Der Prozesse dauerm ein paar Minuten.

• aide Config
• aide Attribute
• aide Init]]
• aide Update
• aide Test
• aide Änderungen übernehmen
• aide Objekt ausschliessen

Im Grunde prüft der obige Regelsatz

permissions,

number of links,

user,

group,

modification time,

inode/file change time,

extended file attributes,

MD5 checksum,

SHA512 checksum.

Versand des AIDE-Berichts per Mail

• Standardmäßig richtet sich AIDE bei der Installation selbst ein tägliches Ausführungsskript /etc/cron.daily/aide ein.
• Die Ausgabe von Prüfungen wird an den Benutzer gesendet, der in der MAILTO=-Direktive der /etc/default/aide-Konfigurationsdatei angegeben ist, wie oben beschrieben.

• Um den AIDE-Bericht per E-Mail zu senden, müssen Sie die Datei /etc/default/aide bearbeiten und den Wert der MAILTO-Direktive auf Ihre E-Mail-ID setzen, so dass er wie unten aussieht. Der Standardempfänger ist root.

• vim /etc/default/aide

...
#MAILTO=root
MAILTO=analyst@kifarunix-demo.com

• Die meisten AIDE-Standardparametereinstellungen sind in dieser Datei definiert.
• Es wird für ein einfaches Verständnis sehr empfohlen, gehen Sie daher diese Datei durch, um zu sehen, welche anderen Optionen aktiviert oder deaktiviert werden können.

• Der E-Mail-Versand kann nur funktionieren, wenn Sie Ihren MTA für den E-Mail-Versand konfiguriert haben.
• Folgen Sie dem Link unten, um zu erfahren, wie Sie Postfix so konfigurieren, dass es Gmail SMTP für die Weiterleitung verwendet;
• Konfigurieren Sie Postfix für die Verwendung von Gmail SMTP
• Konfigurieren Sie Postfix für die Verwendung von Gmail SMTP unter Ubuntu 18.04

• Anstatt die obige Cron-E-Mail-Empfängeradresse zu verwenden, können Sie Postfix-E-Mail-Aliase bearbeiten und einen Alias ​​für root auf die E-Mail-Adresse setzen, über die Sie den AIDE-Bericht erhalten möchten;

• vim /etc/aliases

Postmeister: root

• newaliases
• Sie können auch einen Cron-Job installieren, um AIDE in bestimmten Zeitintervallen auszuführen;

• sudo crontab -e

*/10 * * * * aide -c /home/koromicha/aide/aide.conf -u && cp /home/koromicha/aide/aide.db{.new,}

• Dadurch wird die AIDE-Systemprüfung alle 10 Minuten ausgeführt und der Bericht gemäß meinem Setup per E-Mail an analyst@kifarunix-demo.com gesendet.

• Es ist auch gut zu beachten, dass AIDE-Prüfungen ressourcenintensiv sein können und während Integritätsprüfungen zu Leistungsproblemen auf Ihrem System führen können. Wenn Sie systemweit scannen, stellen Sie sicher, dass Sie „genügend“ Ressourcen bereitstellen.

• aide --config=/etc/aide/aide.conf --init

Links

• https://kifarunix.com/install-and-configure-aide-on-debian-10/
• https://docs.linuxfabrik.ch/software/aide.html
• https://www.admin-magazin.de/Das-Heft/2009/03/AIDE-erkennt-Servereinbrueche