AIDE (Advanced Intrusion Detection Environment) er et værtsbaseret system til registrering af indtrængen, der effektivt overvåger filer, mapper og konfigurationsfiler for eventuelle mistænkelige ændringer eller ændringer. Med AIDE kan systemadministratorer beskytte følsomme data og sikre integriteten af ​​kritiske systemfiler og mapper.

Denne vejledning vil guide dig gennem processen med at installere og konfigurere AIDE på RHEL/CentOS 7 eller 8. Vi dækker de nødvendige trin for at initialisere databasen, oprette en konfigurationsfil og udføre en grundlæggende systemscanning.

Trin 1:Installer AIDE

1. Opdater systempakkerne:

```

sudo yum opdatering

```

2. Installer AIDE-pakken:

```

sudo yum installationshjælp

```

Trin 2:Initialiser AIDE-databasen

1. Opret AIDE-brugerkontoen:

```

sudo adduser aide

```

Dette trin er afgørende for at sikre det korrekte ejerskab af AIDE-filerne og mapperne.

2. Initialiser AIDE-databasen, som i det væsentlige er en registrering af alle filerne på dit system:

```

sudo /usr/sbin/aide --init

```

Indtast en adgangssætning for at sikre AIDE-databasen. Husk denne adgangssætning, da du får brug for den senere.

3. Indstil ejerskab og tilladelser:

```

sudo chown aide:aide /var/lib/aide/aide.db

```

Denne kommando indstiller ejerskabet af databasen til 'hjælperen'-brugeren og sikrer korrekte tilladelser.

Trin 3:Konfigurer AIDE

1. Som 'aide'-bruger skal du oprette en fil med navnet 'aide.conf' i '/etc/aide'-mappen:

```

sudo -i -u aide

cd /etc/aide

touch aide.conf

```

2. Åbn filen 'aide.conf' i en teksteditor:

```

vim aide.conf

```

3. Tilføj følgende grundlæggende konfiguration:

```

# Mailrelateret konfiguration

underrette_via mail

notify_email [email protected]

sendmail_command /usr/sbin/sendmail -t

# Databaserelateret konfiguration

database =/var/lib/aide/aide.db

database_user =hjælper

# Filer og mappe til at overvåge

/etc

/var/log/audit

```

I denne konfiguration indstiller vi indstillingerne for mailmeddelelser og specificerer de filer og mapper, der skal overvåges. Du kan tilpasse denne sektion baseret på dine specifikke krav.

Trin 4:Udfør en databaseopdatering og tjek

1. Kør følgende kommandoer for at opdatere databasen og bekræfte dens integritet:

```

sudo /usr/sbin/aide -u

```

Denne kommando opdaterer AIDE-databasen, sammenligner de aktuelle filstatusser med dem, der er gemt i databasen, og noterer eventuelle ændringer.

2. Tjek for eventuelle uoverensstemmelser eller ændringer:

```

sudo /usr/sbin/aide -c /etc/aide/aide.conf

```

Trin 5:Planlæg AIDE-scanninger

For at udføre regelmæssige scanninger skal du overveje at tilføje følgende cron-jobpost:

```

$ crontab -e

```

Tilføj denne post:

```

0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1

```

Dette vil køre AIDE dagligt ved midnat og logge eventuelle uoverensstemmelser til filen '/var/log/aide/aide.log'. Du kan justere denne tidsplan efter dine behov.

Ved at følge disse trin har du med succes installeret og konfigureret AIDE på dit RHEL/CentOS 7/8-system. AIDE vil nu løbende overvåge integriteten af ​​kritiske filer og mapper, hvilket sikrer hurtig registrering af eventuelle uautoriserede ændringer.