Setup Debian Linux - Umgebung für erweiterte Intrusion Detection
Im Gegensatz zu diesen Intrusion Detection Systems (normalerweise als IDS bezeichnet) prüft die erweiterte Intrusion Detection -Umgebung (als AIDE) auf die Integrität der Dateien, indem die Informationen und Attribute der Systemdateien mit einer ursprünglich erstellten Datenbank verglichen werden.
Zuerst erstellt es die Datenbank des gesunden Systems, um die Integrität später mit Algorithmen SHA1, RMD160, Tiger, CRC32, SHA256, SHA512, Whirlpool mit optionalen Integrationen für GOST, Haval und CR32B zu vergleichen. Natürlich unterstützt AIDE die Fernüberwachung.
Zusammen mit Dateien Informations AIDE -Überprüfungen für Dateienattribute wie Dateityp, Berechtigungen, GID, UID, Größe, Linkname, Blockzahl, Anzahl der Links, Mime, CTime und Atime und Attribute, die von Xattrs, Selinux, POSIX ACL und erweitert wurden. Bei AIDE ist es möglich, Dateien und Verzeichnisse anzugeben, um ausgeschlossen oder in Überwachungsaufgaben enthalten zu sein.
Einrichten und Konfigurieren: Installieren Sie die Umgebung für erweiterte Intrusion Detection in Debian
Beginnen Sie mit der Installation von AIDE auf Debian und abgeleiteten Linux -Verteilungen: Ausführen:
# APT Installieren Sie Aide -Common -y -y
Nach der Installation von AIDE ist der erste Schritt, um eine Datenbank in Ihrem Gesundheitssystem zu erstellen, die mit Snapshots kontrastiert werden soll, um die Integrität der Dateien zu überprüfen.
So erstellen Sie den ersten Datenbanklauf:
# Sudo AideInit
Notiz: Wenn Sie einen früheren Datenbank -Adjutanten überschreiben (vorherige Bestätigungsanforderung), wird empfohlen, vor dem Fortschritt eine Überprüfung durchzuführen.
Dieser Vorgang kann lange Minuten dauern, bis die Ausgabe angezeigt wird, die Sie unten sehen können
Wie Sie sehen können, wurde die Datenbank bei/var/lib/AIDE/AIDE generiert.db.neu, innerhalb des Verzeichnisses /var/lib/AIDE/ Sie werden auch eine Datei mit dem Titel sehen Berater.db:
# Helfer.Wrapper -c/etc/Aide/AIDE.conf -Schech
Wenn der Ausgang 0 ist, hat AIDE keine Probleme gefunden. Wenn der Flag -Check angewendet wird, lautet die mögliche Ausgänge:
1 = neue Dateien wurden im System gefunden.
2 = Dateien wurden aus dem System entfernt.
4 = Dateien im System erlitten Änderungen.
14 = Fehler beim Schreiben von Fehler.
15 = Ungültiger Argumentfehler.
16 = Unimplementierter Funktionsfehler.
17 = Ungültiger Konfigureline -Fehler.
18 = E/A -Fehler.
19 = Versionsfehlerfehler.
Zu den Optionen und Parametern der AIDE gehören:
-drin oder -ich: Diese Option initialisiert die Datenbank. Dies ist eine obligatorische Ausführung vor der Prüfung. Schecks funktionieren nicht, wenn die Datenbank nicht zuerst initialisiert wurde.
-überprüfen oder -C: Wenn diese Option angewendet wird, vergleicht AIDE die Systemdateien mit den Datenbankinformationen. Dies ist die Standardoption, die angewendet wird, wenn AIDE ohne Optionen ausgeführt wird.
-aktualisieren oder -u: Diese Option wird verwendet, um eine Datenbank zu aktualisieren.
-vergleichen: Diese Option wird zum Vergleich verschiedener Datenbanken verwendet. Datenbanken müssen zuvor in der Konfigurationsdatei definiert werden.
-Konfigurationscheck oder -D: Diese Option ist nützlich, um Fehler in der Konfigurationsdatei zu finden, indem dieser Befehl hinzugefügt wird.
-Konfiguration oder -C = Dieser Parameter ist nützlich, um eine andere Konfigurationsdatei als AIDE anzugeben.Conf.
-Vor oder -B = Konfigurationsparameter hinzufügen, bevor Sie die Konfigurationsdatei lesen.
-nach oder -A = Fügen Sie Konfigurationsparameter hinzu, nachdem Sie die Konfigurationsdatei gelesen haben.
-ausführlich oder -V = Mit diesem Befehl können Sie die ausführliche Ebene angeben, die zwischen 0 und 255 definiert werden kann.
-Bericht oder -R = Mit dieser Option können Sie den Ergebnisbericht von AIDE an andere Ziele senden. Sie können diese Option wiederholen, um ASIDE zu unterweisen, Berichte an verschiedene Ziele zu senden.
Sie können zusätzliche Informationen zu diesen und weiteren Adjutiken und Optionen auf der Mannseite erhalten.
AIDE -Konfigurationsdatei:
Die Konfiguration von AIDE erfolgt in der Konfigurationsdatei innerhalb /etc /AIDE.Conf, von dort aus können Sie das Verhalten von AIDE definieren. Im Folgenden haben Sie einige der beliebtesten Optionen erklärt:
Die Zeilen in der Konfigurationsdatei umfassen unter mehr Funktionen:
Database_out: Hier können Sie den neuen DB -Standort angeben. Während Sie beim Starten des Befehls mehrere Ziele definieren können, können Sie in dieser Konfigurationsdatei nur eine URL festlegen.
Database_New: Quell -DB -URL beim Vergleich von Datenbanken.
Datenbank_attrs: Überprüfung
Datenbank_add_metadata: Fügen Sie zusätzliche Informationen als Kommentare wie die DB -Zeit -Erstellung usw. hinzu.
ausführlich: Hier können Sie einen Wert zwischen 0 und 255 eingeben, um die Ausführungsstufe zu definieren.
report_url: URL Definieren der Ausgabestellung.
Report_quiet: Überspringt die Ausgabe, wenn keine Unterschiede gefunden wurden.
gzip_dbout: Hier können Sie definieren, ob die DB komprimiert werden sollte (abhängig von ZLIB).
WARN_DEAD_SYMLINKS: Definieren Sie, ob tote Symlinks gemeldet werden sollten oder nicht.
gruppiert: Gruppendateien, die Berichten zufolge Änderungen erlitten haben.
Weitere Anweisungen zu den Konfigurationsdateioptionen finden Sie unter https: // linux.sterben.NET/MAN/5/AIDE.Conf.
Ich hoffe. Folgen Sie LinuxHint weiter, um weitere Tipps und Updates unter Linux und Networking zu erhalten.