Phenquestions
Priešingai nei šioms įsilaužimo aptikimo sistemoms (paprastai vadinamoms IDS), pažangi įsibrovimo aptikimo aplinka (žinoma kaip AIDE) tikrina failų vientisumą palygindama sistemos failų informaciją ir atributus su iš pradžių sukurta duomenų baze.
Pirmiausia sukuriama sveikos sistemos duomenų bazė, kad vėliau būtų galima palyginti vientisumą naudojant algoritmus sha1, rmd160, tiger, crc32, sha256, sha512, sūkurines vonias su papildomomis „Gost“, „Haval“ ir „cr32b“ integracijomis. Žinoma, AIDE palaiko nuotolinį stebėjimą.
Kartu su failų informacija AIDE tikrina failų atributus, tokius kaip failo tipas, leidimai, GID, UID, dydis, nuorodos pavadinimas, blokų skaičius, nuorodų skaičius, mtime, ctime ir atime bei „XAttrs“ sugeneruoti atributai, SELinux, „Posix ACL“ ir „Extended“. Naudojant AIDE, galima nurodyti failus ir katalogus, kurie turi būti neįtraukti arba įtraukti į stebėjimo užduotis.
Sąranka ir konfigūravimas: „Debian“ įdiekite išplėstinę įsibrovimo aptikimo aplinką
Pirmiausia įdiekite AIDE „Debian“ ir išvestiniuose „Linux“ paskirstymuose:
# apt install aide-common -y
Įdiegus AIDE, pirmiausia reikia atlikti savo sveikatos sistemos duomenų bazės sukūrimą, kad būtų galima palyginti su momentinėmis nuotraukomis ir patikrinti failų vientisumą.
Norėdami sukurti pradinį duomenų bazės paleidimą:
# sudo aideinit
Pastaba: jei turite ankstesnę duomenų bazę, AIDE ją perrašys (išankstinio patvirtinimo užklausa), prieš tęsiant rekomenduojama atlikti patikrinimą.
Šis procesas gali trukti kelias minutes, kol bus parodytas išvestis, kurį galite pamatyti žemiau
Kaip matote, duomenų bazė buvo sukurta / var / lib / aide / aide.db.naujas, kataloge / var / lib / aide / taip pat pamatysite failą pavadinimu padėjėjas.db:
Jei išvestis yra 0, AIDE nerado problemų. Jei taikoma žymė -check, galima reikšmė yra:
1 = Sistemoje rasti nauji failai.
2 = Failai buvo pašalinti iš sistemos.
4 = sistemos failai pasikeitė.
14 = Klaida rašant klaida.
15 = neteisinga argumento klaida.
16 = neįgyvendinta funkcijos klaida.
17 = neteisinga konfigūracijos klaida.
18 = I / O klaida.
19 = Versijų neatitikimo klaida.
AIDE parinktys ir parametrai apima:
-inic arba -i: ši parinktis inicijuoja duomenų bazę, tai yra privalomas vykdymas prieš atliekant bet kokį patikrinimą, patikrinimai neveiks, jei duomenų bazė nebuvo inicializuota pirmiausia.
-patikrinti arba -C: pritaikius šią parinktį, AIDE palygina sistemos failus su duomenų bazės informacija. Tai yra numatytoji parinktis, taikoma, kai AIDE vykdoma be parinkčių.
-atnaujinti arba -u: ši parinktis naudojama duomenų bazei atnaujinti.
-palyginti: ši parinktis naudojama skirtingoms duomenų bazėms palyginti, duomenų bazės turi būti anksčiau apibrėžtos konfigūracijos faile.
-konfigūracijos patikrinimas arba -D: ši parinktis yra naudinga norint rasti klaidas konfigūracijos faile, pridedant šią komandą, AIDE skaitys konfigūraciją tik netęsdamas proceso su failais.
-konfigūruoti arba -c = šis parametras naudingas norint nurodyti kitą konfigūracijos failą nei pagalbinis.konf.
-prieš tai arba -B = pridėkite konfigūracijos parametrus prieš skaitydami konfigūracijos failą.
-po to arba -A = pridėkite konfigūracijos parametrus perskaitę konfigūracijos failą.
-daugiažodis arba -V = naudodami šią komandą galite nurodyti daugialypiškumo lygį, kurį galima apibrėžti nuo 0 iki 255.
-ataskaita arba -r = naudodami šią parinktį galite siųsti AIDE rezultatų ataskaitą į kitas paskirties vietas, galite pakartoti šią parinktį nurodydami AIDE siųsti ataskaitas į skirtingas paskirties vietas.
Papildomos informacijos apie šias ir daugiau AIDE komandų ir parinkčių galite gauti vyro puslapyje.
AIDE konfigūracijos failas:
AIDE konfigūracija atliekama konfigūracijos faile, esančiame / etc / aide.conf, iš ten galite apibrėžti AIDE elgesį, žemiau yra keletas populiariausių galimybių:
Konfigūracijos failo eilutėse, be kitų funkcijų, yra:
database_out: čia galite nurodyti naują db vietą. Nors paleisdami komandą galite nustatyti keletą paskirties vietų, šiame konfigūracijos faile galite nustatyti tik vieną URL.
database_new: source db URL lyginant duomenų bazes.
database_attrs: Kontrolinė suma
database_add_metadata: pridėti papildomos informacijos kaip komentarus, pvz., db laiko sukūrimą ir kt.
daugžodis: čia galite įvesti vertę nuo 0 iki 255, kad apibrėžtumėte daugialypiškumo lygį.
report_url: URL, apibrėžiantis išvesties vietą.
report_quiet: praleidžia išvestį, jei nenustatyta skirtumų.
gzip_dbout: čia galite apibrėžti, ar db turėtų būti suspaustas (priklauso nuo zlib).
warn_dead_symlinks: apibrėžti, ar apie mirusias nuorodas reikia pranešti, ar ne.
sugrupuota: grupės bylos, kurios, kaip pranešama, patyrė pokyčių.
Daugiau instrukcijų apie konfigūracijos failo parinktis rasite adresu https: // linux.mirti.net / man / 5 / aide.konf.
Tikiuosi, kad šis straipsnis buvo „Debian Linux“ diegimo ir konfigūravimo diegimo išplėstinėje įsibrovimo aptikimo aplinkoje nustatymas. Toliau sekite „LinuxHint“, kad gautumėte daugiau patarimų ir naujinių apie „Linux“ ir tinklus.
