Berbeza dengan Sistem Pengesanan Pencerobohan ini (Biasanya disebut sebagai IDS), Lingkungan Pengesanan Pencerobohan Lanjutan (Dikenal sebagai AIDE) memeriksa integriti fail dengan membandingkan maklumat dan atribut fail sistem dengan pangkalan data yang mula-mula dibuat.
Mula-mula ia membuat pangkalan data sistem yang sihat untuk kemudian membandingkan integriti menggunakan algoritma sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool dengan integrasi pilihan untuk gost, haval dan cr32b. Sudah tentu AIDE menyokong pemantauan jarak jauh.
Bersama dengan maklumat fail AIDE memeriksa atribut fail seperti jenis fail, izin, GID, UID, ukuran, nama pautan, jumlah blok, jumlah pautan, mtime, ctime dan atime dan atribut yang dihasilkan oleh XAttrs, SELinux, Posix ACL dan Diperpanjang. Dengan AIDE adalah mungkin untuk menentukan fail dan direktori yang akan dikecualikan atau dimasukkan dalam tugas pemantauan.
Siapkan dan konfigurasikan: Pasang Persekitaran Pengesanan Pencerobohan Lanjutan di Debian
Untuk memulakan dengan memasang AIDE pada Debian dan edaran Linux yang berasal dijalankan:
# apt pasang aide-common -y
Setelah memasang AIDE, langkah pertama yang harus diikuti adalah dengan membuat pangkalan data pada sistem kesihatan anda yang akan dibandingkan dengan snapshot untuk mengesahkan integriti fail.
Untuk membina pangkalan data awal, jalankan:
# sudo aideinit
Nota: jika anda mempunyai pangkalan data sebelumnya AIDE akan menimpanya (permintaan pengesahan sebelumnya), disarankan untuk melakukan verifikasi sebelum meneruskan.
Proses ini mungkin berlangsung beberapa minit sehingga menunjukkan output yang dapat anda lihat di bawah
Seperti yang anda lihat pangkalan data dihasilkan di / var / lib / aide / aide.db.baru, dalam direktori / var / lib / pembantu / anda juga akan melihat fail yang dipanggil pembantu.db:
# pembantu.pembungkus -c / etc / pembantu / pembantu.conf - semak
Sekiranya output 0 AIDE tidak menemui masalah. Sekiranya tanda semak digunakan, maka kemungkinan makna output adalah:
1 = Fail baru dijumpai di dalam sistem.
2 = Fail dikeluarkan dari sistem.
4 = Fail dalam sistem mengalami perubahan.
14 = Kesalahan menulis kesalahan.
15 = Kesalahan argumen tidak sah.
16 = Kesalahan fungsi yang tidak dilaksanakan.
17 = Ralat konfigurasi tidak sah.
18 = Kesalahan I / O.
19 = Kesalahan ketidakcocokan versi.
Pilihan dan parameter AIDE merangkumi:
-di dalamnya atau -i: pilihan ini menginisialisasi pangkalan data, ini adalah pelaksanaan wajib sebelum pemeriksaan, pemeriksaan tidak akan berfungsi jika pangkalan data tidak diinisialisasi terlebih dahulu.
-periksa atau -C: apabila digunakan pilihan ini AIDE membandingkan fail sistem dengan maklumat pangkalan data. Ini adalah pilihan lalai yang digunakan ketika AIDE dijalankan tanpa pilihan.
-kemas kini atau -awak: pilihan ini digunakan untuk mengemas kini pangkalan data.
-membandingkan: pilihan ini digunakan untuk membandingkan pangkalan data yang berbeza, pangkalan data mesti ditentukan sebelumnya dalam fail konfigurasi.
-semak-konfigurasi atau -D: pilihan ini berguna untuk mencari kesalahan dalam file konfigurasi, dengan menambahkan perintah ini AIDE hanya akan membaca konfigurasi tanpa melanjutkan proses dengan memeriksa file.
-konfigurasi atau -c = parameter ini berguna untuk menentukan fail konfigurasi lain daripada pembantu.pengesahan.
-sebelum ini atau -B = tambahkan parameter konfigurasi sebelum membaca fail konfigurasi.
-selepas atau -A = tambahkan parameter konfigurasi setelah membaca fail konfigurasi.
-kata kerja atau -V = dengan arahan ini anda dapat menentukan tahap verbositi yang dapat ditentukan antara 0 dan 255.
-lapor atau -r = dengan pilihan ini, anda dapat mengirim laporan hasil AIDE ke destinasi lain, anda boleh mengulangi pilihan ini yang memerintahkan AIDE untuk menghantar laporan ke destinasi yang berlainan.
Anda boleh mendapatkan maklumat tambahan mengenai perintah dan pilihan AIDE ini dan lebih banyak di halaman manual.
Fail Konfigurasi AIDE:
Konfigurasi AIDE dilakukan pada fail konfigurasi yang terdapat di dalam / etc / aide.conf, dari sana anda dapat menentukan tingkah laku AIDE, di bawah ini anda ada beberapa pilihan paling popular yang dijelaskan:
Garis dalam fail konfigurasi merangkumi, antara fungsi yang lebih banyak:
database_out: di sini anda boleh menentukan lokasi db baru. Walaupun anda dapat menentukan beberapa tujuan semasa melancarkan perintah, dalam fail konfigurasi ini anda hanya boleh menetapkan satu url.
pangkalan data_baru: sumber db url semasa membandingkan pangkalan data.
pangkalan data_attrs: Checksum
pangkalan data_add_metadata: tambahkan maklumat tambahan seperti komen seperti pembuatan masa db, dll.
kata kerja: di sini anda boleh memasukkan nilai antara 0 dan 255 untuk menentukan tahap verbositi.
report_url: url menentukan lokasi output.
report_quiet: melangkau output sekiranya tidak terdapat perbezaan.
gzip_dbout: di sini anda boleh menentukan apakah db harus dimampatkan (bergantung pada zlib).
warn_dead_symlinks: tentukan sama ada symlink mati mesti dilaporkan atau tidak.
dikumpulkan: fail kumpulan yang dilaporkan mengalami perubahan.
Lebih banyak arahan mengenai pilihan fail konfigurasi boleh didapati di https: // linux.mati.net / lelaki / 5 / pembantu.pengesahan.
Saya harap artikel ini mengenai Persediaan Dan Konfigurasi Debian Linux Install Advanced Intrusion Detection Environment berguna. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux dan rangkaian.