Настройка AIDE на CentOS 6

• Шаг 1: Установка AIDE
• Шаг 2: Настройка AIDE
• Заключение

После того как вы защитите свой сервер с помощью рутинных задач, таких как изменение порта SSH и настройка правил брандмауэра, вы в основном будете в безопасности. Хотя есть вероятность, что злоумышленник получит доступ к вашему серверу. Когда это происходит, ваша следующая защита изучает, когда файлы изменяются на вашем сервере. С AIDE вы будете уведомлены, когда определенные файлы будут изменены на вашем сервере.

Эта статья научит вас, как установить AIDE, чтобы лучше защитить ваш сервер на CentOS 6.

Шаг 1: Установка AIDE

Установка программного обеспечения довольно проста. Просто запустите следующую команду от имени пользователя root:

yum install -y aide

Это все, что вам нужно сделать для установки.

Шаг 2: Настройка AIDE

Это самая сложная часть. Чтобы AIDE работал, нам нужно скомпилировать базу данных папок / файлов, о которых мы хотим получать уведомления. Мы будем использовать настройки AIDE по умолчанию. Настройка мониторинга для определенных папок / файлов выходит за рамки данного руководства. Обратитесь к документации AIDE, если вам нужен такой тип конфигурации.

Во-первых, нам нужно инициализировать AIDE. Запустите следующую команду от имени пользователя root:

aide --init

Это создаст базу данных в первый раз. Затем выполните эти команды от имени пользователя root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

К сожалению, этот шаг необходим, поскольку AIDE не будет работать без него.

Нам нужно, чтобы AIDE также впервые проверял наши файлы, поэтому выполните эти команды как root:

aide --check
aide --update

Вернитесь в /var/lib/aideкаталог, и вы должны найти другую новую базу данных. Удалите первый без новой части в имени файла, запустив:

rm aide.db.gz

Переместить новую базу данных:

mv aide.db.new.gz aide.db.gz

Поскольку конфигурация по умолчанию уже подходит для большинства наших файлов, мы должны использовать ее. Осталось только отправить AIDE электронное письмо, если есть какие-либо несанкционированные изменения. В этой статье мы будем использовать nano в качестве нашего текстового редактора.

nano /etc/crontab

Найдите раздел MAILTO=rootи перейдите rootна свой адрес электронной почты. Затем запустите:

crontab -e

Добавьте это в файл:

0 1 * * * /usr/sbin/aide --check

Это сделает проверку AIDE и отправит вам электронное письмо один раз в день, если обнаружит, что файл был изменен.

Заключение

Это обеспечивает вашу безопасность в большинстве случаев; однако вы должны обновлять базу данных каждый раз, когда вы изменяете системные файлы или что-либо в вашем веб-каталоге. Если злоумышленник разместит вредоносное ПО в вашей системе, AIDE сообщит вам, где оно находится, и вы сможете вылечить вашу систему.