Hogyan ellenőrizhető az integritás az AIDE segítségével a Fedorában
Az AIDE (Advanced Intrusion Detection Environment) egy program a fájlok és könyvtárak integritásának ellenőrzésére bármely modern Unix-szerű rendszeren. Létrehoz egy adatbázist a rendszeren lévő fájlokból, majd ezt az adatbázist használja mérceként a fájlok integritásának biztosítására és a rendszerbehatolások észlelésére.
Ebben a cikkben bemutatjuk, hogyan telepíthető és használható az AIDE a fájlok és könyvtárak integritásának ellenőrzésére a Fedora disztribúcióban.
Az AIDE telepítése a Fedorában
1. Az AIDE segédprogram alapértelmezés szerint benne van a Fedora Linuxban, ezért használhatja az alapértelmezett dnf csomagkezelőt a telepítéshez az ábra szerint.
sudo dnf install aide
2. A telepítés befejezése után létre kell hoznia a kezdeti AIDE adatbázist, amely a rendszer pillanatképe a normál állapotában. Ez az adatbázis mércéül szolgál majd, amelyhez képest minden későbbi frissítést és változtatást mérni fognak.
Vegye figyelembe, hogy fontos az adatbázist egy új rendszeren létrehozni, mielőtt a hálózatra kerülne. Másodszor, az alapértelmezett segédkonfiguráció lehetővé teszi az /etc/aide.conf fájlban meghatározott könyvtárak és fájlok ellenőrzését. Ennek megfelelően szerkesztenie kell ezt a fájlt, hogy több fájlt és könyvtárat konfiguráljon, amelyeket a segéd figyelhet.
Futtassa a következő parancsot a kezdeti adatbázis létrehozásához:
sudo aide --init
3. Az adatbázis használatának megkezdéséhez távolítsa el a .new
részkarakterláncot a kezdeti adatbázisfájl nevéből.
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4. Az AIDE adatbázis további védelme érdekében módosíthatja annak alapértelmezett helyét a konfigurációs fájl szerkesztésével, módosíthatja a DBDIR értéket, és rámutathat az adatbázis új helye.
@@define DBDIR /path/to/secret/db/location
A további biztonság érdekében tárolja az adatbázis-konfigurációs fájlt és az /usr/sbin/aide bináris fájlt egy biztonságos helyen, például egy írásvédett adathordozón. Fontos, hogy a konfiguráció és/vagy az adatbázis aláírásával növelheti a biztonságot.
Integritás-ellenőrzések végrehajtása a Fedorában
5. A Fedora rendszer kézi ellenőrzéséhez futtassa a következő parancsot.
sudo aide --check
A fenti parancs kimenete különbségeket mutat az adatbázis és a fájlrendszer aktuális állapota között. Megjeleníti a bejegyzések összegzését és részletes információkat a megváltozott bejegyzésekről.
6. A hatékony használat érdekében az AIDE-et úgy kell beállítania, hogy cron-feladatként fusson, és ütemezett vizsgálatokat hajtson végre, akár hetente (legalább), akár naponta (legfeljebb). .
Például egy vizsgálat ütemezéséhez mindennap éjfélre, adja hozzá a következő cron bejegyzést az /etc/crontab fájlba.
00 00 * * * root /usr/sbin/aide --check
AIDE adatbázis frissítése
7. Miután megerősítette a rendszer változásait, például a csomagfrissítéseket vagy a konfigurációs fájlok módosításait, frissítse az alap AIDE-adatbázist a következő paranccsal.
sudo aide --update
Az aide --update
parancs egy új /var/lib/aide/aide.db.new.gz adatbázisfájlt hoz létre. Ha használni szeretné későbbi vizsgálatokhoz, át kell neveznie a korábban bemutatott módon (távolítsa el a .new részkarakterláncot a fájlnévből).
Az AIDE-ről további információkért tekintse meg a kézikönyv oldalát.
man aide
Más Linux-disztribúciók esetében megtekintheti: Hogyan ellenőrizheti a fájlok és könyvtárak integritását az „AIDE” használatával Linuxban.
Az AIDE egy hatékony segédprogram a fájlok és könyvtárak integritásának ellenőrzésére Unix-szerű operációs rendszereken, például Linuxon. Ebben a cikkben bemutattuk, hogyan kell telepíteni és használni az AIDE-t Fedora Linuxban. Van-e kérdése(i) vagy megjegyzése az AIDE-vel kapcsolatban, ha igen, használja a visszajelzési űrlapot, hogy kapcsolatba lépjen velünk.