Konfigurowanie AIDE na CentOS 6

• Krok 1: Instalowanie AIDE
• Krok 2: Konfiguracja AIDE
• Wniosek

Po zabezpieczeniu serwera rutynowymi zadaniami, takimi jak zmiana portu SSH i ustawianie reguł zapory - jesteś w większości bezpieczny. Istnieje jednak szansa, że ​​osoba atakująca uzyska dostęp do Twojego serwera. Kiedy tak się stanie, twoja kolejna obrona uczy się, kiedy pliki są modyfikowane na twoim serwerze. Dzięki AIDE otrzymasz powiadomienie, gdy niektóre pliki zostaną zmodyfikowane na twoim serwerze.

W tym artykule dowiesz się, jak zainstalować AIDE, aby lepiej chronić swój serwer na CentOS 6.

Krok 1: Instalowanie AIDE

Instalacja oprogramowania jest dość prosta. Po prostu uruchom następujące polecenie jako użytkownik root:

yum install -y aide

To wszystko, co musisz zrobić, aby zainstalować.

Krok 2: Konfiguracja AIDE

To jest trudniejsza część. Aby AIDE działał, musimy skompilować bazę danych folderów / plików, o których chcemy otrzymywać powiadomienia. Użyjemy ustawień domyślnych AIDE. Konfigurowanie monitorowania określonych folderów / plików jest poza zakresem tego samouczka. Jeśli potrzebujesz tego typu konfiguracji, zapoznaj się z dokumentacją AIDE.

Najpierw musimy zainicjować AIDE. Uruchom następujące polecenie jako root:

aide --init

Spowoduje to utworzenie bazy danych po raz pierwszy. Następnie uruchom te polecenia jako root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

Niestety ten krok jest wymagany, ponieważ AIDE nie będzie bez niego działać.

Musimy również poprosić AIDE o sprawdzenie naszych plików po raz pierwszy, więc wykonaj te polecenia jako root:

aide --check
aide --update

Wróć do /var/lib/aidekatalogu i powinieneś znaleźć kolejną nową bazę danych. Usuń pierwszy bez nowej części w nazwie pliku, uruchamiając:

rm aide.db.gz

Przejdź po nowej bazie danych:

mv aide.db.new.gz aide.db.gz

Ponieważ domyślna konfiguracja pasuje już do większości naszych plików, powinniśmy z niej korzystać. Wystarczy, że AIDE wyśle ​​Ci wiadomość e-mail, jeśli wystąpią jakiekolwiek nieautoryzowane zmiany. W tym artykule użyjemy nano jako naszego edytora tekstu.

nano /etc/crontab

Znajdź sekcję MAILTO=rooti zmień rootswój adres e-mail. Następnie uruchomić:

crontab -e

Dodaj to do pliku:

0 1 * * * /usr/sbin/aide --check

Spowoduje to, że AIDE sprawdzi i wyśle ​​Ci e-mail raz dziennie, jeśli wykryje, że plik został zmodyfikowany.

Wniosek

Zapewnia to bezpieczeństwo w większości przypadków; musisz jednak aktualizować bazę danych za każdym razem, gdy modyfikujesz pliki systemowe lub cokolwiek innego w swoim katalogu internetowym. Jeśli atakujący umieści złośliwe oprogramowanie w twoim systemie, AIDE powiadomi cię, gdzie jest, i będziesz mógł wyleczyć swój system.