Hur man installerar och använder AIDE på RHEL/CentOS 7/8 [Enkla steg]

AIDE (Advanced Intrusion Detection Environment) är ett värdbaserat intrångsdetekteringssystem som effektivt övervakar filer, kataloger och konfigurationsfiler för eventuella misstänkta ändringar eller ändringar. Med AIDE kan systemadministratörer skydda känsliga data och säkerställa integriteten hos viktiga systemfiler och kataloger.

Denna handledning guidar dig genom processen att installera och konfigurera AIDE på RHEL/CentOS 7 eller 8. Vi kommer att täcka de nödvändiga stegen för att initiera databasen, skapa en konfigurationsfil och utföra en grundläggande systemsökning.

Steg 1:Installera AIDE

1. Uppdatera systempaketen:

```

sudo yum uppdatering

```

2. Installera AIDE-paketet:

```

sudo yum installationshjälp

```

Steg 2:Initiera AIDE-databasen

1. Skapa AIDE-användarkontot:

```

sudo adduser aide

```

Detta steg är avgörande för att säkerställa korrekt ägande av AIDE-filerna och katalogerna.

2. Initiera AIDE-databasen, som i huvudsak är en registrering av alla filer på ditt system:

```

sudo /usr/sbin/aide --init

```

Ange en lösenfras för att säkra AIDE-databasen. Kom ihåg den här lösenfrasen eftersom du kommer att behöva den senare.

3. Ange äganderätt och behörigheter:

```

sudo chown aide:aide /var/lib/aide/aide.db

```

Det här kommandot ställer in äganderätten till databasen till "medhjälparen" och säkerställer korrekta behörigheter.

Steg 3:Konfigurera AIDE

1. Som 'aide'-användare, skapa en fil med namnet 'aide.conf' i '/etc/aide'-katalogen:

```

sudo -i -u aide

cd /etc/aide

touch aide.conf

```

2. Öppna filen 'aide.conf' i en textredigerare:

```

vim aide.conf

```

3. Lägg till följande grundläggande konfiguration:

```

# E-postrelaterad konfiguration

meddela_via mail

notify_email mottagare@example.com

sendmail_command /usr/sbin/sendmail -t

# Databasrelaterad konfiguration

databas =/var/lib/aide/aide.db

database_user =medhjälpare

# Filer och katalog att övervaka

/etc

/var/log/audit

```

I den här konfigurationen ställer vi in ​​inställningarna för e-postmeddelanden och anger vilka filer och kataloger som ska övervakas. Du kan anpassa det här avsnittet baserat på dina specifika krav.

Steg 4:Utför en databasuppdatering och kontroll

1. Kör följande kommandon för att uppdatera databasen och verifiera dess integritet:

```

sudo /usr/sbin/aide -u

```

Detta kommando uppdaterar AIDE-databasen, jämför de aktuella filstatusarna med de som är lagrade i databasen och noterar eventuella ändringar.

2. Kontrollera om det finns några avvikelser eller ändringar:

```

sudo /usr/sbin/aide -c /etc/aide/aide.conf

```

Steg 5:Schemalägg AIDE-skanningar

För att utföra vanliga skanningar, överväg att lägga till följande cron-jobbpost:

```

$ crontab -e

```

Lägg till denna post:

```

0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1

```

Detta kommer att köra AIDE dagligen vid midnatt och logga eventuella avvikelser till filen '/var/log/aide/aide.log'. Du kan anpassa detta schema efter dina krav.

Genom att följa dessa steg har du framgångsrikt installerat och konfigurerat AIDE på ditt RHEL/CentOS 7/8-system. AIDE kommer nu att kontinuerligt övervaka integriteten hos kritiska filer och kataloger, vilket säkerställer snabb upptäckt av alla obehöriga ändringar.