Kā pārbaudīt integritāti ar AIDE Fedorā

AIDE (Advanced Intrusion Detection Environment) ir programma failu un direktoriju integritātes pārbaudei jebkurā mūsdienu Unix veida sistēmā. Tas izveido failu datubāzi sistēmā un pēc tam izmanto šo datu bāzi kā mērauklu, lai nodrošinātu faila integritāti un atklātu sistēmas ielaušanos.

Šajā rakstā mēs parādīsim, kā instalēt un izmantot AIDE, lai pārbaudītu failu un direktoriju integritāti Fedora izplatīšanā.

Kā instalēt AIDE Fedorā

1. AIDE utilīta pēc noklusējuma ir iekļauta Fedora Linux, tāpēc tās instalēšanai, kā parādīts attēlā, varat izmantot noklusējuma dnf pakotņu pārvaldnieku.

$ sudo dnf install aide  

2. Pēc instalēšanas pabeigšanas jums jāizveido sākotnējā AIDE datu bāze, kas ir sistēmas momentuzņēmums normālā stāvoklī. Šī datu bāze darbosies kā kritērijs, pēc kura tiks vērtēti visi turpmākie atjauninājumi un izmaiņas.

Ņemiet vērā, ka ir svarīgi izveidot datu bāzi jaunā sistēmā, pirms tā tiek ievietota tīklā. Otrkārt, noklusējuma palīgkonfigurācija ļauj pārbaudīt direktoriju un failu kopu, kas definēts /etc/aide.conf failā. Šis fails ir attiecīgi jārediģē, lai konfigurētu vairāk failu un direktoriju, kurus skatīties palīgs.

Lai izveidotu sākotnējo datu bāzi, palaidiet šādu komandu:

$ sudo aide --init

3. Lai sāktu izmantot datu bāzi, noņemiet apakškodolu .new no sākotnējā datu bāzes faila nosaukuma.

$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4. Lai vēl vairāk aizsargātu AIDE datu bāzi, varat mainīt tās noklusējuma atrašanās vietu, rediģējot konfigurācijas failu, un modificēt DBDIR vērtību un norādīt to uz jauno datu bāzes vietu.

@@define DBDIR  /path/to/secret/db/location

Papildu drošībai saglabājiet datu bāzes konfigurācijas failu un/usr/sbin/aide bināro failu drošā vietā, piemēram, tikai lasāmā multivides failā. Svarīgi ir tas, ka jūs faktiski varat palielināt drošību, parakstot konfigurāciju un/vai datu bāzi.

Veicot integritātes pārbaudes Fedora

5. Lai manuāli skenētu Fedora sistēmu, izpildiet šādu komandu.

$ sudo aide --check

Iepriekš minētās komandas izvade parāda atšķirības starp datu bāzi un pašreizējo failu sistēmas stāvokli. Tas parāda ierakstu kopsavilkumu un detalizētu informāciju par mainītajiem ierakstiem.

6. Lai efektīvi izmantotu, AIDE jākonfigurē darbam kā pamata darbam, lai veiktu ieplānotas skenēšanas vai nu katru nedēļu (vismaz), vai katru dienu (maksimāli).

Piemēram, lai ieplānotu skenēšanu katru dienu pusnaktī, failā/etc/crontab pievienojiet šādu cron ierakstu.

00  00  *  *  *  root  /usr/sbin/aide --check

AIDE datu bāzes atjaunināšana

7. Pēc tam, kad esat apstiprinājis sistēmas izmaiņas, piemēram, pakešu atjauninājumus vai konfigurācijas failu modifikācijas, atjauniniet bāzes AIDE datu bāzi ar šādu komandu.

$ sudo aide --update

Komanda aide --update izveido jaunu datu bāzes failu /var/lib/aide/aide.db.new.gz. Lai sāktu to izmantot turpmākajām pārbaudēm, jums tas jāpārsauc, kā parādīts iepriekš (noņemiet .new apakšvirkni no faila nosaukuma).

Lai iegūtu papildinformāciju par AIDE, varat apskatīt tā rokasgrāmatu.

$ man aide

Citiem Linux izplatījumiem varat pārbaudīt: Kā pārbaudīt failu un direktoriju integritāti, izmantojot Linux “AIDE”.

AIDE ir spēcīga utilīta failu un direktoriju integritātes pārbaudei Unix tipa operētājsistēmās, piemēram, Linux. Šajā rakstā mēs parādījām, kā AIDE instalēt un izmantot Fedora Linux. Vai jums ir kādi jautājumi vai komentāri par AIDE, ja jā, tad sazinieties ar mums, izmantojot atsauksmju veidlapu.