Aide Konfiguration: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 6: | Zeile 6: | ||
*[[aide Update]] | *[[aide Update]] | ||
*[[aide Test]] | *[[aide Test]] | ||
| + | *[[aide Änderungen übernehmen]] | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
=Umm diese Änderungen zu übernehmen muss die neue AIDE-Datenbank installiert werden= | =Umm diese Änderungen zu übernehmen muss die neue AIDE-Datenbank installiert werden= | ||
;Update der Datenbank | ;Update der Datenbank | ||
Version vom 27. September 2022, 21:06 Uhr
- Der Prozesse dauerm ein paar Minuten.
Umm diese Änderungen zu übernehmen muss die neue AIDE-Datenbank installiert werden
- Update der Datenbank
- aide --config=/etc/aide/aide.conf --update
- Kopieren der Datenbank
- cp /var/lib/aide/aide.db{.new,}
Bestimmte Verzeichnisse von AIDE-Prüfungen ausschließen
- Um einige Verzeichnisse auszuschließen, bearbeiten Sie die Konfigurationsdatei /etc/aide/aide.conf
- Fügen Sie die zu ignorierenden Verzeichnisse am Ende der Datei im Format;
!/home/ !/var/lib/ !/proc
Im Grunde prüft der obige Regelsatz
- permissions,
- number of links,
- user,
- group,
- modification time,
- inode/file change time,
- extended file attributes,
- MD5 checksum,
- SHA512 checksum.
Versand des AIDE-Berichts per Mail
- Standardmäßig richtet sich AIDE bei der Installation selbst ein tägliches Ausführungsskript /etc/cron.daily/aide ein.
- Die Ausgabe von Prüfungen wird an den Benutzer gesendet, der in der MAILTO=-Direktive der /etc/default/aide-Konfigurationsdatei angegeben ist, wie oben beschrieben.
- Um den AIDE-Bericht per E-Mail zu senden, müssen Sie die Datei /etc/default/aide bearbeiten und den Wert der MAILTO-Direktive auf Ihre E-Mail-ID setzen, so dass er wie unten aussieht. Der Standardempfänger ist root.
- vim /etc/default/aide
... #MAILTO=root MAILTO=analyst@kifarunix-demo.com
- Die meisten AIDE-Standardparametereinstellungen sind in dieser Datei definiert.
- Es wird für ein einfaches Verständnis sehr empfohlen, gehen Sie daher diese Datei durch, um zu sehen, welche anderen Optionen aktiviert oder deaktiviert werden können.
- Der E-Mail-Versand kann nur funktionieren, wenn Sie Ihren MTA für den E-Mail-Versand konfiguriert haben.
- Folgen Sie dem Link unten, um zu erfahren, wie Sie Postfix so konfigurieren, dass es Gmail SMTP für die Weiterleitung verwendet;
- Konfigurieren Sie Postfix für die Verwendung von Gmail SMTP
- Konfigurieren Sie Postfix für die Verwendung von Gmail SMTP unter Ubuntu 18.04
- Anstatt die obige Cron-E-Mail-Empfängeradresse zu verwenden, können Sie Postfix-E-Mail-Aliase bearbeiten und einen Alias für root auf die E-Mail-Adresse setzen, über die Sie den AIDE-Bericht erhalten möchten;
- vim /etc/aliases
Postmeister: root
- newaliases
- Sie können auch einen Cron-Job installieren, um AIDE in bestimmten Zeitintervallen auszuführen;
- sudo crontab -e
*/10 * * * * aide -c /home/koromicha/aide/aide.conf -u && cp /home/koromicha/aide/aide.db{.new,}
- Dadurch wird die AIDE-Systemprüfung alle 10 Minuten ausgeführt und der Bericht gemäß meinem Setup per E-Mail an analyst@kifarunix-demo.com gesendet.
- Es ist auch gut zu beachten, dass AIDE-Prüfungen ressourcenintensiv sein können und während Integritätsprüfungen zu Leistungsproblemen auf Ihrem System führen können. Wenn Sie systemweit scannen, stellen Sie sicher, dass Sie „genügend“ Ressourcen bereitstellen.
- aide --config=/etc/aide/aide.conf --init