Thiết lập AIDE trên CentOS 6

• Bước 1: Cài đặt Aide
• Bước 2: Cấu hình Aide
• Phần kết luận

Sau khi bạn bảo mật máy chủ của mình bằng các tác vụ thông thường như thay đổi cổng SSH và đặt quy tắc tường lửa - bạn hầu như an toàn. Mặc dù, có khả năng kẻ tấn công có quyền truy cập vào máy chủ của bạn. Khi điều này xảy ra, bảo vệ tiếp theo của bạn là học khi các tệp được sửa đổi trên máy chủ của bạn. Với AIDE, bạn được thông báo khi một số tệp nhất định được sửa đổi trên máy chủ của bạn.

Bài viết này sẽ hướng dẫn bạn cách cài đặt AIDE để bảo vệ máy chủ của bạn tốt hơn trên CentOS 6.

Bước 1: Cài đặt Aide

Cài đặt phần mềm khá đơn giản. Chỉ cần chạy lệnh sau là người dùng root:

yum install -y aide

Đó là tất cả những gì bạn cần làm để cài đặt.

Bước 2: Cấu hình Aide

Đây là phần khó hơn. Để AIDE hoạt động, chúng tôi cần biên dịch cơ sở dữ liệu các thư mục / tệp mà chúng tôi muốn thông báo. Chúng tôi sẽ sử dụng mặc định AIDE. Thiết lập giám sát trên các thư mục / tệp cụ thể nằm ngoài phạm vi của hướng dẫn này. Tham khảo tài liệu AIDE nếu bạn cần loại cấu hình đó.

Đầu tiên, chúng ta cần khởi tạo AIDE. Chạy lệnh sau với quyền root:

aide --init

Điều đó sẽ tạo ra cơ sở dữ liệu lần đầu tiên. Sau đó, chạy các lệnh này dưới dạng root:

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

Thật không may, bước này là bắt buộc vì AIDE sẽ không hoạt động nếu không có nó.

Chúng ta cũng cần phải kiểm tra AIDE lần đầu tiên, vì vậy hãy thực hiện các lệnh này dưới dạng root:

aide --check
aide --update

Quay trở lại /var/lib/aidethư mục, và bạn nên tìm một cơ sở dữ liệu mới. Xóa phần đầu tiên mà không có phần mới trong tên tệp, bằng cách chạy:

rm aide.db.gz

Di chuyển qua cơ sở dữ liệu mới:

mv aide.db.new.gz aide.db.gz

Vì cấu hình mặc định đã phù hợp với hầu hết các tệp của chúng tôi, chúng tôi sẽ ổn khi sử dụng nó. Tất cả những gì còn lại là để AIDE gửi email cho bạn nếu có bất kỳ thay đổi trái phép nào. Đối với bài viết này, chúng tôi sẽ sử dụng nano làm trình soạn thảo văn bản của chúng tôi.

nano /etc/crontab

Tìm phần với MAILTO=rootvà thay đổi rootđịa chỉ email của bạn. Sau đó chạy:

crontab -e

Thêm phần này vào tập tin:

0 1 * * * /usr/sbin/aide --check

Điều này sẽ khiến AIDE kiểm tra và gửi email cho bạn một lần mỗi ngày nếu phát hiện ra rằng một tệp đã được sửa đổi.

Phần kết luận

Điều này đảm bảo an ninh của bạn trong hầu hết các trường hợp; tuy nhiên, bạn phải cập nhật cơ sở dữ liệu mỗi khi bạn sửa đổi các tệp hệ thống hoặc bất cứ thứ gì trong thư mục web của bạn. Nếu kẻ tấn công đặt phần mềm độc hại vào hệ thống của bạn, AIDE sẽ thông báo cho bạn biết vị trí của nó và bạn sẽ có thể khử trùng hệ thống của mình.