Pretēji šīm ielaušanās detektēšanas sistēmām (parasti tiek dēvētas par IDS), uzlabotā ielaušanās detektēšanas vide (pazīstama kā AIDE) pārbauda failu integritāti, salīdzinot sistēmas failu informāciju un atribūtus ar sākotnēji izveidotu datu bāzi.
Vispirms tā izveido veselīgas sistēmas datu bāzi, lai vēlāk salīdzinātu integritāti, izmantojot algoritmus sha1, rmd160, tiger, crc32, sha256, sha512, virpuļvannu ar izvēles integrācijām gost, haval un cr32b. Protams, AIDE atbalsta attālo uzraudzību.
Kopā ar informāciju par failiem AIDE pārbauda tādu failu atribūtus kā faila tips, atļaujas, GID, UID, izmērs, saites nosaukums, bloku skaits, saišu skaits, mtime, ctime un atime un XAttrs ģenerētie atribūti, SELinux, Posix ACL un paplašināts. Izmantojot AIDE, ir iespējams norādīt failus un direktorijus, kas jāizslēdz vai jāiekļauj uzraudzības uzdevumos.
Iestatīšana un konfigurēšana: Debianā instalējiet uzlaboto ielaušanās noteikšanas vidi
Vispirms instalējiet AIDE Debian un palaistos Linux izplatījumos:
# apt instalēt aide-common -y
Pēc AIDE instalēšanas pirmais solis, kas jāievēro, ir izveidot datu bāzi savā veselības sistēmā, lai to varētu salīdzināt ar momentuzņēmumiem, lai pārbaudītu failu integritāti.
Lai izveidotu sākotnējo datu bāzes palaišanu:
# sudo aideinit
Piezīme: ja jums bija iepriekšēja datu bāze, AIDE to pārrakstīs (iepriekšēja apstiprinājuma pieprasījums), pirms turpināt, ieteicams veikt pārbaudi.
Šis process var ilgt vairākas minūtes, līdz tiek parādīts zemāk redzamais rezultāts
Kā redzat, datu bāze tika izveidota vietnē / var / lib / aide / aide.db.jauns, direktorijā / var / lib / aide / jūs redzēsiet arī failu ar nosaukumu palīgs.db:
# palīgs.iesaiņotājs -c / etc / aide / aide.conf - pārbaudiet
Ja izeja ir 0, AIDE neatrada problēmas. Ja tiek izmantota karodziņa pārbaude, iespējamās izejas nozīme ir:
1 = Sistēmā tika atrasti jauni faili.
2 = faili tika noņemti no sistēmas.
4 = faili sistēmā cieta izmaiņas.
14 = Kļūda, rakstot kļūdu.
15 = Nederīga argumenta kļūda.
16 = Neizpildīta funkcijas kļūda.
17 = Nederīga konfigurācijas līnijas kļūda.
18 = I / O kļūda.
19 = Versijas neatbilstības kļūda.
AIDE iespējas un parametri ietver:
-tajā vai -i: šī opcija inicializē datu bāzi, šī ir obligāta izpilde pirms jebkuras pārbaudes, pārbaudes nedarbosies, ja datu bāze netika inicializēta vispirms.
-pārbaudīt vai -C: lietojot šo opciju, AIDE salīdzina sistēmas failus ar datu bāzes informāciju. Šī ir noklusējuma opcija, kas tiek izmantota, kad AIDE tiek izpildīts bez opcijām.
-Atjaunināt vai -u: šo opciju izmanto, lai atjauninātu datu bāzi.
-salīdzināt: šo opciju izmanto, lai salīdzinātu dažādas datu bāzes, datu bāzes iepriekš jānosaka konfigurācijas failā.
-konfigurācijas pārbaude vai -D: šī opcija ir noderīga, lai atrastu kļūdas konfigurācijas failā, pievienojot šo komandu, AIDE nolasīs konfigurāciju tikai neturpinot procesu ar failu pārbaudi.
-konfigurēt vai -c = šis parametrs ir noderīgs, lai norādītu citu konfigurācijas failu, nevis palīgu.konf.
-pirms vai -B = pievienojiet konfigurācijas parametrus pirms konfigurācijas faila lasīšanas.
-pēc vai -A = pievienot konfigurācijas parametrus pēc konfigurācijas faila izlasīšanas.
-runīgs vai -V = ar šo komandu jūs varat norādīt daudzbalsības līmeni, kuru var definēt no 0 līdz 255.
-Ziņot vai -r = ar šo opciju jūs varat nosūtīt AIDE rezultātu pārskatu uz citiem mērķiem, jūs varat atkārtot šo opciju, uzdodot AIDE nosūtīt pārskatus uz dažādiem galamērķiem.
Papildinformāciju par šīm un citām AIDE komandām un opcijām varat iegūt cilvēka lapā.
AIDE konfigurācijas fails:
AIDE konfigurācija tiek veikta konfigurācijas failā, kas atrodas / etc / aide.conf, no turienes jūs varat definēt AIDE uzvedību, zemāk ir paskaidrotas dažas no populārākajām iespējām:
Konfigurācijas faila rindās, starp citām funkcijām, ietilpst:
database_out: šeit jūs varat norādīt jauno db atrašanās vietu. Lai gan, palaižot komandu, varat definēt vairākus galamērķus, šajā konfigurācijas failā varat iestatīt tikai vienu URL.
database_new: avota db URL, salīdzinot datu bāzes.
database_attrs: Kontrolsumma
database_add_metadata: pievienot papildu informāciju kā komentārus, piemēram, db laika izveidi utt.
runīgs: šeit jūs varat ievadīt vērtību no 0 līdz 255, lai noteiktu daudzbalsības līmeni.
report_url: URL, kas nosaka izejas vietu.
report_quiet: izlaiž izlaidi, ja netika atrastas atšķirības.
gzip_dbout: šeit jūs varat noteikt, vai db jāsaspiež (atkarīgs no zlib).
warn_dead_symlinks: definējiet, vai jāziņo par mirušām simlinkām.
grupēti: grupas faili, kas, kā ziņots, cietuši izmaiņas.
Plašākas instrukcijas par konfigurācijas faila opcijām ir pieejamas vietnē https: // linux.nomirt.net / man / 5 / aide.konf.
Es ceru, ka šis raksts Debian Linux instalēšanas un konfigurēšanas instalēšanas papildu ielaušanās detektēšanas vidē jums bija noderīgs. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux un tīklu.