Al contrario de estos sistemas de detección de intrusos (generalmente referidos como IDS), el entorno de detección de intrusos avanzado (conocido como auxiliar) verifica la integridad de los archivos al comparar la información y los atributos de los archivos del sistema con una base de datos creada inicialmente.
Primero, crea la base de datos del sistema saludable para luego comparar la integridad utilizando los algoritmos SHA1, RMD160, Tiger, CRC32, SHA256, SHA512, Whirlpool con integraciones opcionales para GOST, HAVAL y CR32B. Por supuesto, el asistente admite monitoreo remoto.
Junto con los archivos, la información del asistente de información para los atributos de archivos como el tipo de archivo, permisos, GID, UID, tamaño, nombre de enlace, recuento de bloques, número de enlaces, mtime, ctime y atime y atributos generados por XATTRS, Selinux, POSIX y extendido. Con el asistente es posible especificar archivos y directorios para ser excluidos o incluidos en las tareas de monitoreo.
Configurar y configurar: instalar entorno avanzado de detección de intrusos en Debian
Para comenzar instalando el asistente en las distribuciones de Linux de Debian y Derived se ejecuta:
# APT Instalar Aide -Common -y
Después de instalar asistente, el primer paso a seguir es crear una base de datos en su sistema de salud para contrastar con instantáneas para verificar la integridad de los archivos.
Para crear la ejecución de la base de datos inicial:
# auxil de sudo
Nota: Si tuvo un asistente de base de datos anterior lo sobrescribirá (solicitud de confirmación previa), se recomienda hacer una verificación antes de continuar.
Este proceso puede durar largos minutos hasta que muestre la salida que puede ver a continuación
Como puede ver, la base de datos se generó en/var/lib/aide/aide.db.Nuevo, dentro del directorio /var/lib/aide/ También verá un archivo llamado ayudante.db:
# ayudante.envoltura -c/etc/augar/augar.Conf -check
Si la salida es 0, el ayudante no encontró problemas. Si se aplica la marca del indicador, las salidas posibles que significan son:
1 = Se encontraron nuevos archivos en el sistema.
2 = Los archivos se eliminaron del sistema.
4 = Los archivos en el sistema sufrieron cambios.
14 = Error de escritura de error.
15 = error de argumento no válido.
16 = error de función no implementado.
17 = Error de configuración no válido.
18 = Error de E/S.
19 = Error de no coincidencia de versión.
Las opciones de asistente y los parámetros incluyen:
-en eso o -i: Esta opción inicializa la base de datos, esta es una ejecución obligatoria antes de cualquier verificación, las verificaciones no funcionarán si la base de datos no se inicializó primero.
-controlar o -C: Cuando se aplica, esta opción auxta compara los archivos del sistema con la información de la base de datos. Esta es la opción predeterminada aplicada cuando ADE se ejecuta sin opciones.
-actualizar o -u: Esta opción se usa para actualizar una base de datos.
-comparar: Esta opción se utiliza para comparar diferentes bases de datos, las bases de datos deben definirse previamente en el archivo de configuración.
-comprobar o -D: Esta opción es útil para encontrar errores en el archivo de configuración, agregando que este ayudante de comando solo leerá la configuración sin continuar el proceso con la verificación de archivos.
-configuración o -C = Este parámetro es útil para especificar otro archivo de configuración que el auxiliar.confusión.
-antes o -B = Agregar parámetros de configuración antes de leer el archivo de configuración.
-después o -A = Agregar parámetros de configuración después de leer el archivo de configuración.
-verboso o -V = Con este comando puede especificar el nivel de verbosidad que se puede definir entre 0 y 255.
-informe o -riñonal = Con esta opción puede enviar el informe de resultados de Aide a otros destinos, puede repetir esta opción instruyendo a ADE para enviar informes a diferentes destinos.
Puede obtener información adicional sobre estos y más comandos y opciones de ayudantes en la página del hombre.
Archivo de configuración de asistente:
La configuración de Aide se realiza en el archivo de configuración ubicado dentro de /etc /aide.Conf, a partir de ahí puede definir el comportamiento del asistente, a continuación se explica algunas de las opciones más populares:
Las líneas en el archivo de configuración incluyen, entre más funcionalidades:
base de datos_out: Aquí puede especificar la nueva ubicación de DB. Si bien puede definir varios destinos al iniciar el comando, en este archivo de configuración solo puede establecer una URL.
base de datos_new: URL DB de origen al comparar bases de datos.
database_attrs: Suma de verificación
base de datos_add_metadata: Agregue información adicional como comentarios como la creación de tiempo de DB, etc.
verboso: Aquí puede ingresar un valor entre 0 y 255 para definir el nivel de verbosidad.
Report_url: URL Definición de la ubicación de salida.
Report_Quiet: omita la salida si no se encontraron diferencias.
gzip_dbout: Aquí puede definir si el DB debe comprimirse (depende de ZLIB).
warn_dead_symlinks: Definir si los enlaces simbólicos muertos deben ser reportados o no.
agrupado: Archivos grupales que, según los informes, sufrieron cambios.
Más instrucciones sobre las opciones de archivo de configuración están disponibles en https: // Linux.morir.net/hombre/5/aide.confusión.
Espero que hayas encontrado este artículo en Configuración y configurar el entorno de detección de intrusos avanzado de Debian Linux. Siga a Linuxhint para obtener más consejos y actualizaciones sobre Linux y Networking.