Налаштування AIDE на CentOS 6

Після того, як ви захистите свій сервер за допомогою рутинних завдань, таких як зміна порту SSH та встановлення правил брандмауера, ви в основному в безпеці. Однак є ймовірність, що зловмисник отримає доступ до вашого сервера. Коли це станеться, ваш наступний захист буде вивчати, коли файли змінюються на вашому сервері. Завдяки AIDE ви отримуєте сповіщення, коли певні файли змінюються на вашому сервері.

Ця стаття навчить вас, як встановити AIDE для кращого захисту вашого сервера на CentOS 6.

Крок 1: Встановлення AIDE

Установка програмного забезпечення досить проста. Просто запустіть таку команду як користувач root:

yum install -y aide

Це все, що вам потрібно зробити для установки.

Крок 2: Налаштування AIDE

Це найважча частина. Щоб AIDE працював, нам потрібно скласти базу даних папок/файлів, про які ми хочемо отримувати сповіщення. Ми будемо використовувати параметри AIDE за замовчуванням. Налаштування моніторингу окремих папок/файлів виходить за рамки цього посібника. Зверніться до документації AIDE, якщо вам потрібна така конфігурація.

Спочатку нам потрібно ініціалізувати AIDE. Виконайте таку команду як root:

aide --init

Це створить базу даних вперше. Потім запустіть ці команди як root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

На жаль, цей крок необхідний, оскільки AIDE не працюватиме без нього.

Нам також потрібно, щоб AIDE перевірила наші файли в перший раз, тому виконайте ці команди як root:

aide --check
aide --update

Поверніться до /var/lib/aideкаталогу, і ви повинні знайти нову базу даних. Видаліть перший без нової частини в імені файлу, запустивши:

rm aide.db.gz

Перейдіть до нової бази даних:

mv aide.db.new.gz aide.db.gz

Оскільки конфігурація за замовчуванням вже підходить для більшості наших файлів, ми можемо її використовувати. Все, що залишилося, це попросити AIDE надіслати вам електронний лист, якщо є якісь несанкціоновані зміни. У цій статті ми будемо використовувати nano як наш текстовий редактор.

nano /etc/crontab

Знайдіть розділ із MAILTO=rootта змініть rootсвою адресу електронної пошти. Потім запустіть:

crontab -e

Додайте це до файлу:

0 1 * * * /usr/sbin/aide --check

Це змусить AIDE перевіряти та надсилати вам електронний лист раз на день, якщо виявить, що файл було змінено.

Висновок

Це гарантує вашу безпеку в більшості випадків; однак ви повинні оновлювати базу даних щоразу, коли ви змінюєте системні файли або будь-що у вашому веб-каталозі. Якщо зловмисник розмістить зловмисне програмне забезпечення у вашій системі, AIDE повідомить вас, де воно знаходиться, і ви зможете вилікувати свою систему.