Дебиан

Поставите Дебиан Линук - Напредно окружење за откривање упада

Поставите Дебиан Линук - Напредно окружење за откривање упада
Напредно окружење за откривање провала (АИДЕ) је још један метод за откривање аномалија у систему. АИДЕ се не сме мешати са познатијим системима за откривање упада као што су ОССЕЦ или Фркни која у циљу откривања напада или безбедносних догађаја анализира саобраћај у потрази за аномалним пакетима.

Супротно овим системима за откривање упада (обично се називају ИДС), Напредно окружење за откривање провала (познато као АИДЕ) проверава интегритет датотека упоређивањем информација и атрибута системских датотека са базом података која је првобитно креирана.

Прво креира базу података здравог система да би касније упоредио интегритет користећи алгоритме сха1, рмд160, тигер, црц32, сха256, сха512, вхирлпоол са опционим интеграцијама за гост, хавал и цр32б. Наравно, АИДЕ подржава даљински надзор.

Заједно са подацима о датотекама АИДЕ проверава атрибуте датотека као што су тип датотеке, дозволе, ГИД, УИД, величина, име везе, број блокова, број веза, мтиме, цтиме и атиме и атрибути које генерише КСАттрс, СЕЛинук, Посик АЦЛ и проширени. Помоћу АИДЕ могуће је одредити датотеке и директоријуме који ће бити изузети или укључени у задатке надгледања.

Постављање и конфигурација: Инсталирајте Напредно окружење за откривање упада на Дебиан

За почетак инсталирањем АИДЕ на Дебиан и изведеним Линук дистрибуцијама покрените:

# апт инсталирати аиде-цоммон -и

Након инсталирања АИДЕ, први корак који треба следити је стварање базе података на вашем здравственом систему која ће се упоредити са снимцима ради провере интегритета датотека.

Да бисте изградили почетно покретање базе података:

# судо аидеинит

Белешка: ако сте имали претходну базу података, АИДЕ ће је преписати (претходни захтев за потврду), препоручује се верификација пре него што наставите.

Овај поступак може трајати дугих неколико минута док се не прикаже излаз који можете видети доле

Као што видите, база података је генерисана на / вар / либ / аиде / аиде.дб.ново, у директоријуму / вар / либ / аиде / видећете и датотеку која се зове помоћник.дб:

# помоћник.омот -ц / етц / аиде / аиде.цонф --цхецк

Ако је излаз 0 АИДЕ, није нашао проблема. Ако се примени ознака заставице, могући излази значе:

1 = У систему су пронађене нове датотеке.
2 = Датотеке су уклоњене из система.
4 = Датотеке у систему претрпеле су промене.
14 = Грешка при писању грешке.
15 = Неисправна грешка аргумента.
16 = Неиспроведена грешка функције.
17 = Неисправна грешка конфигурационе линије.
18 = У / И грешка.
19 = Грешка у неподударању верзије.

АИДЕ опције и параметри укључују:

-у томе или : ова опција иницијализује базу података, ово је обавезно извршавање пре било какве провере, провере неће функционисати ако база података прво није иницијализована.

-проверавати или : када се примени ова опција АИДЕ упоређује системске датотеке са информацијама из базе података. Ово је подразумевана опција која се примењује када се АИДЕ извршава без опција.

-ажурирање или : ова опција се користи за ажурирање базе података.

-упоредити: ова опција се користи за упоређивање различитих база података, базе података морају бити претходно дефинисане у конфигурационој датотеци.

-цонфиг-цхецк или : ова опција је корисна за проналажење грешака у конфигурационој датотеци, додавањем ове наредбе АИДЕ ће само читати конфигурацију без наставка процеса са провером датотека.

-цонфиг или = овај параметар је користан за специфицирање друге конфигурационе датотеке осим аиде.цонф.

-пре него што или = додајте конфигурационе параметре пре читања конфигурационе датотеке.

-после или = додај конфигурационе параметре након читања конфигурационе датотеке.

-вербосе или = овом наредбом можете одредити ниво опширности који се може дефинисати између 0 и 255.

-извештај или = помоћу ове опције можете послати АИДЕ-ов извештај о резултатима на друга одредишта, можете поновити ову опцију упућујући АИДЕ-у да шаље извештаје на различита одредишта.

Додатне информације о овим и више АИДЕ наредби и опција можете добити на ман страници.

АИДЕ конфигурациона датотека:

Конфигурација АИДЕ се врши на конфигурационој датотеци која се налази у / етц / аиде.цонф, одатле можете дефинисати понашање АИДЕ-а, у наставку су објашњене неке од најпопуларнијих опција:

Редови у конфигурационој датотеци укључују, између више функционалности:

датабасе_оут: овде можете одредити нову дб локацију. Иако приликом покретања команде можете дефинисати неколико одредишта, у овој конфигурационој датотеци можете поставити само један урл.

датабасе_нев: извор дб урл приликом поређења база података.

датабасе_аттрс: Контролна сума

датабасе_адд_метадата: додајте додатне информације као коментаре као што је стварање дб времена итд.

вербосе: овде можете унети вредност између 0 и 255 да бисте дефинисали ниво детаљности.

репорт_урл: урл који дефинише излазну локацију.

репорт_куиет: прескаче излаз ако нису пронађене разлике.

гзип_дбоут: овде можете дефинисати да ли дб треба да буде компресован (зависи од злиб).

варн_деад_симлинкс: дефинишите да ли треба пријављивати мртве симболичке везе.

груписани: груписати датотеке које су наводно претрпеле промене.

Више упутстава о опцијама конфигурационе датотеке доступно је на хттпс: // линук.умрети.нет / ман / 5 / аиде.цонф.

Надам се да вам је овај чланак о подешавању и конфигурирању окружења за напредно откривање упада Дебиан Линук био користан. Пратите ЛинукХинт за више савета и ажурирања о Линуку и умрежавању.

Најбоље игре командне линије за Линук
Командна линија није само ваш највећи савезник када користите Линук - она ​​такође може бити извор забаве јер је можете користити за играње многих заб...
Најбоље апликације за мапирање гамепада за Линук
Ако волите да играте игре на Линуку са гамепадом уместо са типичним системом за унос тастатуре и миша, за вас постоје неке корисне апликације. Многе и...
Корисни алати за Линук играче
Ако волите да играте игре на Линуку, велика је вероватноћа да сте можда користили апликације и услужне програме попут Вине, Лутрис и ОБС Студио за поб...