Phenquestions
Berlawanan dengan Intrusion Detection Systems (Biasanya disebut sebagai IDS), Advanced Intrusion Detection Environment (Dikenal sebagai AIDE) memeriksa integritas file dengan membandingkan informasi dan atribut file sistem dengan database yang awalnya dibuat.
Pertama, ia membuat database sistem yang sehat untuk kemudian membandingkan integritas menggunakan algoritme sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool dengan integrasi opsional untuk gost, haval, dan cr32b. Tentu saja AIDE mendukung pemantauan jarak jauh.
Bersama dengan informasi file, AIDE memeriksa atribut file seperti jenis file, izin, GID, UID, ukuran, nama tautan, jumlah blok, jumlah tautan, mtime, ctime dan atime dan atribut yang dihasilkan oleh XAttrs, SELinux, Posix ACL dan Extended. Dengan AIDE dimungkinkan untuk menentukan file dan direktori yang akan dikecualikan atau disertakan dalam tugas pemantauan.
Setup dan konfigurasi: Instal Advanced Intrusion Detection Environment di Debian
Untuk memulai dengan menginstal AIDE pada Debian dan distribusi Linux turunan jalankan:
# apt install aide-common -y
Setelah menginstal AIDE, langkah pertama yang harus diikuti adalah membuat database di sistem kesehatan Anda untuk dikontraskan dengan snapshot untuk memverifikasi integritas file.
Untuk membangun basis data awal, jalankan:
# sudo aideinit
catatan: jika Anda memiliki database sebelumnya, AIDE akan menimpanya (permintaan konfirmasi sebelumnya), disarankan untuk melakukan verifikasi sebelum melanjutkan.
Proses ini dapat berlangsung lama menit hingga menampilkan output yang dapat Anda lihat di bawah
Seperti yang Anda lihat, database dibuat di /var/lib/aide/aide.db.baru, di dalam direktori /var/lib/aide/ Anda juga akan melihat file bernama pembantu.db:
Jika outputnya 0 AIDE tidak menemukan masalah. Jika flag -check diterapkan maka arti keluaran yang mungkin adalah:
1 = File baru ditemukan di sistem.
2 = File telah dihapus dari sistem.
4 = File dalam sistem mengalami perubahan.
14 = Kesalahan penulisan kesalahan.
15 = Kesalahan argumen tidak valid.
16 = Kesalahan fungsi yang tidak diterapkan.
17 = Kesalahan konfigurasi tidak valid.
18 = Kesalahan I/O.
19 = Kesalahan ketidakcocokan versi.
Opsi dan parameter AIDE meliputi:
-init atau -saya: opsi ini menginisialisasi database, ini adalah eksekusi wajib sebelum pemeriksaan apa pun, pemeriksaan tidak akan berfungsi jika database tidak diinisialisasi terlebih dahulu.
-memeriksa atau -C: ketika diterapkan opsi ini AIDE membandingkan file sistem dengan informasi database. Ini adalah opsi default yang diterapkan ketika AIDE dijalankan tanpa opsi.
-memperbarui atau -kamu: opsi ini digunakan untuk memperbarui database.
-membandingkan: opsi ini digunakan untuk membandingkan database yang berbeda, database harus didefinisikan sebelumnya dalam file konfigurasi.
-cek-konfigurasi atau -D: opsi ini berguna untuk menemukan kesalahan pada file konfigurasi, dengan menambahkan perintah ini AIDE hanya akan membaca konfigurasi tanpa melanjutkan proses dengan memeriksa file.
-konfigurasi atau -c = parameter ini berguna untuk menentukan file konfigurasi selain aide.konf.
-sebelum atau -B = tambahkan parameter konfigurasi sebelum membaca file konfigurasi.
-setelah atau -SEBUAH = tambahkan parameter konfigurasi setelah membaca file konfigurasi.
-bertele-tele atau -V = dengan perintah ini Anda dapat menentukan tingkat verbositas yang dapat ditentukan antara 0 dan 255.
-melaporkan atau -r = dengan opsi ini Anda dapat mengirim laporan hasil AIDE ke tujuan lain, Anda dapat mengulangi opsi ini dengan menginstruksikan AIDE untuk mengirim laporan ke tujuan yang berbeda.
Anda bisa mendapatkan informasi tambahan tentang ini dan lebih banyak perintah dan opsi AIDE di halaman manual man.
File Konfigurasi AIDE:
Konfigurasi AIDE dilakukan pada file konfigurasi yang terletak di dalam /etc/aide.conf, dari sana Anda dapat menentukan perilaku AIDE, di bawah ini Anda memiliki beberapa opsi paling populer yang dijelaskan:
Baris dalam file konfigurasi termasuk, di antara lebih banyak fungsi:
database_out: di sini Anda dapat menentukan lokasi db baru. Meskipun Anda dapat menentukan beberapa tujuan saat meluncurkan perintah, dalam file konfigurasi ini Anda hanya dapat mengatur satu url.
database_baru: url sumber db saat membandingkan basis data.
database_attrs: Ceksum
database_add_metadata: tambahkan informasi tambahan sebagai komentar seperti pembuatan waktu db, dll.
bertele-tele: di sini Anda dapat memasukkan nilai antara 0 dan 255 untuk menentukan tingkat verbositas.
report_url: url menentukan lokasi keluaran.
report_quiet: melewatkan output jika tidak ada perbedaan yang ditemukan.
gzip_dbout: di sini Anda dapat menentukan apakah db harus dikompresi (tergantung pada zlib).
warning_dead_symlinks: tentukan apakah symlink mati harus dilaporkan atau tidak.
dikelompokkan: file grup yang dilaporkan mengalami perubahan.
Petunjuk lebih lanjut tentang opsi file konfigurasi tersedia di https://linux.mati.net/pria/5/ajudan.konf.
Saya harap Anda menemukan artikel tentang Setup Dan Konfigurasi Debian Linux Instal Advanced Intrusion Detection Environment ini bermanfaat. Ikuti terus LinuxHint untuk tips dan pembaruan lainnya tentang Linux dan jaringan.
