AIDE (Advanced Intrusion Detection Environment) ist ein hostbasiertes System zur Erkennung von Eindringlingen, das Dateien, Verzeichnisse und Konfigurationsdateien effizient auf verdächtige Modifikationen oder Veränderungen überwacht. Mit AIDE können Systemadministratoren sensible Daten schützen und die Integrität kritischer Systemdateien und Verzeichnisse sicherstellen.
Dieses Tutorial führt Sie durch den Prozess der Installation und Konfiguration von AIDE unter RHEL/CentOS 7 oder 8. Wir behandeln die notwendigen Schritte zum Initialisieren der Datenbank, zum Erstellen einer Konfigurationsdatei und zum Durchführen eines grundlegenden Systemscans.
Schritt 1:AIDE installieren
1. Aktualisieren Sie die Systempakete:
„
Sudo leckeres Update
„
2. Installieren Sie das AIDE-Paket:
„
Sudo yum Installationsassistent
„
Schritt 2:Initialisieren Sie die AIDE-Datenbank
1. Erstellen Sie das AIDE-Benutzerkonto:
„
sudo adduser-Assistent
„
Dieser Schritt ist entscheidend, um den ordnungsgemäßen Besitz der AIDE-Dateien und -Verzeichnisse sicherzustellen.
2. Initialisieren Sie die AIDE-Datenbank, die im Wesentlichen eine Aufzeichnung aller Dateien auf Ihrem System ist:
„
sudo /usr/sbin/aide --init
„
Geben Sie eine Passphrase ein, um die AIDE-Datenbank zu sichern. Merken Sie sich diese Passphrase, da Sie sie später benötigen werden.
3. Legen Sie Besitz und Berechtigungen fest:
„
sudo chown aide:aide /var/lib/aide/aide.db
„
Dieser Befehl legt den Besitz der Datenbank auf den Benutzer „aide“ fest und stellt die entsprechenden Berechtigungen sicher.
Schritt 3:AIDE konfigurieren
1. Erstellen Sie als Benutzer „aide“ eine Datei mit dem Namen „aide.conf“ im Verzeichnis „/etc/aide“:
„
sudo -i -u aide
cd /etc/aide
touch aide.conf
„
2. Öffnen Sie die Datei „aide.conf“ in einem Texteditor:
„
vim aide.conf
„
3. Fügen Sie die folgende Grundkonfiguration hinzu:
„
# E-Mail-bezogene Konfiguration
notify_per E-Mail
notify_email empfänger@example.com
sendmail_command /usr/sbin/sendmail -t
# Datenbankbezogene Konfiguration
Datenbank =/var/lib/aide/aide.db
Datenbank_Benutzer =Helfer
# Zu überwachende Dateien und Verzeichnisse
/usw
/var/log/audit
„
In dieser Konfiguration legen wir die E-Mail-Benachrichtigungseinstellungen fest und geben die zu überwachenden Dateien und Verzeichnisse an. Sie können diesen Abschnitt entsprechend Ihren spezifischen Anforderungen anpassen.
Schritt 4:Führen Sie eine Datenbankaktualisierung und -prüfung durch
1. Führen Sie die folgenden Befehle aus, um die Datenbank zu aktualisieren und ihre Integrität zu überprüfen:
„
sudo /usr/sbin/aide -u
„
Dieser Befehl aktualisiert die AIDE-Datenbank, indem er die aktuellen Dateistatus mit denen in der Datenbank vergleicht und alle Änderungen notiert.
2. Überprüfen Sie, ob Unstimmigkeiten oder Änderungen vorliegen:
„
sudo /usr/sbin/aide -c /etc/aide/aide.conf
„
Schritt 5:AIDE-Scans planen
Um regelmäßige Scans durchzuführen, sollten Sie den folgenden Cron-Job-Eintrag hinzufügen:
„
$ crontab -e
„
Fügen Sie diesen Eintrag hinzu:
„
0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1
„
Dadurch wird AIDE täglich um Mitternacht ausgeführt und alle Unstimmigkeiten in der Datei „/var/log/aide/aide.log“ protokolliert. Sie können diesen Zeitplan entsprechend Ihren Anforderungen anpassen.
Durch Befolgen dieser Schritte haben Sie AIDE erfolgreich auf Ihrem RHEL/CentOS 7/8-System installiert und konfiguriert. AIDE überwacht nun kontinuierlich die Integrität kritischer Dateien und Verzeichnisse und stellt so sicher, dass alle nicht autorisierten Änderungen umgehend erkannt werden.
