Πώς να εγκαταστήσετε και να χρησιμοποιήσετε το AIDE στο RHEL/CentOS 7/8 [Εύκολα βήματα]

Το AIDE (Advanced Intrusion Detection Environment) είναι ένα σύστημα ανίχνευσης εισβολής που βασίζεται σε κεντρικό υπολογιστή και παρακολουθεί αποτελεσματικά αρχεία, καταλόγους και αρχεία διαμόρφωσης για τυχόν ύποπτες τροποποιήσεις ή αλλαγές. Με το AIDE, οι διαχειριστές συστήματος μπορούν να προστατεύουν ευαίσθητα δεδομένα και να διασφαλίζουν την ακεραιότητα κρίσιμων αρχείων και καταλόγων συστήματος.

Αυτό το σεμινάριο θα σας καθοδηγήσει στη διαδικασία εγκατάστασης και διαμόρφωσης του AIDE σε RHEL/CentOS 7 ή 8. Θα καλύψουμε τα απαραίτητα βήματα για την προετοιμασία της βάσης δεδομένων, τη δημιουργία ενός αρχείου διαμόρφωσης και την εκτέλεση μιας βασικής σάρωσης συστήματος.

Βήμα 1:Εγκαταστήστε το AIDE

1. Ενημερώστε τα πακέτα συστήματος:

```

ενημέρωση sudo yum

```

2. Εγκαταστήστε το πακέτο AIDE:

```

βοηθός εγκατάστασης sudo yum

```

Βήμα 2:Αρχικοποιήστε τη βάση δεδομένων AIDE

1. Δημιουργήστε τον λογαριασμό χρήστη AIDE:

```

sudo adduser βοηθός

```

Αυτό το βήμα είναι ζωτικής σημασίας για τη διασφάλιση της σωστής ιδιοκτησίας των αρχείων και των καταλόγων AIDE.

2. Αρχικοποιήστε τη βάση δεδομένων AIDE, η οποία είναι ουσιαστικά μια εγγραφή όλων των αρχείων στο σύστημά σας:

```

sudo /usr/sbin/aide --init

```

Εισαγάγετε μια φράση πρόσβασης για να ασφαλίσετε τη βάση δεδομένων AIDE. Θυμηθείτε αυτήν τη φράση πρόσβασης, καθώς θα τη χρειαστείτε αργότερα.

3. Ορίστε την ιδιοκτησία και τα δικαιώματα:

```

sudo chown aide:aide /var/lib/aide/aide.db

```

Αυτή η εντολή ορίζει την ιδιοκτησία της βάσης δεδομένων στον «βοηθό» χρήστη και διασφαλίζει τα κατάλληλα δικαιώματα.

Βήμα 3:Διαμόρφωση του AIDE

1. Ως χρήστης «aide», δημιουργήστε ένα αρχείο με το όνομα «aide.conf» στον κατάλογο «/etc/aide»:

```

sudo -i -u βοηθός

cd /etc/aide

αφής βοηθός.συνφ

```

2. Ανοίξτε το αρχείο «aide.conf» σε ένα πρόγραμμα επεξεργασίας κειμένου:

```

vim aide.conf

```

3. Προσθέστε την ακόλουθη βασική διαμόρφωση:

```

# Διαμόρφωση που σχετίζεται με την αλληλογραφία

ειδοποιώ_με ταχυδρομείο

notify_email recipient@example.com

sendmail_command /usr/sbin/sendmail -t

# Διαμόρφωση σχετική με τη βάση δεδομένων

βάση δεδομένων =/var/lib/aide/aide.db

database_user =βοηθός

# Αρχεία και κατάλογος για παρακολούθηση

/και τα λοιπά

/var/log/audit

```

Σε αυτήν τη διαμόρφωση, ορίζουμε τις ρυθμίσεις ειδοποίησης αλληλογραφίας και καθορίζουμε τα αρχεία και τους καταλόγους προς παρακολούθηση. Μπορείτε να προσαρμόσετε αυτήν την ενότητα με βάση τις συγκεκριμένες απαιτήσεις σας.

Βήμα 4:Εκτελέστε μια ενημέρωση βάσης δεδομένων και ελέγξτε

1. Εκτελέστε τις ακόλουθες εντολές για να ενημερώσετε τη βάση δεδομένων και να επαληθεύσετε την ακεραιότητά της:

```

sudo /usr/sbin/aide -u

```

Αυτή η εντολή ενημερώνει τη βάση δεδομένων AIDE, συγκρίνοντας τις τρέχουσες καταστάσεις αρχείων με αυτές που είναι αποθηκευμένες στη βάση δεδομένων και σημειώνοντας τυχόν αλλαγές.

2. Ελέγξτε για τυχόν αποκλίσεις ή τροποποιήσεις:

```

sudo /usr/sbin/aide -c /etc/aide/aide.conf

```

Βήμα 5:Προγραμματισμός σαρώσεων AIDE

Για να εκτελείτε τακτικές σαρώσεις, εξετάστε το ενδεχόμενο να προσθέσετε την ακόλουθη καταχώριση εργασίας cron:

```

$ crontab -e

```

Προσθήκη αυτής της καταχώρησης:

```

0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1

```

Αυτό θα εκτελεί το AIDE καθημερινά τα μεσάνυχτα και θα καταγράφει τυχόν αποκλίσεις στο αρχείο '/var/log/aide/aide.log'. Μπορείτε να προσαρμόσετε αυτό το χρονοδιάγραμμα σύμφωνα με τις απαιτήσεις σας.

Ακολουθώντας αυτά τα βήματα, εγκαταστήσατε με επιτυχία και ρυθμίσατε το AIDE στο σύστημά σας RHEL/CentOS 7/8. Το AIDE θα παρακολουθεί τώρα συνεχώς την ακεραιότητα των κρίσιμων αρχείων και καταλόγων, διασφαλίζοντας τον άμεσο εντοπισμό τυχόν μη εξουσιοδοτημένων τροποποιήσεων.