Hvordan sjekke integritet med AIDE i Fedora

AIDE (Advanced Intrusion Detection Environment) er et program for å sjekke integriteten til en fil og katalog på ethvert moderne Unix-lignende system. Den oppretter en database med filer på systemet, og bruker deretter databasen som en målestokk for å sikre filintegritet og oppdage systeminntrenging.

I denne artikkelen vil vi vise hvordan du installerer og bruker AIDE for å sjekke fil- og katalogintegritet i Fedora-distribusjon.

Hvordan installere AIDE i Fedora

1. AIDE-verktøyet er inkludert i Fedora Linux som standard, derfor kan du bruke standard dnf-pakkebehandling for å installere det som vist.

$ sudo dnf install aide  

2. Etter at installasjonen er fullført, må du opprette den første AIDE-databasen, som er et øyeblikksbilde av systemet i normal tilstand. Denne databasen vil fungere som målestokken som alle påfølgende oppdateringer og endringer vil bli målt mot.

Merk at det er viktig å opprette databasen på et nytt system før den bringes inn på nettverket. Og for det andre, standard aide-konfigurasjon gjør det mulig å sjekke et sett med kataloger og filer definert i filen /etc/aide.conf. Du må redigere denne filen tilsvarende for å konfigurere flere filer og kataloger som kan ses av medhjelperen.

Kjør følgende kommando for å generere den første databasen:

$ sudo aide --init

3. For å begynne å bruke databasen, fjern .new-delstrengen fra det opprinnelige databasefilnavnet.

$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4. For å beskytte AIDE-databasen ytterligere, kan du endre standardplasseringen ved å redigere konfigurasjonsfilen og endre DBDIR-verdien og peke den til den nye plasseringen til databasen.

@@define DBDIR  /path/to/secret/db/location

For ekstra sikkerhet lagrer du databasekonfigurasjonsfilen og den binære filen /usr/sbin/aide på et sikkert sted, for eksempel et skrivebeskyttet medium. Viktigere, du kan faktisk øke sikkerheten ved å signere konfigurasjonen og/eller databasen.

Utføre integritetssjekker i Fedora

5. For å skanne Fedora-systemet manuelt, kjør følgende kommando.

$ sudo aide --check

Utdataene fra kommandoen ovenfor viser forskjeller mellom databasen og den nåværende tilstanden til filsystemet. Den viser et sammendrag av oppføringer og detaljert informasjon om de endrede oppføringene.

6. For effektiv bruk bør du konfigurere AIDE til å kjøre som en cron-jobb, for å utføre planlagte skanninger, enten ukentlig (minst) eller daglig (maksimalt).

For eksempel, for å planlegge en skanning ved midnatt hver dag, legg til følgende cron-oppføring i filen /etc/crontab.

00  00  *  *  *  root  /usr/sbin/aide --check

Oppdatering av en AIDE-database

7. Etter å ha bekreftet endringene i systemet ditt, for eksempel pakkeoppdateringer eller konfigurasjonsfilendringer, oppdater AIDE-databasen din med følgende kommando.

$ sudo aide --update

Kommandoen aide --update oppretter en ny databasefil /var/lib/aide/aide.db.new.gz. For å begynne å bruke den for fremtidige skanninger, må du gi den nytt navn som vist før (fjern .new-delstrengen fra filnavnet).

For ytterligere informasjon om AIDE kan du sjekke man-siden.

$ man aide

For andre Linux-distribusjoner kan du sjekke ut: Hvordan sjekke integriteten til fil og katalog ved å bruke \AIDE i Linux.

AIDE er et kraftig verktøy for å sjekke integriteten til filer og kataloger på Unix-lignende operativsystemer som Linux. I denne artikkelen viste vi hvordan du installerer og bruker AIDE i Fedora Linux. Har du noen spørsmål eller kommentarer angående AIDE, hvis ja, bruk tilbakemeldingsskjemaet for å nå oss.