Wyszukiwanie w witrynie

Jak sprawdzić integralność za pomocą AIDE w Fedorze


AIDE (Advanced Intrusion Detection Environment) to program do sprawdzania integralności pliku i katalogu w dowolnym nowoczesnym systemie typu Unix. Tworzy bazę danych plików w systemie, a następnie wykorzystuje tę bazę danych jako miarę w celu zapewnienia integralności plików i wykrywania włamań do systemu.

W tym artykule pokażemy, jak zainstalować i używać AIDE do sprawdzania integralności plików i katalogów w dystrybucji Fedory.

Jak zainstalować AIDE w Fedorze

1. Narzędzie AIDE jest domyślnie zawarte w Fedorze Linux, dlatego możesz użyć domyślnego menedżera pakietów dnf, aby zainstalować je, jak pokazano.

sudo dnf install aide  

2. Po zakończeniu instalacji musisz utworzyć początkową bazę danych AIDE, która jest migawką systemu w normalnym stanie. Ta baza danych będzie stanowić miarę, według której będą mierzone wszystkie kolejne aktualizacje i zmiany.

Należy pamiętać, że ważne jest utworzenie bazy danych w nowym systemie, zanim zostanie ona włączona do sieci. Po drugie, domyślna konfiguracja aide umożliwia sprawdzenie zestawu katalogów i plików zdefiniowanych w pliku /etc/aide.conf. Musisz odpowiednio zmodyfikować ten plik, aby skonfigurować więcej plików i katalogów do obserwowania przez pomocnika.

Uruchom następującą komendę, aby wygenerować początkową bazę danych:

sudo aide --init

3. Aby rozpocząć korzystanie z bazy danych, usuń podciąg .new z początkowej nazwy pliku bazy danych.

sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4. Aby jeszcze bardziej chronić bazę danych AIDE, możesz zmienić jej domyślną lokalizację, edytując plik konfiguracyjny i modyfikując wartość DBDIR i wskazując ją nowa lokalizacja bazy danych.

@@define DBDIR  /path/to/secret/db/location

Aby zapewnić dodatkowe bezpieczeństwo, przechowuj plik konfiguracyjny bazy danych i plik binarny /usr/sbin/aide w bezpiecznym miejscu, np. na nośniku tylko do odczytu. Co ważne, faktycznie można zwiększyć bezpieczeństwo podpisując konfigurację i/lub bazę danych.

Wykonywanie kontroli integralności w Fedorze

5. Aby ręcznie przeskanować system Fedora, uruchom następujące polecenie.

sudo aide --check

Dane wyjściowe powyższego polecenia pokazują różnice między bazą danych a bieżącym stanem systemu plików. Wyświetla podsumowanie wpisów oraz szczegółowe informacje o zmienionych wpisach.

6. Aby zapewnić efektywne wykorzystanie, powinieneś skonfigurować AIDE tak, aby działał jako zadanie cron i wykonywał zaplanowane skanowanie co tydzień (co najmniej) lub codziennie (maksymalnie) .

Na przykład, aby zaplanować skanowanie codziennie o północy, dodaj następujący wpis cron w pliku /etc/crontab.

00  00  *  *  *  root  /usr/sbin/aide --check

Aktualizacja bazy danych AIDE

7. Po potwierdzeniu zmian w systemie, takich jak aktualizacje pakietów lub modyfikacje plików konfiguracyjnych, zaktualizuj podstawową bazę danych AIDE za pomocą następującego polecenia.

sudo aide --update

Komenda aide --update tworzy nowy plik bazy danych /var/lib/aide/aide.db.new.gz. Aby zacząć używać go do przyszłych skanów, musisz zmienić jego nazwę, jak pokazano wcześniej (usuń podciąg .new z nazwy pliku).

Dodatkowe informacje na temat AIDE znajdziesz na jego stronie podręcznika.

man aide

W przypadku innych dystrybucji Linuksa możesz sprawdzić: Jak sprawdzić integralność pliku i katalogu za pomocą „AIDE” w systemie Linux.

AIDE to potężne narzędzie do sprawdzania integralności plików i katalogów w systemach operacyjnych typu Unix, takich jak Linux. W tym artykule pokazaliśmy, jak zainstalować i używać AIDE w Fedorze Linux. Czy masz jakieś pytania lub uwagi dotyczące AIDE? Jeśli tak, skorzystaj z formularza opinii, aby się z nami skontaktować.