Debian

Setup Debian Linux - Geavanceerde Intrusion Detection Environment

Setup Debian Linux - Geavanceerde Intrusion Detection Environment
Advanced Intrusion Detection Environment (AIDE) is een andere methode om afwijkingen in het systeem te detecteren. AIDE moet niet worden verward met meer algemeen bekende inbraakdetectiesystemen zoals: OSSEC of snuiven die om aanvallen of beveiligingsgebeurtenissen te detecteren het verkeer analyseert op zoek naar afwijkende pakketten.

In tegenstelling tot deze Intrusion Detection Systems (meestal IDS genoemd), controleert Advanced Intrusion Detection Environment (bekend als AIDE) de integriteit van bestanden door de informatie en kenmerken van systeembestanden te vergelijken met een database die oorspronkelijk is gemaakt.

Eerst wordt de database van het gezonde systeem gemaakt om later de integriteit te vergelijken met behulp van de algoritmen sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool met optionele integraties voor gost, haval en cr32b. Natuurlijk ondersteunt AIDE monitoring op afstand.

Samen met bestandsinformatie controleert AIDE op bestandskenmerken zoals bestandstype, machtigingen, GID, UID, grootte, linknaam, aantal blokken, aantal links, mtime, ctime en atime en attributen gegenereerd door XAttrs, SELinux, Posix ACL en Uitgebreid. Met AIDE is het mogelijk om bestanden en mappen te specificeren die moeten worden uitgesloten of opgenomen in monitoringtaken.

Instellen en configureren: Geavanceerde Intrusion Detection Environment installeren op Debian

Om te beginnen met het installeren van AIDE op Debian en afgeleide Linux-distributies:

# apt install aide-common -y

Nadat u AIDE hebt geïnstalleerd, is de eerste stap die u moet volgen, het maken van een database op uw gezondheidssysteem die kan worden gecontrasteerd met snapshots om de integriteit van de bestanden te verifiëren.

Om de eerste databaserun te bouwen:

# sudo aideinit

Opmerking: als u een eerdere database had, zal AIDE deze overschrijven (voorafgaand verzoek om bevestiging), het wordt aanbevolen om een ​​verificatie uit te voeren voordat u doorgaat.

Dit proces kan enkele minuten duren voordat de uitvoer wordt weergegeven die u hieronder kunt zien

Zoals u kunt zien, is de database gegenereerd in /var/lib/aide/aide.db.nieuw, in de directory /var/lib/hulp/ je ziet ook een bestand met de naam assistent.db:

# assistent.wrapper -c /etc/aide/aide.conf --controleer

Als de uitvoer 0 is, heeft AIDE geen problemen gevonden. Als de vlag -check wordt toegepast, zijn de mogelijke uitvoerbetekenissen:

1 = Er zijn nieuwe bestanden gevonden in het systeem.
2 = Bestanden zijn van het systeem verwijderd.
4 = Bestanden in het systeem hebben wijzigingen ondergaan.
14 = Fout bij schrijven.
15 = Ongeldige argumentfout.
16 = Niet geïmplementeerde functiefout.
17 = Ongeldige configuratieregelfout.
18 = I/O-fout.
19 = Fout bij niet-overeenkomende versie.

AIDE-opties en -parameters omvatten:

-in het of -ik: deze optie initialiseert de database, dit is een verplichte uitvoering voorafgaand aan een controle, controles werken niet als de database niet eerst is geïnitialiseerd.

-controleren of -C: indien toegepast vergelijkt deze optie AIDE de systeembestanden met de database-informatie. Dit is de standaardoptie die wordt toegepast wanneer AIDE wordt uitgevoerd zonder opties.

-bijwerken of -jij: deze optie wordt gebruikt om een ​​database bij te werken.

-vergelijken: deze optie wordt gebruikt om verschillende databases te vergelijken, databases moeten vooraf gedefinieerd zijn in het configuratiebestand.

-config-check of -D: deze optie is handig om fouten in het configuratiebestand te vinden, door dit commando toe te voegen zal AIDE alleen de configuratie lezen zonder het proces voort te zetten met het controleren van bestanden.

-configuratie of -c = deze parameter is handig om een ​​ander configuratiebestand op te geven dan aide.conf.

-voordat of -B = voeg configuratieparameters toe voordat het configuratiebestand wordt gelezen.

-na of -EEN = voeg configuratieparameters toe na het lezen van het configuratiebestand.

-uitgebreid of -V = met dit commando kunt u het breedsprakigheidsniveau specificeren dat kan worden gedefinieerd tussen 0 en 255.

-verslag doen van of -r = met deze optie kunt u het resultatenrapport van AIDE naar andere bestemmingen verzenden, u kunt deze optie herhalen en AIDE instrueren om rapporten naar verschillende bestemmingen te verzenden.

U kunt aanvullende informatie krijgen over deze en meer AIDE-commando's en opties in de man-pagina.

AIDE-configuratiebestand:

De configuratie van AIDE wordt gedaan in het configuratiebestand in /etc/aideai.conf, van daaruit kun je het gedrag van AIDE definiëren, hieronder heb je enkele van de meest populaire opties uitgelegd:

De regels in het configuratiebestand bevatten onder meer:

database_out: hier kunt u de nieuwe db-locatie opgeven. Hoewel u verschillende bestemmingen kunt definiëren bij het starten van de opdracht, kunt u in dit configuratiebestand slechts één url instellen.

database_nieuw: bron db url bij het vergelijken van databases.

database_attrs: Controlesom

database_add_metadata: voeg aanvullende informatie toe als opmerkingen, zoals het maken van db-tijd, enz.

uitgebreid: hier kunt u een waarde tussen 0 en 255 invoeren om het breedsprakigheidsniveau te definiëren.

report_url: URL die uitvoerlocatie definieert.

report_stil: slaat uitvoer over als er geen verschillen zijn gevonden.

gzip_dbout: hier kun je definiëren of de db moet worden gecomprimeerd (afhankelijk van zlib).

warn_dead_symlinks: definieer of dode symbolische links moeten worden gerapporteerd of niet.

gegroepeerd: groepsbestanden die naar verluidt wijzigingen hebben ondergaan.

Meer instructies over de configuratiebestandsopties zijn beschikbaar op: https://linux.dood gaan.net/man/5/hulp.conf.

Ik hoop dat je dit artikel over de installatie en configuratie van Debian Linux Advanced Intrusion Detection Environment nuttig vond. Blijf Linux volgen Hint voor meer tips en updates over Linux en netwerken.

Spellen Hoe League Of Legends op Ubuntu 14 te installeren.04
Hoe League Of Legends op Ubuntu 14 te installeren.04
Als je fan bent van League of Legends, dan is dit een kans voor jou om League of Legends te testen. Merk op dat LOL wordt ondersteund op PlayOnLinux a...
Spellen Installeer de nieuwste OpenRA Strategy Game op Ubuntu Linux
Installeer de nieuwste OpenRA Strategy Game op Ubuntu Linux
OpenRA is een Libre/Free Real Time Strategy-game-engine die de vroege Westwood-games nabootst, zoals de klassieke Command & Conquer: Red Alert. Gedist...
Spellen Installeer de nieuwste Dolphin Emulator voor Gamecube & Wii op Linux
Installeer de nieuwste Dolphin Emulator voor Gamecube & Wii op Linux
Met de Dolphin Emulator kun je de door jou gekozen Gamecube- en Wii-spellen spelen op Linux Personal Computers (pc). Omdat het een vrij beschikbare e...