Phenquestions
Vastupidiselt nendele sissetungimise tuvastamise süsteemidele (tavaliselt IDS) kontrollib Advanced Intrusion Detection Environment (tuntud kui AIDE) failide terviklikkust, võrreldes süsteemifailide teavet ja atribuute algselt loodud andmebaasiga.
Kõigepealt loob see tervisliku süsteemi andmebaasi, et hiljem terviklikkust võrrelda, kasutades algoritme sha1, rmd160, tiiger, crc32, sha256, sha512, mullivann koos valikuliste integreerimistega gost, haval ja cr32b jaoks. Muidugi toetab AIDE kaugseiret.
Koos failide teabega kontrollib AIDE failide atribuute, nagu failitüüp, õigused, GID, UID, suurus, lingi nimi, plokkide arv, linkide arv, mtime, ctime ja atime ning XAttrsi loodud atribuudid, SELinux, Posix ACL ja Extended. AIDE abil on võimalik määrata failid ja kataloogid, mis välja jätta või kaasata seiretoimingutesse.
Seadistamine ja konfigureerimine: installige sissetungimise tuvastamise keskkond Debiani
Alustuseks installige AIDE Debianisse ja käivitage tuletatud Linuxi jaotused:
# apt install aide-common -y
Pärast AIDE installimist tuleb kõigepealt järgida oma tervisesüsteemi andmebaasi loomist, mida vastandatakse hetktõmmistele failide terviklikkuse kontrollimiseks.
Algse andmebaasijooksu loomiseks toimige järgmiselt
# sudo aideinit
Märge: kui teil oli eelmine andmebaas, kirjutab AIDE selle üle (eelnev kinnitustaotlus), on soovitatav enne jätkamist teha kontroll.
See protsess võib kesta pikki minuteid, kuni kuvatakse väljund, mida näete allpool
Nagu näete, loodi andmebaas aadressil / var / lib / aide / aide.db.uus, kataloogis / var / lib / aide / näete ka faili nimega abiline.db:
Kui väljund on 0, ei leidnud AIDE probleeme. Kui rakendatakse lipukontrolli, on võimalik väljundite tähendus:
1 = Süsteemist leiti uusi faile.
2 = Failid eemaldati süsteemist.
4 = Süsteemi failid muutusid.
14 = Viga kirjutamise viga.
15 = Vigane argumendiviga.
16 = Rakendamata funktsiooni viga.
17 = Vale konfiguratsiooniviga.
18 = I / O viga.
19 = Versiooni mittevastavuse viga.
AIDE valikud ja parameetrid hõlmavad järgmist:
-selles või -i: see suvand initsialiseerib andmebaasi, see on enne kontrollimist kohustuslik, kontrollid ei tööta, kui andmebaasi esmalt ei lähtestatud.
-Kontrollima või -C: selle võimaluse rakendamisel võrdleb AIDE süsteemifaile andmebaasi teabega. See on vaikevalik, mida rakendatakse, kui AIDE käivitatakse ilma valikuteta.
-värskendus või -u: seda suvandit kasutatakse andmebaasi värskendamiseks.
-võrdlema: seda suvandit kasutatakse erinevate andmebaaside võrdlemiseks, andmebaasid peavad olema eelnevalt konfiguratsioonifailis määratletud.
-konfigureerimise kontroll või -D: see valik on kasulik konfiguratsioonifailist vigade leidmiseks, lisades selle käsu, AIDE loeb konfiguratsiooni ainult ilma failide kontrollimisega protsessi jätkamata.
-konfig või -c = see parameeter on kasulik muude konfiguratsioonifailide määramiseks peale abistaja.konf.
-enne või -B = lisage konfiguratsiooniparameetrid enne konfiguratsioonifaili lugemist.
-pärast või -A = lisage konfiguratsiooniparameetrid pärast konfiguratsioonifaili lugemist.
-paljusõnaline või -V = selle käsuga saate määrata täpsuse taseme, mille saab määrata vahemikus 0 kuni 255.
-aruanne või -r = selle suvandiga saate saata AIDE tulemuste aruande teistesse sihtkohtadesse, saate seda valikut korrata, andes AIDE-le korralduse saata aruandeid erinevatesse sihtkohtadesse.
Nende ja muude AIDE käskude ja suvandite kohta saate lisateavet manulehelt.
AIDE konfiguratsioonifail:
AIDE seadistamine toimub konfiguratsioonifailis, mis asub / etc / aide.conf, sealt saate määratleda AIDE käitumise, allpool on mõned kõige populaarsemad valikud:
Konfiguratsioonifaili read sisaldavad muude funktsioonide hulgas:
andmebaasi_välja: siin saate määrata uue db asukoha. Kuigi saate käsu käivitamisel määratleda mitu sihtkohta, saate selles konfiguratsioonifailis määrata ainult ühe URL-i.
andmebaasi_uudis: source db URL andmebaaside võrdlemisel.
andmebaasi_attrid: Kontrollsumma
database_add_metadata: lisage lisateavet kommentaaridena, näiteks db aja loomine jne.
paljusõnaline: siin saate täpsuse taseme määramiseks sisestada väärtuse vahemikus 0 kuni 255.
report_url: URL, mis määrab väljundi asukoha.
report_quiet: jätab väljundi vahele, kui erinevusi ei leitud.
gzip_dbout: siin saate määratleda, kas db tuleks tihendada (sõltub zlibist).
warn_dead_symlinks: määrake, kas surnud sümbolitest tuleb teatada või mitte.
rühmitatud: grupifailid, mis väidetavalt muutusid.
Lisateavet konfiguratsioonifaili suvandite kohta leiate aadressilt https: // linux.surema.võrk / mees / 5 / abiline.konf.
Loodan, et leidsite selle artikli Debian Linuxi installimise ja konfigureerimise installimise sissetungimise tuvastamise keskkonnas kasulikuks. Järgige LinuxHinti, et saada rohkem näpunäiteid ja värskendusi Linuxi ja võrgu kohta.
