Sådan kontrolleres integritet med AIDE i Fedora

AIDE (Advanced Intrusion Detection Environment) er et program til at kontrollere integriteten af en fil og bibliotek på ethvert moderne Unix-lignende system. Det opretter en database med filer på systemet og bruger derefter databasen som målestok for at sikre filintegritet og opdage systemindbrud.

I denne artikel viser vi, hvordan du installerer og bruger AIDE til at kontrollere fil- og katalogintegritet i Fedora-distribution.

Sådan installeres AIDE i Fedora

1. Hjælpeprogrammet AIDE er inkluderet i Fedora Linux som standard, derfor kan du bruge standard dnf-pakkehåndtering til at installere det som vist.

$ sudo dnf install aide  

2. Når installationen er afsluttet, skal du oprette den indledende AIDE-database, som er et øjebliksbillede af systemet i normal tilstand. Denne database fungerer som målestok, som alle efterfølgende opdateringer og ændringer måles mod.

Bemærk, at det er vigtigt at oprette databasen på et nyt system, før den bringes på netværket. Og for det andet gør standardhjælpekonfigurationen det muligt at kontrollere et sæt mapper og filer, der er defineret i /etc/aide.conf-filen. Du skal redigere denne fil i overensstemmelse hermed for at konfigurere flere filer og mapper, der skal overvåges af hjælperen.

Kør følgende kommando for at generere den indledende database:

$ sudo aide --init

3. For at begynde at bruge databasen skal du fjerne .ny -strengen fra det oprindelige databasefilnavn.

$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4. For yderligere at beskytte AIDE-databasen kan du ændre dens standardplacering ved at redigere konfigurationsfilen og ændre DBDIR-værdien og pege på den nye placering af databasen.

@@define DBDIR  /path/to/secret/db/location

For yderligere sikkerhed skal du gemme databasekonfigurationsfilen og/usr/sbin/aide-binærfilen et sikkert sted såsom et skrivebeskyttet medium. Det er vigtigt, at du faktisk øger sikkerheden ved at underskrive konfigurationen og/eller databasen.

Udførelse af integritetskontrol i Fedora

5. For at manuelt scanne Fedora-systemet skal du køre følgende kommando.

$ sudo aide --check

Outputtet fra ovenstående kommando viser forskelle mellem databasen og filsystemets aktuelle tilstand. Det viser en oversigt over poster og detaljerede oplysninger om de ændrede poster.

6. For effektiv brug skal du konfigurere AIDE til at køre som et cron-job, til at udføre planlagte scanninger, enten ugentligt (minimum) eller dagligt (maksimalt).

Hvis du f.eks. Vil planlægge en scanning ved midnat hver dag, skal du tilføje følgende cron-post i filen/etc/crontab.

00  00  *  *  *  root  /usr/sbin/aide --check

Opdatering af en AIDE-database

7. Efter at have bekræftet ændringerne i dit system, såsom pakkeopdateringer eller konfigurationsfiler, skal du opdatere din baseline AIDE-database med følgende kommando.

$ sudo aide --update

Kommandoen aide --update opretter en ny databasefil /var/lib/aide/aide.db.new.gz. For at begynde at bruge det til fremtidige scanninger skal du omdøbe det som vist før (fjern .new-understrengen fra filnavnet).

For yderligere information om AIDE kan du tjekke dens mandside.

$ man aide

For andre Linux-distributioner kan du tjekke ud: Sådan kontrolleres filens og bibliotekets integritet ved hjælp af "AIDE" i Linux.

AIDE er et kraftfuldt værktøj til kontrol af filer og kataloger på Unix-lignende operativsystemer som Linux. I denne artikel viste vi, hvordan du installerer og bruger AIDE i Fedora Linux. Har du spørgsmål eller kommentarer vedrørende AIDE, hvis ja, så brug feedbackformularen til at nå os.