Contrairement à ces systèmes de détection d'intrusion (généralement appelés IDS), un environnement de détection d'intrusion avancé (appelé aide) vérifie l'intégrité des fichiers en comparant les informations et les attributs des fichiers système avec une base de données initialement créée.
Il crée d'abord la base de données du système sain pour comparer plus tard l'intégrité à l'aide d'algorithmes SHA1, RMD160, Tiger, CRC32, SHA256, SHA512, Whirlpool avec intégrations facultatives pour GOST, HAVAL et CR32B. Bien sûr, Aide prend en charge la surveillance à distance.
Avec les informations sur les fichiers, l'aide vérifie les attributs de fichiers tels que le type de fichier, les autorisations, le gid, l'UID, la taille, le nom de lien, le nombre de blocs, le nombre de liens, mtime, ctime et atime et les attributs générés par XATTRS, SELINUX, POSIX ACL et Extended. Avec l'aide, il est possible de spécifier des fichiers et des répertoires à exclure ou inclus dans les tâches de surveillance.
Configuration et configurer: installer un environnement de détection d'intrusion avancé sur Debian
Pour commencer par installer Aide sur Debian et les distributions Linux dérivées:
# apt installer l'aide-commun -y
Après l'installation de l'aide, la première étape à suivre est de créer une base de données sur votre système de santé pour être contrasté avec des instantanés pour vérifier l'intégrité des fichiers.
Pour construire la base de données initiale:
# sudo aideinit
Note: Si vous aviez un assistant de base de données précédent le remplacera (demande de confirmation préalable), il est recommandé de faire une vérification avant de continuer.
Ce processus peut durer de longues minutes jusqu'à afficher la sortie que vous pouvez voir ci-dessous
Comme vous pouvez le voir, la base de données a été générée à / var / lib / aide / aide.db.Nouveau, dans le répertoire / var / lib / aide / Vous verrez également un fichier appelé aide.db:
# aide.wrapper -c / etc / aide / aide.confirned
Si la sortie est 0 aide n'a pas trouvé de problèmes. Si le scénario est appliqué, les sorties possibles signifient:
1 = de nouveaux fichiers ont été trouvés dans le système.
2 = Les fichiers ont été supprimés du système.
4 = Les fichiers du système ont subi des modifications.
14 = erreur d'erreur d'erreur.
15 = erreur d'argument non valide.
16 = erreur de fonction non implémentée.
17 = erreur de configuration non valide.
18 = erreur d'E / S.
19 = Erreur de décalage de la version.
Les options et paramètres de l'aide comprennent:
-init ou -je: Cette option initialise la base de données, il s'agit d'une exécution obligatoire avant tout chèque, les chèques ne fonctionneront pas si la base de données n'a pas été initialisée en premier.
-vérifier ou -C: lors de l'application de cette option, l'aide compare les fichiers système avec les informations de base de données. Il s'agit de l'option par défaut appliquée lorsque l'aide est exécutée sans options.
-mise à jour ou -u: Cette option est utilisée pour mettre à jour une base de données.
-comparer: Cette option est utilisée pour comparer différentes bases de données, les bases de données doivent être précédemment définies dans le fichier de configuration.
-configuration ou -D: Cette option est utile pour trouver des erreurs dans le fichier de configuration, en ajoutant que cet aide de commande ne lira la configuration que sans poursuivre le processus avec la vérification des fichiers.
-configurer ou -c = Ce paramètre est utile pour spécifier un autre fichier de configuration que l'aide.confli.
-avant ou -B = Ajouter des paramètres de configuration avant de lire le fichier de configuration.
-après ou -UN = Ajouter des paramètres de configuration après avoir lu le fichier de configuration.
-verbeux ou -V = Avec cette commande, vous pouvez spécifier le niveau de verbosité qui peut être défini entre 0 et 255.
-rapport ou -r = Avec cette option, vous pouvez envoyer le rapport des résultats de l'aide à d'autres destinations, vous pouvez répéter cette option en demandant à l'aide d'envoyer des rapports à différentes destinations.
Vous pouvez obtenir des informations supplémentaires sur ces commandes et options d'assistance et plus.
Fichier de configuration de l'aide:
La configuration de l'assistance se fait sur le fichier de configuration situé dans / etc / aide.Conf, à partir de là, vous pouvez définir le comportement de l'aide, ci-dessous, vous avez certaines des options les plus populaires expliquées:
Les lignes du fichier de configuration incluent, parmi plus de fonctionnalités:
database_out: Ici, vous pouvez spécifier le nouvel emplacement DB. Bien que vous puissiez définir plusieurs destinations lors du lancement de la commande, dans ce fichier de configuration, vous ne pouvez définir qu'une seule URL.
database_new: URL de la base de données source lors de la comparaison des bases de données.
Database_ATTRS: Somme de contrôle
database_add_metadata: Ajoutez des informations supplémentaires comme des commentaires tels que la création de temps DB, etc.
verbeux: Ici, vous pouvez saisir une valeur comprise entre 0 et 255 pour définir le niveau de verbosité.
report_url: Emplacement de sortie de définition de l'URL.
report_quiet: saute la sortie si aucune différence n'a été trouvée.
gzip_dbout: Ici, vous pouvez définir si la base de données doit être comprimée (dépend de ZLIB).
WARN_DEAD_SYMLINKS: définir si des liens symboliques morts doivent être signalés ou non.
Grouillé: dossiers de groupe qui auraient subi des modifications.
Plus d'instructions sur les options de fichiers de configuration sont disponibles sur https: // linux.mourir.net / homme / 5 / aide.confli.
J'espère que vous avez trouvé cet article sur la configuration et la configuration de Debian Linux installer un environnement de détection d'intrusion avancée utile. Continuez à suivre Linuxhint pour plus de conseils et de mises à jour sur Linux et le réseautage.