Oppsett Debian Linux - Avansert inntrengingsdeteksjonsmiljø

Oppsett Debian Linux - Avansert inntrengingsdeteksjonsmiljø
Avansert inntrengingsdeteksjonsmiljø (AIDE) er en annen metode for å oppdage anomalier i systemet. Hjelpen må ikke forveksles med mer kjente inntrengingsdeteksjonssystemer som OSSEC eller Snort som for å oppdage angrep eller sikkerhetshendelser analyserer trafikken på jakt etter anomale pakker.

I motsetning til disse inntrengingsdeteksjonssystemene (vanligvis referert til som ID -er), sjekker avansert inntrenging av inntrenging.

Først oppretter det databasen til det sunne systemet for senere. Selvfølgelig støtter Aide Remote Monitoring.

Sammen med filer informasjonshjelper sjekker for filer attributter som filtype, tillatelser, GID, UID, størrelse, koblingsnavn, blokkering, antall lenker, mtime, ctime og atime og attributter generert av xattrs, selinux, posix ACL og utvidet. Med hjelpemiddel er det mulig å spesifisere filer og kataloger som skal ekskluderes eller inkludert i overvåkingsoppgavene.

Oppsett og konfigurer: Installer avansert inntrengingsdeteksjonsmiljø på Debian

For å starte med å installere hjelpemiddel på Debian og avledet Linux -distribusjoner kjører:

# Apt installer hjelpemelding -felles -y

Etter å ha installert hjelpemiddel, er det første trinnet å følge å lage en database på helsesystemet ditt som skal kontrasteres med øyeblikksbilder for å bekrefte filer integritet.

For å bygge den første databasekjøringen:

# sudo aideinit

Merk: Hvis du hadde en tidligere databasehjelp, vil overskrive den (tidligere bekreftelsesforespørsel), anbefales det å gjøre en bekreftelse før du fortsetter.

Denne prosessen kan vare lange minutter til du viser utdataene du kan se nedenfor

Som du kan se, ble databasen generert på/var/lib/hjelpemann/hjelpemann.db.Ny, innenfor katalogen /var/lib/hjelpemiddel/ Du vil også se en fil som heter assistent.db:

# Aide.innpakning -c/etc/hjelpemann/hjelpemiddel.Conf -Check

Hvis utgangen er 0 at hjelpemidler ikke fant problemer. Hvis flagg -sjekken blir brukt, er de mulige utgangene som betyr:

1 = nye filer ble funnet i systemet.
2 = filer ble fjernet fra systemet.
4 = filer i systemet fikk endringer.
14 = feilskrivingsfeil.
15 = Ugyldig argumentfeil.
16 = uimplementert funksjonsfeil.
17 = Ugyldig konfigurasjonsfeil.
18 = I/O -feil.
19 = versjonens feilpasningsfeil.

Hjelpemuligheter og parametere inkluderer:

-i det eller -Jeg: Dette alternativet initialiserer databasen, dette er en obligatorisk utførelse før noen sjekk, sjekker vil ikke fungere hvis databasen ikke ble initialisert først.

-Sjekk eller -C: Når du brukes dette alternativet, sammenligner systemfilene med databaseinformasjonen. Dette er standardalternativet som brukes når hjelpemiddel blir utført uten alternativer.

-Oppdater eller -u: Dette alternativet brukes til å oppdatere en database.

-sammenligne: Dette alternativet brukes til å sammenligne forskjellige databaser, databaser må tidligere defineres i konfigurasjonsfilen.

-Config-Check eller -D: Dette alternativet er nyttig for å finne feil i konfigurasjonsfilen, ved å legge til denne kommandohjelpen vil bare lese konfigurasjonen uten å fortsette prosessen med filkontroll.

-konfigurasjon eller -c = Denne parameteren er nyttig for å spesifisere annen konfigurasjonsfil enn Aide.konf.

-før eller -B = Legg til konfigurasjonsparametere før du leser konfigurasjonsfilen.

-etter eller -EN = Legg til konfigurasjonsparametere etter å ha lest konfigurasjonsfilen.

-verbose eller -V = Med denne kommandoen kan du spesifisere verbositetsnivået som kan defineres mellom 0 og 255.

-rapportere eller -r = Med dette alternativet kan du sende Aides resultatrapport til andre destinasjoner, kan du gjenta dette alternativet som instruerer Aide om å sende rapporter til forskjellige destinasjoner.

Du kan få tilleggsinformasjon om disse og flere AIDE -kommandoer og alternativer på Man -siden.

Aidekonfigurasjonsfil:

Aides konfigurasjon gjøres på konfigurasjonsfilen som ligger i /etc /hjelpemiddel.Konf, derfra kan du definere Aides oppførsel, nedenfor har du noen av de mest populære alternativene forklart:

Linjene i konfigurasjonsfilen inkluderer, blant flere funksjonaliteter:

database_out: Her kan du spesifisere den nye DB -plasseringen. Mens du kan definere flere destinasjoner når du starter kommandoen, kan du i denne konfigurasjonsfilen bare angi en URL.

Database_new: Kilde DB URL når du sammenligner databaser.

Database_attrs: Sjekksum

database_add_metadata: Legg til tilleggsinformasjon som kommentarer som DB Time Creation, etc.

Verbose: Her kan du legge inn en verdi mellom 0 og 255 for å definere verbositetsnivået.

rapport_url: URL Defining Output Location.

rapport_quiet: hopper over utgangen hvis det ikke ble funnet noen forskjeller.

gzip_dbout: Her kan du definere om DB skal komprimeres (avhenger av Zlib).

WARN_DEAD_SYMLINKS: definere om døde symlinks skal rapporteres eller ikke.

gruppert: gruppefiler som angivelig fikk endringer.

Flere instruksjoner om konfigurasjonsfilalternativene er tilgjengelige på https: // linux.dø.nett/mann/5/hjelpemann.konf.

Jeg håper du fant denne artikkelen om oppsett og konfigurer Debian Linux installer avansert inntrengingsdeteksjonsmiljø nyttig. Fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverksbygging.