AIDE (Advanced Intrusion Detection Environment) – программа для проверки целостности файла и каталога в любой современной Unix-подобной системе.
Он создает базу данных файлов в системе, а затем использует эту базу данных в качестве критерия для обеспечения целостности файлов и обнаружения системных вторжений.
В этой статье мы покажем, как установить и использовать AIDE для проверки целостности файлов и каталогов в дистрибутиве Fedora.
Как установить AIDE в Fedora
1. Утилита AIDE включена в Fedora Linux по умолчанию, поэтому вы можете использовать менеджер пакетов dnf по умолчанию, чтобы установить его, как показано на рисунке.
$ sudo dnf install aide
2. После завершения установки вам необходимо создать исходную базу данных AIDE, которая представляет собой снимок системы в ее нормальном состоянии.
Эта база данных будет выступать в качестве критерия, по которому будут измеряться все последующие обновления и изменения.
Обратите внимание, что важно создать базу данных в новой системе, прежде чем она будет добавлена в сеть.
И, во-вторых, конфигурация помощника по умолчанию позволяет проверять набор каталогов и файлов, определенных в файле /etc/aide.conf.
Вам необходимо соответствующим образом отредактировать этот файл, чтобы настроить больше файлов и каталогов для просмотра помощником.
Выполните следующую команду, чтобы сгенерировать исходную базу данных:
$ sudo aide --init
3. Чтобы начать использовать базу данных, удалите подстроку .new из исходного имени файла базы данных.
$ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4. Чтобы дополнительно защитить базу данных AIDE, вы можете изменить ее местоположение по умолчанию, отредактировав файл конфигурации, изменив значение DBDIR и указав его в новом местоположении базы данных.
@@define DBDIR /path/to/secret/db/location
Для дополнительной безопасности сохраните файл конфигурации базы данных и двоичный файл /usr/sbin/aide в безопасном месте, например, доступном только для чтения.
Важно отметить, что вы можете повысить безопасность, подписав конфигурацию и / или базу данных.
Выполнение проверок целостности в Fedora
5. Чтобы вручную сканировать систему Fedora, введите следующую команду.
$ sudo aide --check
Вывод вышеуказанной команды показывает различия между базой данных и текущим состоянием файловой системы.
Он показывает сводку записей и подробную информацию об измененных записях.
6. Для эффективного использования вы должны настроить AIDE для запуска в качестве задания cron, для выполнения запланированных проверок, либо еженедельно (как минимум), либо ежедневно (как максимум).
Например, чтобы запланировать ежедневное сканирование в полночь, добавьте следующую запись cron в файл /etc/crontab.
00 00 * * * root /usr/sbin/aide --check
Обновление базы данных AIDE
7. После подтверждения изменений в вашей системе, таких как обновления пакетов или файлов конфигурации, обновите базовую базу данных AIDE с помощью следующей команды.
$ sudo aide --update
Команда aide –update создает новый файл базы данных /var/lib/aide/aide.db.new.gz.
Чтобы начать использовать его для будущих сканирований, необходимо переименовать его, как показано ранее (удалить подстроку .new из имени файла).
Для получения дополнительной информации об AIDE вы можете проверить его справочную страницу.
$ man aide
