Menyiapkan AIDE di CentOS 6

• Langkah 1: Memasang AIDE
• Langkah 2: Mengkonfigurasi AIDE
• Kesimpulannya

Setelah anda melindungi pelayan anda dengan tugas rutin seperti menukar port SSH anda dan menetapkan peraturan firewall - anda kebanyakannya selamat. Walaupun begitu, ada kemungkinan penyerang mendapat akses ke pelayan anda. Apabila ini berlaku, pertahanan anda seterusnya adalah belajar apabila fail diubah suai pada pelayan anda. Dengan AIDE, anda diberitahu apabila fail tertentu diubah pada pelayan anda.

Artikel ini akan mengajar anda cara memasang AIDE untuk melindungi pelayan anda dengan lebih baik di CentOS 6.

Langkah 1: Memasang AIDE

Memasang perisian agak mudah. Jalankan arahan berikut sebagai pengguna root:

yum install -y aide

Itu sahaja yang perlu anda lakukan untuk pemasangan.

Langkah 2: Mengkonfigurasi AIDE

Ini adalah bahagian yang lebih sukar. Agar AIDE berfungsi, kita perlu menyusun pangkalan data folder / fail yang ingin kita maklumkan. Kami akan menggunakan lalai AIDE. Menyiapkan pemantauan pada folder / fail tertentu berada di luar skop tutorial ini. Rujuk dokumentasi AIDE jika anda memerlukan jenis konfigurasi tersebut.

Pertama, kita perlu memulakan AIDE. Jalankan arahan berikut sebagai root:

aide --init

Itu akan membuat pangkalan data untuk pertama kalinya. Kemudian, jalankan arahan ini sebagai root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

Malangnya, langkah ini diperlukan kerana AIDE tidak akan berfungsi tanpanya.

Kita juga mesti AIDE memeriksa fail kita untuk pertama kalinya, jadi jalankan perintah ini sebagai root:

aide --check
aide --update

Kembali ke /var/lib/aidedirektori, dan anda harus mencari pangkalan data baru yang lain. Keluarkan yang pertama tanpa bahagian baru dalam nama fail, dengan menjalankan:

rm aide.db.gz

Pindahkan pangkalan data baru:

mv aide.db.new.gz aide.db.gz

Oleh kerana konfigurasi lalai sudah sesuai untuk kebanyakan fail kami, kami harus menggunakannya dengan baik. Yang tinggal hanyalah AIDE menghantar e-mel kepada anda sekiranya terdapat perubahan yang tidak dibenarkan. Untuk artikel ini, kami akan menggunakan nano sebagai penyunting teks kami.

nano /etc/crontab

Cari bahagian dengan MAILTO=rootdan ubah rootke alamat e-mel anda. Kemudian, jalankan:

crontab -e

Tambahkan ini ke fail:

0 1 * * * /usr/sbin/aide --check

Ini akan membuat pemeriksaan AIDE dan menghantar e-mel sekali sehari jika ia mengesan fail telah diubah.

Kesimpulannya

Ini memastikan keselamatan anda dalam kebanyakan kes; namun, anda mesti mengemas kini pangkalan data setiap kali anda mengubahsuai fail sistem, atau apa sahaja di dalam direktori web anda. Sekiranya penyerang meletakkan perisian hasad pada sistem anda, AIDE akan memberitahu anda di mana ia berada, dan anda akan dapat membasmi kuman sistem anda.