Debian

Namestite Debian Linux - napredno okolje za odkrivanje vdorov

Namestite Debian Linux - napredno okolje za odkrivanje vdorov
Okolje za napredno odkrivanje vdorov (AIDE) je še ena metoda za odkrivanje nepravilnosti v sistemu. AIDE ne smemo zamenjevati s bolj znanimi sistemi za odkrivanje vdorov, kot je OSSEC ali Smrči ki za odkrivanje napadov ali varnostnih dogodkov analizira promet in išče nenavadne pakete.

V nasprotju s temi sistemi za odkrivanje vdorov (običajno imenovanimi IDS) okolje za napredno odkrivanje vdorov (znano kot AIDE) preverja celovitost datotek s primerjavo informacij in atributov sistemskih datotek s prvotno ustvarjeno bazo podatkov.

Najprej ustvari bazo podatkov zdravega sistema za kasnejšo primerjavo integritete z uporabo algoritmov sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool z neobveznimi integracijami za gost, haval in cr32b. Seveda AIDE podpira daljinsko spremljanje.

Skupaj z informacijami o datotekah AIDE preverja lastnosti datotek, kot so vrsta datoteke, dovoljenja, GID, UID, velikost, ime povezave, število blokov, število povezav, mtime, ctime in atime ter atributi, ki jih ustvari XAttrs, SELinux, Posix ACL in razširjeno. Z AIDE lahko določite datoteke in imenike, ki jih želite izključiti ali vključiti v nadzorne naloge.

Namestitev in konfiguracija: Namestite napredno okolje za odkrivanje vdorov v Debian

Za začetek z namestitvijo AIDE v Debian in izvedene distribucije Linuxa zaženite:

# apt namestite aide-common -y

Po namestitvi AIDE je prvi korak ustvariti bazo podatkov v vašem zdravstvenem sistemu, ki jo bomo primerjali s posnetki za preverjanje celovitosti datotek.

Če želite zgraditi začetni zagon baze podatkov:

# sudo aideinit

Opomba: če ste imeli prejšnjo zbirko podatkov, jo bo AIDE prepisal (predhodna zahteva za potrditev), je priporočljivo, da pred nadaljevanjem preverite.

Ta postopek lahko traja dolge minute, dokler se ne prikaže izhod, ki ga vidite spodaj

Kot lahko vidite, je bila baza podatkov ustvarjena na / var / lib / aide / aide.db.novo, v imeniku / var / lib / aide / videli boste tudi datoteko z imenom pomočnik.db:

# pomočnik.ovoj -c / etc / aide / aide.conf --check

Če je izhod 0 AIDE, ni našel težav. Če se uporabi oznaka zastavice, so možni izhodi v pomenu:

1 = V sistemu so bile najdene nove datoteke.
2 = Datoteke so bile odstranjene iz sistema.
4 = Datoteke v sistemu so se spremenile.
14 = Napaka pri pisanju.
15 = Neveljavna napaka argumenta.
16 = Neizvedena napaka funkcije.
17 = Neveljavna napaka konfiguracijske črte.
18 = napaka V / I.
19 = Napaka pri neusklajenosti različice.

Možnosti in parametri AIDE vključujejo:

-v ali -jaz: ta možnost inicializira bazo podatkov, to je obvezno izvajanje pred kakršnim koli preverjanjem, preverjanja ne bodo delovala, če baza podatkov ni bila najprej inicializirana.

-preverite ali -C: pri uporabi te možnosti AIDE primerja sistemske datoteke z informacijami iz baze podatkov. To je privzeta možnost, ki se uporablja, ko se AIDE izvaja brez možnosti.

-nadgradnja ali -u: ta možnost se uporablja za posodobitev baze podatkov.

-primerjaj: ta možnost se uporablja za primerjavo različnih baz podatkov, baze podatkov morajo biti predhodno definirane v konfiguracijski datoteki.

-config-check ali -D: ta možnost je uporabna za iskanje napak v konfiguracijski datoteki, z dodajanjem tega ukaza bo AIDE prebral samo konfiguracijo, ne da bi nadaljeval postopek s preverjanjem datotek.

-konfig ali -c = ta parameter je uporaben za določitev druge konfiguracijske datoteke, ki ni aide.conf.

-prej ali -B = dodajte konfiguracijske parametre pred branjem konfiguracijske datoteke.

-po ali -A = dodajte konfiguracijske parametre po branju konfiguracijske datoteke.

-glasen ali -V = s tem ukazom lahko določite stopnjo podrobnosti, ki jo lahko določite med 0 in 255.

-poročilo ali -r = s to možnostjo lahko pošljete poročilo o rezultatih AIDE na druge cilje, lahko ponovite to možnost in naročite AIDE, naj pošlje poročila na različne cilje.

Dodatne informacije o teh in več ukazih in možnostih AIDE najdete na priročni strani.

Konfiguracijska datoteka AIDE:

Konfiguracija AIDE se izvede v konfiguracijski datoteki, ki se nahaja v / etc / aide.conf, od tam lahko določite vedenje AIDE, spodaj so razložene nekatere najbolj priljubljene možnosti:

Vrstice v konfiguracijski datoteki med več funkcionalnosti vključujejo:

database_out: tukaj lahko določite novo lokacijo db. Medtem ko lahko med zagonom ukaza določite več ciljev, lahko v tej konfiguracijski datoteki nastavite samo en url.

database_new: izvor db url pri primerjavi baz podatkov.

data_attrs: Kontrolna vsota

database_add_metadata: dodajte dodatne informacije kot komentarje, kot je ustvarjanje časa db itd.

podroben: tukaj lahko vnesete vrednost med 0 in 255, da določite raven podrobnosti.

report_url: url, ki definira izhodno lokacijo.

report_quiet: preskoči izhod, če niso bile najdene razlike.

gzip_dbout: tukaj lahko določite, ali naj bo db stisnjen (odvisno od zlib).

warn_dead_symlinks: določite, ali je treba poročati o mrtvih simbolnih povezavah ali ne.

razvrščeni: skupinske datoteke, ki naj bi se spremenile.

Več navodil o možnostih konfiguracijske datoteke je na voljo na https: // linux.umreti.net / man / 5 / aide.conf.

Upam, da vam je bil ta članek o namestitvi in ​​konfiguriranju okolja za napredno zaznavanje vdorov Debian Linux koristen. Še naprej sledite LinuxHint za več nasvetov in posodobitev o Linuxu in mreženju.

Igre Vadnica za OpenTTD
Vadnica za OpenTTD
OpenTTD je ena izmed najbolj priljubljenih poslovnih simulacijskih iger. V tej igri morate ustvariti čudovit prevozniški posel. Vendar boste začeli na...
Igre SuperTuxKart za Linux
SuperTuxKart za Linux
SuperTuxKart je odličen naslov, zasnovan tako, da vam brezplačno ponuja izkušnjo Mario Kart v vašem sistemu Linux. Igrati je precej zahtevno in zabavn...
Igre Vadnica za bitko za Wesnoth
Vadnica za bitko za Wesnoth
Bitka za Wesnoth je ena izmed najbolj priljubljenih odprtokodnih strateških iger, ki jih lahko trenutno igrate. Ne samo, da se ta igra razvija že zelo...