Aide Konfiguration: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
+
;Der Prozess dauert ein paar Minuten.
;Der Prozesse dauerm ein paar Minuten.
 
 
*[[aide Config]]
 
*[[aide Config]]
 
*[[aide Attribute]]
 
*[[aide Attribute]]
 
*[[aide Init]]
 
*[[aide Init]]
 
+
*[[aide Update]]
=Erstellen Sie die AIDE-Konfiguration neu=
+
*[[aide Test]]
*Führen Sie den folgenden Befehl aus, um die AIDE-Laufzeitkonfiguration /etc/aide/aide.conf zu aktualisieren
+
*[[aide Änderungen übernehmen]]
*aide --config=/etc/aide/aide.conf --update
+
*[[aide Objekt ausschliessen]]
=Überprüfen Sie die AIDE-Datenbank auf Inkonsistenzen=
+
*[[aide Mailversand]]
*Sobald die neue Konfiguration generiert ist, führen Sie die manuelle Datenbankprüfung  durch
 
*Dies wird mit dem folgenden Befehl gemacht.
 
*aide --config=/etc/aide/aide.conf --check
 
 
 
=Testen von AIDE unter Debian 10=
 
*Sie können jetzt neue Dateien erstellen, einige bearbeiten und sogar löschen und die AIDE-Prüfung erneut ausführen,
 
*Um zu sehen, wie AIDE all diese Änderungen erkennen kann.
 
 
 
*echo "1.2.3.4 test.kifarunix-demo.com" >> /etc/hosts
 
*touch /etc/newfile
 
*rm -rf /etc/issue
 
 
 
=Nun testen wir=
 
*aide -c /etc/aide/aide.conf -C
 
<pre>
 
---------------------------------------------------
 
Added entries:
 
---------------------------------------------------
 
 
 
f++++++++++++++++: /etc/newfile
 
f++++++++++++++++: /var/lib/aide/aide.db
 
 
 
---------------------------------------------------
 
Removed entries:
 
---------------------------------------------------
 
 
 
f----------------: /etc/issue
 
l----------------: /run/systemd/units/invocation:session-3.scope
 
 
 
---------------------------------------------------
 
Changed entries:
 
---------------------------------------------------
 
 
 
f >b... mc..C.. .: /etc/aide/aide.conf
 
f >.... mc..C.. .: /etc/hosts
 
...
 
</pre>
 
=Umm diese Änderungen zu übernehmen muss die neue AIDE-Datenbank installiert werden=
 
;Update der Datenbank
 
*aide --config=/etc/aide/aide.conf --update
 
;Kopieren der Datenbank
 
*cp /var/lib/aide/aide.db{.new,}
 
 
 
=Bestimmte Verzeichnisse von AIDE-Prüfungen ausschließen=
 
*Um einige Verzeichnisse auszuschließen, bearbeiten Sie die Konfigurationsdatei /etc/aide/aide.conf
 
*Fügen Sie die zu ignorierenden Verzeichnisse am Ende der Datei im Format;
 
 
 
!/home/
 
!/var/lib/
 
!/proc
 
=Im Grunde prüft der obige Regelsatz=
 
;permissions,
 
;number of links,
 
;user,
 
;group,
 
;modification time,
 
;inode/file change time,
 
;extended file attributes,
 
;MD5 checksum,
 
;SHA512 checksum.
 
 
 
 
 
 
 
=Versand des AIDE-Berichts per Mail=
 
*Standardmäßig richtet sich AIDE bei der Installation selbst ein tägliches Ausführungsskript /etc/cron.daily/aide ein.
 
*Die Ausgabe von Prüfungen wird an den Benutzer gesendet, der in der MAILTO=-Direktive der /etc/default/aide-Konfigurationsdatei angegeben ist, wie oben beschrieben.
 
 
 
*Um den AIDE-Bericht per E-Mail zu senden, müssen Sie die Datei /etc/default/aide bearbeiten und den Wert der MAILTO-Direktive auf Ihre E-Mail-ID setzen, so dass er wie unten aussieht. Der Standardempfänger ist root.
 
 
 
*vim /etc/default/aide
 
...
 
#MAILTO=root
 
MAILTO=analyst@kifarunix-demo.com
 
 
 
*Die meisten AIDE-Standardparametereinstellungen sind in dieser Datei definiert.
 
*Es wird für ein einfaches Verständnis sehr empfohlen, gehen Sie daher diese Datei durch, um zu sehen, welche anderen Optionen aktiviert oder deaktiviert werden können.
 
 
 
*Der E-Mail-Versand kann nur funktionieren, wenn Sie Ihren MTA für den E-Mail-Versand konfiguriert haben.
 
*Folgen Sie dem Link unten, um zu erfahren, wie Sie Postfix so konfigurieren, dass es Gmail SMTP für die Weiterleitung verwendet;
 
*Konfigurieren Sie Postfix für die Verwendung von Gmail SMTP
 
*Konfigurieren Sie Postfix für die Verwendung von Gmail SMTP unter Ubuntu 18.04
 
 
 
*Anstatt die obige Cron-E-Mail-Empfängeradresse zu verwenden, können Sie Postfix-E-Mail-Aliase bearbeiten und einen Alias ​​für root auf die E-Mail-Adresse setzen, über die Sie den AIDE-Bericht erhalten möchten;
 
 
 
*vim /etc/aliases
 
Postmeister: root
 
 
 
*newaliases
 
*Sie können auch einen Cron-Job installieren, um AIDE in bestimmten Zeitintervallen auszuführen;
 
 
 
*sudo crontab -e
 
*/10 * * * * aide -c /home/koromicha/aide/aide.conf -u && cp /home/koromicha/aide/aide.db{.new,}
 
*Dadurch wird die AIDE-Systemprüfung alle 10 Minuten ausgeführt und der Bericht gemäß meinem Setup per E-Mail an analyst@kifarunix-demo.com gesendet.
 
 
 
*Es ist auch gut zu beachten, dass AIDE-Prüfungen ressourcenintensiv sein können und während Integritätsprüfungen zu Leistungsproblemen auf Ihrem System führen können. Wenn Sie systemweit scannen, stellen Sie sicher, dass Sie „genügend“ Ressourcen bereitstellen.
 
 
 
 
 
 
 
 
 
 
 
*aide --config=/etc/aide/aide.conf --init
 
 
 
 
=Links=
 
=Links=
 
*https://kifarunix.com/install-and-configure-aide-on-debian-10/
 
*https://kifarunix.com/install-and-configure-aide-on-debian-10/
 
*https://docs.linuxfabrik.ch/software/aide.html
 
*https://docs.linuxfabrik.ch/software/aide.html
 
*https://www.admin-magazin.de/Das-Heft/2009/03/AIDE-erkennt-Servereinbrueche
 
*https://www.admin-magazin.de/Das-Heft/2009/03/AIDE-erkennt-Servereinbrueche

Aktuelle Version vom 14. Juli 2023, 08:42 Uhr

Der Prozess dauert ein paar Minuten.

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Aide_Konfiguration&oldid=48127