Aide: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „*Was ist Aide? *Aide Installation *Aide Konfiguration“)
Markierung: Ersetzt
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Was ist Aide?=
+
*[[Was ist Aide?]]
*AIDE ist ein Angriffserkennungssystem, das Änderungen an Dateien auf dem lokalen System erkennt.
+
*[[Aide Installation]]
*Es erstellt eine Datenbank aus den Regeln für reguläre Ausdrücke, die es in der Konfigurationsdatei findet.
+
*[[Aide Konfiguration]]
*Sobald diese Datenbank initialisiert ist, kann sie verwendet werden, um die Integrität der Dateien zu überprüfen.
 
*Es verfügt über mehrere Message Digest-Algorithmen (md5, sha1, rmd160, tiger, haval usw.), die verwendet werden, um die Integrität der Datei zu überprüfen.
 
*Weitere Algorithmen können relativ einfach hinzugefügt werden.
 
*Alle üblichen Dateiattribute können auch auf Inkonsistenzen geprüft werden.
 
*Einige der Dateieigenschaften, die AIDE überprüfen kann, umfassen Dateiberechtigungen, Inodes, Änderungszeit, Dateiinhalte, Benutzer, Gruppe, Dateigröße …
 
=Features=
 
*supported message digest algorithms: md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool (additionally with libmhash: gost, haval, crc32b)
 
*supported file attributes: File type, Permissions, Inode, Uid, Gid, Link name, Size, Block count, Number of links, Mtime, Ctime and Atime
 
*support for Posix ACL, SELinux, XAttrs and Extended file system attributes if support is compiled in
 
*plain text configuration files and database for simplicity
 
*powerful regular expression support to selectively include or exclude files and directories to be monitored
 
*gzip database compression if zlib support is compiled in
 
*stand alone static binary for easy client/server monitoring configurations
 
*and many more
 
=Installation=
 
*apt update
 
*apt install aide
 
;Der Befehl zeigt die aktuell installierte Version von AIDE sowie die damit installierten Optionen an.
 
*aide -v
 
<pre>
 
Aide 0.17.3
 
 
 
Compiled with the following options:
 
 
 
WITH_MMAP
 
WITH_PCRE
 
WITH_POSIX_ACL
 
WITH_SELINUX
 
WITH_XATTR
 
WITH_CAPABILITIES
 
WITH_E2FSATTRS
 
WITH_ZLIB
 
WITH_MHASH
 
WITH_AUDIT
 
...
 
</pre>
 
 
 
=Konfiguration=
 
*Die Regeln und andere Konfigurationen befinden sich unter /etc/aide/.
 
*Die AIDE-Datenbank befindet sich unter /var/lib/aide/.
 
*Initialisieren Sie die AIDE-Datenbank auf Debian
 
*Erstellen Sie eine neue AIDE-Datenbank.
 
*aideinit erstellt eine neue Basisdatenbank,  /var/lib/aide/aide.db.new
 
;Der Prozess dauert ein paar Minuten.
 
*aideinit
 
<pre>
 
Running aide --init...
 
Start timestamp: 2022-09-18 16:40:15 +0200 (AIDE 0.17.3)
 
AIDE initialized database at /var/lib/aide/aide.db.new
 
 
 
Number of entries: 37878
 
 
 
---------------------------------------------------
 
The attributes of the (uncompressed) database(s):
 
---------------------------------------------------
 
 
 
/var/lib/aide/aide.db.new
 
SHA256    : nOUO2FitvwXdNnsreZGUYdZEpKKBi/rv
 
            FxuJDPwLkIE=
 
SHA512    : bwGO6eT5jUfHIOBND18alP5OcP/Tzesp
 
            X+o3aC3KCnA44JW7H4jyrBJrggWXbl2E
 
            x6S4Px2zf1tu+ITALTycJg==
 
RMD160    : OoaDrkHVESzjk8PHdH/7lK3hsWI=
 
TIGER    : FDdLiosyEA2Wjqxn6Xh93MmMytAowcdj
 
CRC32    : Y3pXxA==
 
HAVAL    : u227ddSQNbKXTbOQiVHSz1sy0P+5mNil
 
            f7G9FZYuP2c=
 
WHIRLPOOL : k/9OOT8LkezgDC36Gz662C4USnjwclnT
 
            gsuFgaVSiLBt2aMKncVqfSrLT64jyEPl
 
            cedh1W3kg0wDpSdjwBSqWA==
 
GOST      : F1yHsipka5ZDJeIhFcSqxCWR2lbqICI3
 
            b+VZ3O9P++k=
 
 
 
 
 
End timestamp: 2022-09-18 16:41:14 +0200 (run time: 0m 59s)
 
</pre>
 
*Wie Sie sehen können, wurde eine neue Basis-AIDE-Datenbank erstellt, /var/lib/aide/aide.db.new.
 
=Neue AIDE-Datenbank installieren=
 
;Um die neu erstellte AIDE-Datenbank zu installieren, müssen Sie sie wie folgt kopieren:
 
*cp /var/lib/aide/aide.db{.neu,}
 
=Erstellen Sie die AIDE-Konfiguration neu=
 
*Führen Sie den folgenden Befehl aus, um die AIDE-Laufzeitkonfiguration /etc/aide/aide.conf zu aktualisieren
 
*aide --config=/etc/aide/aide.conf --update
 
=Überprüfen Sie die AIDE-Datenbank auf Inkonsistenzen
 
*Sobald die neue Konfiguration generiert ist, führen Sie die manuelle Datenbankprüfung  durch
 
*Dies wird mit dem folgenden Befehl gemacht.
 
*aide --config=/etc/aide/aide.conf --check
 
 
 
=Testen von AIDE unter Debian 10=
 
*Sie können jetzt neue Dateien erstellen, einige bearbeiten und sogar löschen und die AIDE-Prüfung erneut ausführen,
 
*Um zu sehen, wie AIDE all diese Änderungen erkennen kann.
 
 
 
*echo "1.2.3.4 test.kifarunix-demo.com" >> /etc/hosts
 
*touch /etc/newfile
 
*rm -rf /etc/issue
 
 
 
=Nun testen wir=
 
*aide -c /etc/aide/aide.conf -C
 
<pre>
 
---------------------------------------------------
 
Added entries:
 
---------------------------------------------------
 
 
 
f++++++++++++++++: /etc/newfile
 
f++++++++++++++++: /var/lib/aide/aide.db
 
 
 
---------------------------------------------------
 
Removed entries:
 
---------------------------------------------------
 
 
 
f----------------: /etc/issue
 
l----------------: /run/systemd/units/invocation:session-3.scope
 
 
 
---------------------------------------------------
 
Changed entries:
 
---------------------------------------------------
 
 
 
f >b... mc..C.. .: /etc/aide/aide.conf
 
f >.... mc..C.. .: /etc/hosts
 
...
 
</pre>
 
 
 
=Beschränkung der AIDES-Integritätsprüfung auf bestimmte Dateien/Verzeichnisse=
 
*Um die Integritätsprüfungen auf bestimmte Einträge zu beschränken, z. B. /etc, übergeben Sie die Option
 
*--limit REGEX an den Befehl AIDE check, wobei REGEX der zu prüfende Eintrag ist.
 
*Überprüfen und aktualisieren Sie zum Beispiel die Datenbankeinträge, die mit /etc übereinstimmen, würden Sie den Befehl aide wie unten gezeigt ausführen;
 
 
 
*aide -c /etc/aide/aide.conf --limit /etc --check
 
 
 
 
 
=Bestimmte Verzeichnisse von AIDE-Prüfungen ausschließen=
 
*Um einige Verzeichnisse auszuschließen, bearbeiten Sie die Konfigurationsdatei /etc/aide/aide.conf
 
*Fügen Sie die zu ignorierenden Verzeichnisse am Ende der Datei im Format;
 
 
 
!/home/
 
!/var/lib/
 
!/proc
 
=Verwenden der benutzerdefinierten AIDE-Konfiguration=
 
*Sie können auch Ihre eigene Konfiguration erstellen und festlegen, was geprüft werden soll und was nicht.
 
*Siehe Beispielkonfiguration unten
 
*vim /home/koromicha/aide/aide.conf
 
<pre>
 
# Path for creating the databases
 
database=file:/home/koromicha/aide/aide.db
 
database_out=file:/home/koromicha/aide/aide.db.new
 
database_new=file:/home/koromicha/aide/aide.db.new
 
 
 
# Set your own AIDE rule.
 
MYRULE=p+n+u+g+s+m+c+xattrs+md5+sha512
 
 
 
# Directories/files to be monitored and rule to apply
 
#/etc MYRULE
 
#/bin MYRULE
 
#/usr/bin MYRULE
 
 
 
# Directories to ignore
 
/home MYRULE
 
!/proc
 
</pre>
 
 
 
 
 
 
 
 
 
 
 
 
 
*aide --config=/etc/aide/aide.conf --init
 
 
 
=Links=
 
*https://kifarunix.com/install-and-configure-aide-on-debian-10/
 

Aktuelle Version vom 27. September 2022, 19:37 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=Aide&oldid=36489