|
本文介绍在RHEL 8/CentOS 8系统上安装和配置AIDE(全称是Advanced Intrusion Detection Environment)是一种基于主机的入侵检测系统(HIDS),用于检查文件的完整性。
简介 AIDE在初始运行时创建文件的基线数据库,然后在后续运行中针对系统检查此数据库。可以检查的文件属性包括:索引节点、权限、修改时间、文件内容等。请注意,AIDE不会检查rootkit或解析日志文件是否存在可疑活动,为此,你可以使用其他HIDS系统,例如OSSEC。
在RHEL 8上安装AIDE的方法 AIDE包在默认的RHEL 8存储库中可用,只需执行以下命令即可安装AIDE: sudo yum -y install aide 查看AIDE更多详情: $ rpm -qi aide
在RHEL 8上配置AIDE的方法 /etc/aide.conf中的默认配置文件具有非常合理的默认值。 如果要更改规则,请参阅: man aide.conf 1、设置/var/log监控 编辑/etc/aide.conf中的/var/log行并从中更改: /var/log LOG 至: /var/log p+u+g+i+n+acl+selinux+xattrs 2、初始化数据库 你可以根据需要进行其他更改,完成后,通过运行以下命令初始化AIDE数据库: $ sudo aide --init
完成后,将生成的AIDE数据库文件复制到主数据库: sudo cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 要检查AIDE配置,请使用: $ sudo aide -D 根据基线数据库检查数据库,使用: $ sudo aide --check
如果修改文件并重新检查,则应进行更改: $ ll /etc/issue -rw-r--r--. 1 root root 23 Oct 16 10:39 /etc/issue $ sudo chmod 0664 /etc/issue $ ll /etc/issue -rw-rw-r--. 1 root root 23 Oct 16 10:39 /etc/issue $ sudo aide --check
# Revert the change $ sudo chmod 0644 /etc/issue 要检查数据库并更新数据库,请使用以下命令: $ sudo aide --update
3、设置更新cron和电子邮件通知 为此,我们将使用预先创建的脚本,用wget下载它: sudo yum -y install wget wget https://rfxn.com/downloads/cron.aide -O aide_cron.sh chmod +x aide_cron.sh 编辑文件以设置更改报告的电子邮件地址(以逗号间隔)。 email="root@localhost,admin@example.com" 设置cron: # crontab -e 00 01 * * * /path/to/cron/script 至此,可以在RHEL 8上使用基于AIDE主机的入侵检测系统了。
相关主题 |
