Debian 10 中安装和使用 AIDE

AIDE 是一种高级入侵检测系统,可保护系统免受病毒、rootkit、恶意软件和未经授权的活动的侵害。 它是一个基于主机的文件和目录完整性检查器,将系统文件信息和属性与最初由 AIDE 创建的数据库进行比较。 每当有人对我们的系统进行任何更改时,AIDE 都会将数据库与系统的真实状态进行比较并将其报告给我们。

在这篇文章中,我们将向我们展示 Debian 10 上安装和使用 AIDE。

先决条件

  • 云平台上的全新 Debian 10 服务器
  • 在我们的服务器上配置的 root 密码

第 1 步 – 创建 云服务器

首先,登录到我们的 云服务器。 创建一个新服务器,选择 Debian 10 作为至少 2GB RAM 的操作系统。 通过 SSH 连接到我们的云服务器并使用页面顶部突出显示的凭据登录。

登录到 Debian 10 服务器后,运行以下命令以使用最新的可用软件包更新基本系统。

apt-get update -y

第 2 步 – 安装 AIDE

默认情况下,AIDE 在 Ubuntu 20.04 默认存储库中可用。 我们可以使用以下命令安装它:

apt-get install aide -y

安装后,我们可以使用以下命令验证 AIDE 版本:

aide -v

样本输出:

Aide 0.16.1

Compiled with the following options:

WITH_MMAP
WITH_PCRE
WITH_POSIX_ACL
WITH_SELINUX
WITH_XATTR
WITH_E2FSATTRS
WITH_LSTAT64
WITH_READDIR64
WITH_ZLIB
WITH_MHASH
WITH_AUDIT
CONFIG_FILE = "/dev/null"

第 3 步 – 初始化 AIDE 数据库

在开始之前,我们需要创建一个新的 AIDE 数据库。 我们可以使用以下命令创建它:

aideinit

这将在 /var/lib/aide/aide.db.new 中创建一个新数据库:

Running aide --init...
Start timestamp: 2021-07-13 08:53:19 +0000 (AIDE 0.16.1)
AIDE initialized database at /var/lib/aide/aide.db.new
Verbose level: 6

Number of entries:	37719

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new
  RMD160   : EKLJYOgQoxA1T1rDaDwSKPT+zS8=
  TIGER    : ++cPjPggEXIiZPv7/6wxgVw50ddXpE3g
  SHA256   : pa9MXZXSt0Oq80rSeYry1IA6u48mAJ65
             CxhD6wpU0SE=
  SHA512   : sgB/1IhSDZAjJ8kPEbANX0EVc1v/M4BA
             qJh7ab0KY1q+f8QxY3xxDBzpOuLKEl3I
             b1C5px59JEqTy8F8u7oWQQ==
  CRC32    : R/I+2g==
  HAVAL    : 5shLpFN9owhYyjVC9F822TcVDOkXvhv+
             Xt4HSJ28fJs=
  GOST     : u/AioKKAQNB77sCvgUCzc2fJtYWzsM+W
             xG0U1LGPgHQ=


End timestamp: 2021-07-13 08:54:54 +0000 (run time: 1m 35s)

为了使用新的 AIDE 数据库,我们需要将其复制并替换为名称 aide.db:

cp /var/lib/aide/aide.db{.new,}

接下来,使用以下命令重建 AIDE 配置文件:

update-aide.conf

这将在 /var/lib/aide/aide.conf.autogenerated 创建一个新的配置文件。

接下来,将新的配置文件复制到默认的 AIDE 配置目录:

cp /var/lib/aide/aide.conf.autogenerated /etc/aide/aide.conf

第 4 步 – 验证 AIDE

至此,AIDE 已安装并配置完毕。 现在,是时候检查 AIDE 是否工作了。

为此,请使用以下命令在 /etc 目录中创建一些文件:

echo " Install AIDE" > /etc/test
touch /etc/file1.txt

接下来,在 /etc 目录上运行 AIDE 检查以检测新文件:

aide -c /etc/aide/aide.conf --limit /etc --check

我们应该在以下输出中看到 AIDE 检测到的更改:

End timestamp: 2021-07-13 08:57:42 +0000 (run time: 0m 11s)
root@debian10:~# echo " Install AIDE" > /etc/test
root@debian10:~# aide -c /etc/aide/aide.conf --limit /etc --check
Start timestamp: 2021-07-13 08:58:35 +0000 (AIDE 0.16.1)
AIDE found differences between database and filesystem!!
Limit: /etc | Verbose level: 6

Summary:
  Total number of entries:	37721
  Added entries:		2
  Removed entries:		0
  Changed entries:		1

---------------------------------------------------
Added entries:
---------------------------------------------------

f++++++++++++++++: /etc/file1.txt
f++++++++++++++++: /etc/test

---------------------------------------------------
Changed entries:
---------------------------------------------------

f >b... mc..C.. .: /etc/aide/aide.conf

---------------------------------------------------

如果要向 AIDE 数据库添加新文件定义,请运行以下命令:

aide --update

为了在以后的扫描中使用新数据库,请将新创建的数据库重命名为 /var/lib/aide/aide.db.gz:

mv /var/lib/aide/aide.db.new.gz  /var/lib/aide/aide.db.gz

第 5 步 – 将 AIDE 配置为通过电子邮件发出警报

我们还可以将 AIDE 配置为通过电子邮件发送每日报告。 我们可以通过编辑文件 /etc/default/aide 来做到这一点:

nano /etc/default/aide

找到以下行:

MAILTO=root

并且,将其替换为以下行:

MAILTO=user@email.com

保存并关闭文件,然后编辑 /etc/aliases 文件:

nano /etc/aliases

添加以下行:

root:   user@email.com

保存并关闭文件,然后使用以下命令更新别名:

newaliases

在上述指南中,我们了解了 Debian 10 上安装和使用 AIDE。我们现在可以在生产服务器中实施 AIDE 以保护其免受病毒、rootkit 和恶意软件的侵害——我们可以在来自 的专用服务器上使用 AIDE。

© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论