Configure o Debian Linux - Ambiente de Detecção de Intrusão Avançada

O Ambiente de Detecção de Intrusão Avançada (AIDE) é outro método para detectar anomalias dentro do sistema. AIDE não deve ser confundido com sistemas de detecção de intrusão mais amplamente conhecidos, como OSSEC ou Snort que, a fim de detectar ataques ou eventos de segurança, analisa o tráfego em busca de pacotes anômalos.

Ao contrário desses Sistemas de Detecção de Intrusão (normalmente referidos como IDS), o Ambiente de Detecção de Intrusão Avançada (Conhecido como AIDE) verifica a integridade dos arquivos comparando as informações e atributos dos arquivos do sistema com um banco de dados criado inicialmente.

Primeiro ele cria o banco de dados do sistema saudável para depois comparar a integridade usando os algoritmos sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool com integrações opcionais para gost, haval e cr32b. Claro que AIDE suporta monitoramento remoto.

Junto com as informações dos arquivos, o AIDE verifica os atributos dos arquivos, como tipo de arquivo, permissões, GID, UID, tamanho, nome do link, contagem de blocos, número de links, mtime, ctime e atime e atributos gerados por XAttrs, SELinux, Posix ACL e estendido. Com AIDE é possível especificar arquivos e diretórios a serem excluídos ou incluídos nas tarefas de monitoramento.

Instalar e configurar: Instale o ambiente avançado de detecção de intrusão no Debian

Para começar instalando AIDE no Debian e distribuições Linux derivadas, execute:

# apt install aide-common -y

Depois de instalar o AIDE, o primeiro passo a seguir é criar um banco de dados em seu sistema de saúde para ser contrastado com instantâneos para verificar a integridade dos arquivos.

Para construir o banco de dados inicial, execute:

# sudo aideinit

Observação: se você tinha um banco de dados anterior, o AIDE irá sobrescrevê-lo (solicitação de confirmação prévia), é recomendável fazer uma verificação antes de prosseguir.

Este processo pode durar longos minutos até mostrar o resultado que você pode ver abaixo

Como você pode ver, o banco de dados foi gerado em / var / lib / aide / aide.db.novo, dentro do diretório / var / lib / aide / você também verá um arquivo chamado ajudante.db:

# aide.wrapper -c / etc / aide / aide.conf --check

Se a saída for 0 AIDE não encontrou problemas. Se o sinalizador -check for aplicado, os possíveis significados das saídas são:

1 = Novos arquivos foram encontrados no sistema.
2 = Arquivos foram removidos do sistema.
4 = Arquivos no sistema sofreram alterações.
14 = Erro ao escrever erro.
15 = Erro de argumento inválido.
16 = Erro de função não implementada.
17 = Erro de configuração inválida.
18 = erro de E / S.
19 = Erro de incompatibilidade de versão.

As opções e parâmetros do AIDE incluem:

-iniciar ou -eu: esta opção inicializa o banco de dados, esta é uma execução obrigatória antes de qualquer verificação, as verificações não funcionarão se o banco de dados não for inicializado primeiro.

-Verifica ou -C: quando aplicada esta opção AIDE compara os arquivos do sistema com as informações do banco de dados. Esta é a opção padrão aplicada quando AIDE é executado sem opções.

-atualizar ou -você: esta opção é usada para atualizar um banco de dados.

-comparar: esta opção é utilizada para comparar diferentes bancos de dados, bancos de dados devem ser previamente definidos no arquivo de configuração.

-verificação de configuração ou -D: esta opção é útil para encontrar erros no arquivo de configuração, ao adicionar este comando o AIDE só irá ler a configuração sem continuar o processo de verificação de arquivos.

-config ou -c = este parâmetro é útil para especificar outro arquivo de configuração além de auxiliar.conf.

-antes ou -B = adicionar parâmetros de configuração antes de ler o arquivo de configuração.

-após ou -UMA = adicionar parâmetros de configuração após ler o arquivo de configuração.

-prolixo ou -V = com este comando você pode especificar o nível de detalhamento que pode ser definido entre 0 e 255.

-relatório ou -r = com esta opção você pode enviar relatórios de resultados da AIDE para outros destinos, você pode repetir esta opção instruindo AIDE para enviar relatórios para destinos diferentes.

Você pode obter informações adicionais sobre estes e mais comandos e opções AIDE na página de manual.

Arquivo de configuração AIDE:

A configuração do AIDE é feita no arquivo de configuração localizado em / etc / aide.conf, a partir daí você pode definir o comportamento do AIDE, abaixo você tem algumas das opções mais populares explicadas:

As linhas do arquivo de configuração incluem, entre mais funcionalidades:

database_out: aqui você pode especificar a nova localização do banco de dados. Embora você possa definir vários destinos ao iniciar o comando, neste arquivo de configuração você pode definir apenas um url.

database_new: URL do banco de dados de origem ao comparar bancos de dados.

database_attrs: Checksum

database_add_metadata: adicione informações adicionais, como comentários, como criação de tempo de banco de dados, etc.

detalhado: aqui você pode inserir um valor entre 0 e 255 para definir o nível de detalhamento.

report_url: url definindo localização de saída.

report_quiet: pula a saída se nenhuma diferença for encontrada.

gzip_dbout: aqui você pode definir se o banco de dados deve ser compactado (depende do zlib).

warn_dead_symlinks: definir se links simbólicos mortos devem ser relatados ou não.

agrupado: arquivos de grupo que supostamente sofreram alterações.

Mais instruções sobre as opções do arquivo de configuração estão disponíveis em https: // linux.morrer.net / man / 5 / aide.conf.

Espero que você tenha achado útil este artigo sobre Instalação e configuração do Debian Linux - Instalar o ambiente avançado de detecção de intrusão. Continue seguindo LinuxHint para obter mais dicas e atualizações sobre Linux e rede.