsplats.
report_quiet: hoppar över utdata om inga skillnader hittades.
gzip_dbout: här kan du definiera om db ska komprimeras (beror på zlib).
warn_dead_symlinks: definiera om döda symlänkar ska rapporteras eller inte.
grupperad: gruppfiler som enligt uppgift har förändrats.
Mer instruktioner om konfigurationsfilalternativen finns på https: // linux.dö.nät / man / 5 / assistent.konf.
Jag hoppas att du tyckte att den här artikeln om installation och konfigurering av Debian Linux Install Advanced Advanced Intrusion Detection Environment är användbar. Fortsätt följa LinuxHint för fler tips och uppdateringar om Linux och nätverk.
