Contrariamente a questi sistemi di rilevamento delle intrusioni (solitamente indicati come ID), ambiente di rilevamento delle intrusioni avanzato (noto come AIDE) controlli per l'integrità dei file confrontando le informazioni e gli attributi dei file di sistema con un database creato inizialmente.
Innanzitutto crea il database del sistema sano per confrontare successivamente l'integrità usando gli algoritmi Sha1, RMD160, Tiger, CRC32, SHA256, SHA512, Whirlpool con integrazioni opzionali per Gost, Haval e CR32B. Ovviamente aiutante supporta il monitoraggio remoto.
Insieme alle informazioni sui file AIUSIONE Verifica per gli attributi di file come tipo di file, autorizzazioni, GID, UID, dimensioni, nome del collegamento, conteggio dei blocchi, numero di collegamenti, mtime, ctime e atime e attributi generati da xattrs, selinux, POSIX ACL e esteso. Con aiutante è possibile specificare file e directory da escludere o incluso nel monitoraggio delle attività.
Imposta e configurazione: installare un ambiente di rilevamento di intrusioni avanzato su Debian
Per iniziare installando un aiutante su Distribuzioni Linux Debian e derivate:
# Apt Installa Aide -Common -y
Dopo aver installato aiutante, il primo passo da seguire è creare un database sul sistema sanitario per essere contrastato con le istantanee per verificare l'integrità dei file.
Per creare l'esecuzione del database iniziale:
# sudo aideinit
Nota: Se un aiutante di database precedente lo sovrascriverà (richiesta di conferma precedente), si consiglia di eseguire una verifica prima di procedere.
Questo processo può durare lunghi minuti fino a mostrare l'output che puoi vedere di seguito
Come puoi vedere, il database è stato generato a/var/lib/aiutante/aiutante.db.nuovo, all'interno della directory /var/lib/aiutante/ Vedrai anche un file chiamato aiutante.db:
# aiutante.Wrapper -c/etc/aiutante/aiutante.conf --ckeck
Se l'output è 0 aiutante non ha trovato problemi. Se viene applicato il controllo del flag, il significato delle uscite possibili sono:
1 = nuovi file sono stati trovati nel sistema.
2 = i file sono stati rimossi dal sistema.
4 = i file nel sistema hanno subito modifiche.
14 = errore di scrittura di errore.
15 = errore di argomento non valido.
16 = errore della funzione non implementata.
17 = errore di configurazione non valido.
18 = errore I/O.
19 = Errore di mancata corrispondenza della versione.
Le opzioni e i parametri aiutanti includono:
-dentro O -io: Questa opzione inizializza il database, questa è un'esecuzione obbligatoria prima di qualsiasi controllo, i controlli non funzionano se il database non è stato inizializzato per primo.
-controllo O -C: quando applicato questa opzione aiutante confronta i file di sistema con le informazioni sul database. Questa è l'opzione predefinita applicata quando Aide viene eseguito senza opzioni.
-aggiornamento O -u: questa opzione viene utilizzata per aggiornare un database.
-confrontare: Questa opzione viene utilizzata per confrontare diversi database, i database devono essere precedentemente definiti nel file di configurazione.
-Config-Check O -D: Questa opzione è utile per trovare errori nel file di configurazione, aggiungendo che questo aiutante di comando leggerà solo la configurazione senza continuare il processo con i file che controllano.
-configurazione O -C = Questo parametro è utile per specificare altri file di configurazione rispetto a Aide.conf.
-Prima O -B = Aggiungi i parametri di configurazione prima di leggere il file di configurazione.
-Dopo O -UN = Aggiungi i parametri di configurazione dopo aver letto il file di configurazione.
-verboso O -V = con questo comando è possibile specificare il livello di verbosità che può essere definito tra 0 e 255.
-rapporto O -R = Con questa opzione è possibile inviare il rapporto sui risultati di Aide ad altre destinazioni, è possibile ripetere questa opzione che istruisce gli aiutanti di inviare report a diverse destinazioni.
Puoi ottenere ulteriori informazioni su questi e più comandi e opzioni aiutanti nella pagina Man.
File di configurazione aiutante:
La configurazione dell'aiutante viene eseguita sul file di configurazione situato all'interno di /etc /aiutante.conf, da lì puoi definire il comportamento dell'assistente, di seguito hai spiegate alcune delle opzioni più popolari:
Le righe nel file di configurazione includono, tra più funzionalità:
Database_out: Qui puoi specificare la nuova posizione DB. Mentre è possibile definire diverse destinazioni durante l'avvio del comando, in questo file di configurazione è possibile impostare un solo URL.
Database_New: URL DB di origine quando si confrontano i database.
Database_ATRS: Checksum
Database_add_metadata: Aggiungi ulteriori informazioni come commenti come la creazione di tempo di DB, ecc.
Verbosio: Qui puoi inserire un valore compreso tra 0 e 255 per definire il livello di verbosità.
report_url: URL Definizione della posizione di output.
report_quiet: salta l'output se non sono state trovate differenze.
gzip_dbout: Qui puoi definire se il DB deve essere compresso (dipende da zlib).
WARN_DEAD_SYMLINKS: Definire se devono essere segnalati o no.
raggruppato: file di gruppo che secondo quanto riferito hanno subito modifiche.
Altre istruzioni sulle opzioni del file di configurazione sono disponibili su https: // linux.morire.Net/Man/5/Aide.conf.
Spero che tu abbia trovato questo articolo sull'impostazione e configurare Debian Linux Installa un ambiente di rilevamento di intrusioni avanzato utile. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e Networking.