Jak zkontrolovat integritu pomocí AIDE ve Fedoře
AIDE (Advanced Intrusion Detection Environment) je program pro kontrolu integrity souboru a adresáře na jakémkoli moderním unixovém systému. Vytvoří databázi souborů v systému a poté tuto databázi použije jako měřítko pro zajištění integrity souborů a detekci narušení systému.
V tomto článku si ukážeme, jak nainstalovat a používat AIDE ke kontrole integrity souborů a adresářů v distribuci Fedora.
Jak nainstalovat AIDE ve Fedoře
1. Nástroj AIDE je součástí Fedora Linux ve výchozím nastavení, proto jej můžete nainstalovat pomocí výchozího správce balíčků dnf, jak je znázorněno.
sudo dnf install aide
2. Po dokončení instalace je třeba vytvořit počáteční databázi AIDE, což je snímek systému v normálním stavu. Tato databáze bude sloužit jako měřítko, podle kterého se budou měřit všechny následné aktualizace a změny.
Všimněte si, že je důležité vytvořit databázi na novém systému, než bude přenesena do sítě. A za druhé, výchozí konfigurace asistenta umožňuje kontrolu sady adresářů a souborů definovaných v souboru /etc/aide.conf. Tento soubor musíte odpovídajícím způsobem upravit, abyste nakonfigurovali další soubory a adresáře, které má asistent sledovat.
Spusťte následující příkaz pro vygenerování počáteční databáze:
sudo aide --init
3. Chcete-li začít používat databázi, odstraňte podřetězec .new z původního názvu souboru databáze.
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4. Pro další ochranu databáze AIDE můžete změnit její výchozí umístění úpravou konfiguračního souboru a úpravou hodnoty DBDIR a nasměrovat ji na nové umístění databáze.
@@define DBDIR /path/to/secret/db/location
Pro další zabezpečení uložte konfigurační soubor databáze a binární soubor /usr/sbin/aide na bezpečné místo, jako je médium pouze pro čtení. Důležité je, že ve skutečnosti můžete zvýšit zabezpečení podepsáním konfigurace a/nebo databáze.
Provádění kontrol integrity ve Fedoře
5. Pro ruční kontrolu systému Fedory spusťte následující příkaz.
sudo aide --check
Výstup výše uvedeného příkazu ukazuje rozdíly mezi databází a aktuálním stavem souborového systému. Zobrazuje souhrn záznamů a podrobné informace o změněných záznamech.
6. Pro efektivní využití byste měli nakonfigurovat AIDE tak, aby se spouštěl jako úloha cron, aby prováděla naplánovaná prověřování, a to buď týdně (minimálně) nebo denně (maximálně). .
Chcete-li například naplánovat kontrolu každý den o půlnoci, přidejte do souboru /etc/crontab následující záznam cron.
00 00 * * * root /usr/sbin/aide --check
Aktualizace databáze AIDE
7. Po potvrzení změn vašeho systému, jako jsou aktualizace balíčků nebo úpravy konfiguračních souborů, aktualizujte základní databázi AIDE pomocí následujícího příkazu.
sudo aide --update
Příkaz aide --update vytvoří nový databázový soubor /var/lib/aide/aide.db.new.gz. Chcete-li jej začít používat pro budoucí kontroly, musíte jej přejmenovat, jak je uvedeno výše (odstraňte podřetězec .new z názvu souboru).
Pro další informace o AIDE se můžete podívat na jeho manuálovou stránku.
man aide
Pro ostatní distribuce Linuxu se můžete podívat na: Jak zkontrolovat integritu souboru a adresáře pomocí „AIDE“ v Linuxu.
AIDE je výkonný nástroj pro kontrolu integrity souborů a adresářů v operačních systémech podobných Unixu, jako je Linux. V tomto článku jsme si ukázali, jak nainstalovat a používat AIDE ve Fedora Linux. Máte nějaké dotazy nebo komentáře týkající se AIDE, pokud ano, kontaktujte nás pomocí formuláře pro zpětnou vazbu.