AIDE (Advanced Intrusion Detection Environment) er et vertsbasert inntrengningsdeteksjonssystem som effektivt overvåker filer, kataloger og konfigurasjonsfiler for alle mistenkelige modifikasjoner eller endringer. Med AIDE kan systemadministratorer beskytte sensitive data og sikre integriteten til kritiske systemfiler og kataloger.
Denne opplæringen vil guide deg gjennom prosessen med å installere og konfigurere AIDE på RHEL/CentOS 7 eller 8. Vi vil dekke de nødvendige trinnene for å initialisere databasen, lage en konfigurasjonsfil og utføre en grunnleggende systemskanning.
Trinn 1:Installer AIDE
1. Oppdater systempakkene:
```
sudo yum oppdatering
```
2. Installer AIDE-pakken:
```
sudo yum installasjonshjelp
```
Trinn 2:Initialiser AIDE-databasen
1. Opprett AIDE-brukerkontoen:
```
sudo adduser aide
```
Dette trinnet er avgjørende for å sikre riktig eierskap til AIDE-filene og -katalogene.
2. Initialiser AIDE-databasen, som i hovedsak er en oversikt over alle filene på systemet ditt:
```
sudo /usr/sbin/aide --init
```
Skriv inn en passordfrase for å sikre AIDE-databasen. Husk denne passordfrasen siden du trenger den senere.
3. Angi eierskap og tillatelser:
```
sudo chown aide:aide /var/lib/aide/aide.db
```
Denne kommandoen setter eierskapet til databasen til "hjelperen" og sikrer riktige tillatelser.
Trinn 3:Konfigurer AIDE
1. Som 'aide'-bruker, lag en fil med navnet 'aide.conf' i '/etc/aide'-katalogen:
```
sudo -i -u aide
cd /etc/aide
touch aide.conf
```
2. Åpne 'aide.conf'-filen i et tekstredigeringsprogram:
```
vim aide.conf
```
3. Legg til følgende grunnleggende konfigurasjon:
```
# E-postrelatert konfigurasjon
varsle_på e-post
varsle_e-post mottaker@example.com
sendmail_command /usr/sbin/sendmail -t
# Databaserelatert konfigurasjon
database =/var/lib/aide/aide.db
database_user =hjelpemann
# Filer og katalog å overvåke
/etc
/var/log/revisjon
```
I denne konfigurasjonen angir vi innstillingene for e-postvarsling og spesifiserer filene og katalogene som skal overvåkes. Du kan tilpasse denne delen basert på dine spesifikke krav.
Trinn 4:Utfør en databaseoppdatering og sjekk
1. Kjør følgende kommandoer for å oppdatere databasen og bekrefte dens integritet:
```
sudo /usr/sbin/aide -u
```
Denne kommandoen oppdaterer AIDE-databasen, sammenligner gjeldende filstatuser med de som er lagret i databasen og noterer eventuelle endringer.
2. Se etter eventuelle avvik eller modifikasjoner:
```
sudo /usr/sbin/aide -c /etc/aide/aide.conf
```
Trinn 5:Planlegg AIDE-skanninger
For å utføre vanlige skanninger, vurder å legge til følgende cron-jobboppføring:
```
$ crontab -e
```
Legg til denne oppføringen:
```
0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1
```
Dette vil kjøre AIDE daglig ved midnatt og logge eventuelle avvik til '/var/log/aide/aide.log'-filen. Du kan justere denne tidsplanen i henhold til dine behov.
Ved å følge disse trinnene har du installert og konfigurert AIDE på RHEL/CentOS 7/8-systemet. AIDE vil nå kontinuerlig overvåke integriteten til kritiske filer og kataloger, og sikre rask oppdagelse av eventuelle uautoriserte endringer.