Настройка Debian Linux - расширенная среда обнаружения вторжений

Advanced Intrusion Detection Environment (AIDE) - еще один метод обнаружения аномалий в системе. AIDE не следует путать с более широко известными системами обнаружения вторжений, такими как OSSEC или же Фырканье который для обнаружения атак или событий безопасности анализирует трафик в поисках аномальных пакетов.

В отличие от этих систем обнаружения вторжений (обычно называемых IDS), расширенная среда обнаружения вторжений (известная как AIDE) проверяет целостность файлов путем сравнения информации и атрибутов системных файлов с изначально созданной базой данных.

Сначала он создает базу данных исправной системы для последующего сравнения целостности с использованием алгоритмов sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool с дополнительными интеграциями для gost, haval и cr32b. Конечно, AIDE поддерживает удаленный мониторинг.

Вместе с информацией о файлах AIDE проверяет атрибуты файлов, такие как тип файла, разрешения, GID, UID, размер, имя ссылки, количество блоков, количество ссылок, mtime, ctime и atime, а также атрибуты, сгенерированные XAttrs, SELinux, Posix ACL и расширенный. С помощью AIDE можно указать файлы и каталоги, которые нужно исключить или включить в задачи мониторинга.

Установка и настройка: установка расширенной среды обнаружения вторжений в Debian

Чтобы начать с установки AIDE в Debian и производных дистрибутивах Linux, выполните:

# apt install aide-common -y

После установки AIDE первым делом необходимо создать базу данных в вашей системе здравоохранения, которая будет сравниваться со снимками для проверки целостности файлов.

Чтобы создать начальную базу данных, запустите:

# sudo aideinit

Примечание: если у вас была предыдущая база данных, AIDE перезапишет ее (предварительный запрос подтверждения), рекомендуется выполнить проверку перед продолжением.

Этот процесс может длиться долгие минуты, пока не отобразится результат, который вы видите ниже

Как видите, база данных была создана в / var / lib / aide / aide.db.новый, в каталоге / вар / библиотека / помощник / вы также увидите файл с именем помощник.db:

# помощник.обертка -c / etc / aide / aide.conf --check

Если на выходе 0, AIDE не обнаружил проблем. Если применяется флаг -check, то возможные значения выходных данных следующие:

1 = в системе обнаружены новые файлы.
2 = Файлы были удалены из системы.
4 = Файлы в системе претерпели изменения.
14 = Ошибка при записи.
15 = Ошибка недопустимого аргумента.
16 = Ошибка нереализованной функции.
17 = Недопустимая ошибка строки конфигурации.
18 = ошибка ввода / вывода.
19 = Ошибка несоответствия версии.

Опции и параметры AIDE включают:

-в этом или же -я: эта опция инициализирует базу данных, это обязательное выполнение перед любой проверкой, проверки не будут работать, если база данных не была инициализирована первой.

-проверять или же -C: при использовании этой опции AIDE сравнивает системные файлы с информацией из базы данных. Это параметр по умолчанию, применяемый, когда AIDE выполняется без параметров.

-Обновить или же -ты: эта опция используется для обновления базы данных.

-сравнивать: эта опция используется для сравнения разных баз данных, базы данных должны быть предварительно определены в файле конфигурации.

-проверка конфигурации или же -D: эта опция полезна для поиска ошибок в файле конфигурации, добавив эту команду, AIDE будет только читать конфигурацию, не продолжая процесс проверки файлов.

-config или же -c = этот параметр полезен для указания другого файла конфигурации, кроме помощника.conf.

-перед или же -B = добавить параметры конфигурации перед чтением файла конфигурации.

-после или же -А = добавить параметры конфигурации после прочтения файла конфигурации.

-подробный или же -V = с помощью этой команды вы можете указать уровень детализации, который может быть определен от 0 до 255.

-отчет или же -р = с помощью этой опции вы можете отправить отчет о результатах AIDE в другие места назначения, вы можете повторить эту опцию, указав AIDE отправлять отчеты в разные места назначения.

Вы можете получить дополнительную информацию об этих и других командах и параметрах AIDE на странице руководства.

Файл конфигурации AIDE:

Конфигурация AIDE выполняется в файле конфигурации, расположенном в / etc / aide.conf, оттуда вы можете определить поведение AIDE, ниже вы объясните некоторые из наиболее популярных опций:

Строки в файле конфигурации включают, среди прочего, следующие функции:

database_out: здесь вы можете указать новое местоположение базы данных. Хотя при запуске команды вы можете определить несколько мест назначения, в этом файле конфигурации вы можете установить только один URL-адрес.

database_new: URL-адрес исходной базы данных при сравнении баз данных.

database_attrs: Контрольная сумма

database_add_metadata: добавить дополнительную информацию в виде комментариев, таких как создание времени БД и т. д.

подробный: здесь вы можете ввести значение от 0 до 255, чтобы определить уровень детализации.

report_url: URL-адрес, определяющий местоположение вывода.

report_quiet: пропускает вывод, если отличий не обнаружено.

gzip_dbout: здесь вы можете определить, следует ли сжимать db (зависит от zlib).

warn_dead_symlinks: определить, следует ли сообщать о мертвых символических ссылках или нет.

сгруппированы: групповые файлы, которые, как сообщается, претерпели изменения.

Дополнительные инструкции по параметрам файла конфигурации доступны по адресу https: // Linux.умри.сеть / человек / 5 / помощник.conf.

Надеюсь, вы нашли эту статью об установке и настройке Debian Linux Install Advanced Intrusion Detection Environment полезной. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux и сети.