Настройка на AIDE на CentOS 6

След като защитите сървъра си с рутинни задачи като смяна на вашия SSH порт и задаване на правила за защитна стена - вие сте предимно в безопасност. Въпреки това, има вероятност нападател да получи достъп до вашия сървър. Когато това се случи, следващата ви защита е да научите, когато файловете се променят на вашия сървър. С AIDE получавате известия, когато определени файлове са променени на вашия сървър.

Тази статия ще ви научи как да инсталирате AIDE, за да защитите по-добре вашия сървър на CentOS 6.

Стъпка 1: Инсталиране на AIDE

Инсталирането на софтуера е доста просто. Просто изпълнете следната команда като root потребител:

yum install -y aide

Това е всичко, което трябва да направите за инсталацията.

Стъпка 2: Конфигуриране на AIDE

Това е по-трудната част. За да работи AIDE, трябва да съставим база данни от папки/файлове, за които искаме известия. Ще използваме настройките по подразбиране на AIDE. Настройването на наблюдение на конкретни папки/файлове е извън обхвата на този урок. Обърнете се към документацията на AIDE, ако имате нужда от такъв тип конфигурация.

Първо, трябва да инициализираме AIDE. Изпълнете следната команда като root:

aide --init

Това ще създаде базата данни за първи път. След това изпълнете тези команди като root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

За съжаление тази стъпка е необходима, тъй като AIDE няма да работи без нея.

Трябва да накараме AIDE да провери и нашите файлове за първи път, така че изпълнете тези команди като root:

aide --check
aide --update

Върнете се в /var/lib/aideдиректорията и трябва да намерите друга нова база данни. Премахнете първия без новата част в името на файла, като изпълните:

rm aide.db.gz

Преминете върху новата база данни:

mv aide.db.new.gz aide.db.gz

Тъй като конфигурацията по подразбиране вече е подходяща за повечето от нашите файлове, би трябвало да сме добре да я използваме. Всичко, което остава, е AIDE да ви изпрати имейл, ако има някакви неоторизирани промени. За тази статия ще използваме nano като наш текстов редактор.

nano /etc/crontab

Намерете секцията с MAILTO=rootи променете rootсвоя имейл адрес. След това стартирайте:

crontab -e

Добавете това към файла:

0 1 * * * /usr/sbin/aide --check

Това ще накара AIDE да проверява и да ви изпраща имейл веднъж на ден, ако открие, че даден файл е променен.

Заключение

Това гарантира вашата сигурност в повечето случаи; обаче трябва да актуализирате базата данни всеки път, когато променяте системни файлове или нещо във вашата уеб директория. Ако нападател постави злонамерен софтуер във вашата система, AIDE ще ви уведоми къде се намира и ще можете да дезинфекцирате системата си.