Configurarea AIDE pe CentOS 6

• Pasul 1: Instalarea AIDE
• Pasul 2: Configurarea AIDE
• Concluzie

După ce v-ați securizat serverul cu sarcini de rutină, cum ar fi schimbarea portului SSH și setarea regulilor firewallului - sunteți în mare parte în siguranță. Cu toate acestea, există șansa ca un atacator să aibă acces la serverul tău. Când se întâmplă acest lucru, următoarea apărare este învățarea când fișierele sunt modificate pe serverul tău. Cu AIDE, sunteți notificat atunci când anumite fișiere sunt modificate pe serverul dvs.

Acest articol vă va învăța cum să instalați AIDE pentru a vă proteja mai bine serverul pe CentOS 6.

Pasul 1: Instalarea AIDE

Instalarea software-ului este destul de simplă. Trebuie doar să executați următoarea comandă ca utilizator root:

yum install -y aide

Aceasta este tot ce trebuie să faci pentru instalare.

Pasul 2: Configurarea AIDE

Aceasta este partea cea mai grea. Pentru ca AIDE să funcționeze, trebuie să compilăm o bază de date cu dosare / fișiere despre care dorim notificări. Vom folosi valorile prestabilite AIDE. Configurarea monitorizării pe anumite dosare / fișiere nu este în sfera de aplicare a acestui tutorial. Consultați documentația AIDE dacă aveți nevoie de acest tip de configurare.

În primul rând, trebuie să inițializăm AIDE. Rulați următoarea comandă ca root:

aide --init

Aceasta va crea baza de date pentru prima dată. Apoi, executați aceste comenzi ca root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

Din păcate, acest pas este necesar, deoarece AIDE nu va funcționa fără el.

Trebuie să solicităm AIDE să inspecteze fișierele noastre pentru prima dată, astfel încât să execute aceste comenzi ca root:

aide --check
aide --update

Reveniți la /var/lib/aidedirector și ar trebui să găsiți o altă bază de date nouă. Îndepărtați prima fără noua parte din numele fișierului, rulând:

rm aide.db.gz

Treceți peste noua bază de date:

mv aide.db.new.gz aide.db.gz

Deoarece configurația implicită se potrivește deja pentru majoritatea fișierelor noastre, ar trebui să o folosim bine. Tot ce a mai rămas este să aveți AIDE să vă trimită un e-mail dacă există modificări neautorizate. Pentru acest articol, vom folosi nano ca editor de text.

nano /etc/crontab

Găsiți secțiunea cu MAILTO=rootși schimbați rootadresa de e-mail. Apoi, executați:

crontab -e

Adăugați acest lucru în fișier:

0 1 * * * /usr/sbin/aide --check

Acest lucru va face ca AIDE să verifice și să vă trimită un e-mail o dată pe zi dacă detectează că un fișier a fost modificat.

Concluzie

Acest lucru vă asigură securitatea în majoritatea cazurilor; cu toate acestea, trebuie să actualizați baza de date de fiecare dată când modificați fișierele de sistem sau orice din directorul dvs. Web. Dacă un atacator plasează malware pe sistemul dvs., AIDE vă va anunța unde se află și veți putea să vă dezinfectați sistemul.