Поиск по сайту:

Как проверить целостность с помощью AIDE в Fedora

AIDE (Расширенная среда обнаружения вторжений) — это программа для проверки целостности файла и каталога в любой современной Unix-подобной системе. Он создает базу данных файлов в системе, а затем использует эту базу данных в качестве критерия для обеспечения целостности файлов и обнаружения вторжений в систему.

В этой статье мы покажем, как установить и использовать AIDE для проверки целостности файлов и каталогов в дистрибутиве Fedora.

Как установить AIDE в Fedora

1. Утилита AIDE включена в Fedora Linux по умолчанию, поэтому вы можете использовать менеджер пакетов dnf по умолчанию, чтобы установить ее, как показано.

sudo dnf install aide

2. После завершения установки необходимо создать исходную базу данных AIDE, которая представляет собой снимок системы в ее нормальном состоянии. Эта база данных будет служить эталоном, по которому будут оцениваться все последующие обновления и изменения.

Обратите внимание, что важно создать базу данных в новой системе до того, как она будет подключена к сети. А во-вторых, конфигурация помощника по умолчанию позволяет проверять набор каталогов и файлов, определенных в файле /etc/aide.conf. Вам необходимо отредактировать этот файл соответствующим образом, чтобы настроить больше файлов и каталогов для просмотра помощником.

Запустите следующую команду для создания исходной базы данных:

sudo aide --init

3. Чтобы начать использовать базу данных, удалите подстроку .new из исходного имени файла базы данных.

sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

4. Для дополнительной защиты базы данных AIDE вы можете изменить ее местоположение по умолчанию, отредактировав файл конфигурации, изменив значение DBDIR и указав его новое расположение базы данных.

@@define DBDIR  /path/to/secret/db/location

В целях дополнительной безопасности храните файл конфигурации базы данных и двоичный файл /usr/sbin/aide в безопасном месте, например на носителе, доступном только для чтения. Важно отметить, что вы действительно можете повысить безопасность, подписав конфигурацию и/или базу данных.

Выполнение проверок целостности в Fedora

5. Чтобы вручную просканировать систему Fedora, выполните следующую команду.

sudo aide --check

Вывод приведенной выше команды показывает различия между базой данных и текущим состоянием файловой системы. Он показывает сводку записей и подробную информацию об измененных записях.

6. Для эффективного использования необходимо настроить AIDE для запуска в качестве задания cron для выполнения запланированных сканирований либо еженедельно (минимум), либо ежедневно (максимум). .

Например, чтобы запланировать сканирование каждый день в полночь, добавьте следующую запись cron в файл /etc/crontab.

00  00  *  *  *  root  /usr/sbin/aide --check

Обновление базы данных AIDE

7. После подтверждения изменений в вашей системе, таких как обновления пакетов или изменения файлов конфигурации, обновите базовую базу данных AIDE с помощью следующей команды.

sudo aide --update

Команда aide --update создает новый файл базы данных /var/lib/aide/aide.db.new.gz. Чтобы начать использовать его для будущих сканирований, вам необходимо переименовать его, как показано ранее (удалить подстроку .new из имени файла).

Дополнительную информацию о AIDE можно найти на ее странице руководства.

man aide

Для других дистрибутивов Linux вы можете проверить: Как проверить целостность файла и каталога с помощью «AIDE» в Linux.

AIDE — мощная утилита для проверки целостности файлов и каталогов в Unix-подобных операционных системах, таких как Linux. В этой статье мы показали, как установить и использовать AIDE в Fedora Linux. Есть ли у вас какие-либо вопросы или комментарии относительно AIDE? Если да, воспользуйтесь формой обратной связи, чтобы связаться с нами.