AIDE:n määrittäminen CentOS 6:lle

Kun olet suojannut palvelimesi rutiinitehtävillä, kuten SSH-portin vaihtamisella ja palomuurisääntöjen asettamisella, olet enimmäkseen turvassa. On kuitenkin mahdollista, että hyökkääjä pääsee palvelimellesi. Kun näin tapahtuu, seuraava puolustus on oppimista, kun tiedostoja muokataan palvelimellasi. AIDEn avulla saat ilmoituksen, kun tiettyjä tiedostoja muutetaan palvelimellasi.

Tämä artikkeli opettaa sinulle kuinka asentaa AIDE palvelimesi suojaamiseksi paremmin CentOS 6:ssa.

Vaihe 1: AIDEn asentaminen

Ohjelmiston asentaminen on melko yksinkertaista. Suorita vain seuraava komento pääkäyttäjänä:

yum install -y aide

Se on kaikki mitä sinun tarvitsee tehdä asennuksessa.

Vaihe 2: Määritä AIDE

Tämä on vaikein osa. Jotta AIDE toimisi, meidän on koottava tietokanta kansioista/tiedostoista, joista haluamme ilmoituksia. Käytämme AIDE-oletusasetuksia. Tiettyjen kansioiden/tiedostojen valvonnan määrittäminen ei kuulu tämän opetusohjelman piiriin. Katso AIDE-dokumentaatiosta, jos tarvitset tämän tyyppisiä kokoonpanoja.

Ensin meidän on alustettava AIDE. Suorita seuraava komento pääkäyttäjänä:

aide --init

Tämä luo tietokannan ensimmäistä kertaa. Suorita sitten nämä komennot pääkäyttäjänä:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

Valitettavasti tämä vaihe on pakollinen, koska AIDE ei toimi ilman sitä.

Meidän on myös annettava AIDE tarkastaa tiedostomme ensimmäistä kertaa, joten suorita nämä komennot pääkäyttäjänä:

aide --check
aide --update

Palaa /var/lib/aidehakemistoon ja sinun pitäisi löytää toinen uusi tietokanta. Poista ensimmäinen ilman uutta osaa tiedoston nimessä suorittamalla:

rm aide.db.gz

Siirry uuteen tietokantaan:

mv aide.db.new.gz aide.db.gz

Koska oletuskokoonpano sopii jo useimpiin tiedostoihimme, meidän pitäisi pärjätä hyvin. Jäljelle jää vain, että AIDE lähettää sinulle sähköpostiviestin, jos luvattomia muutoksia tapahtuu. Käytämme tässä artikkelissa nanoa tekstieditorina.

nano /etc/crontab

Etsi osio, jossa on MAILTO=rootja vaihda rootsähköpostiosoitteesi. Suorita sitten:

crontab -e

Lisää tämä tiedostoon:

0 1 * * * /usr/sbin/aide --check

Tämä saa AIDEn tarkistamaan ja lähettämään sinulle sähköpostin kerran päivässä, jos se havaitsee, että tiedostoa on muokattu.

Johtopäätös

Tämä takaa turvallisuutesi useimmissa tapauksissa; Sinun on kuitenkin päivitettävä tietokanta aina, kun muokkaat järjestelmätiedostoja tai mitä tahansa verkkohakemistossasi. Jos hyökkääjä asettaa haittaohjelmia järjestelmääsi, AIDE ilmoittaa sinulle, missä se on, ja voit desinfioida järjestelmän.