订阅本站
收藏本站
微博分享
QQ空间分享

在RHEL 8/CentOS 8系统上安装和配置AIDE的方法

lilin 分类:数据库 时间:2019/11/29 17:32:00 评论: 加入收藏

本文介绍在RHEL 8/CentOS 8系统上安装和配置AIDE(全称是Advanced Intrusion Detection Environment)是一种基于主机的入侵检测系统(HIDS),用于检查文件的完整性。

 

简介

AIDE在初始运行时创建文件的基线数据库,然后在后续运行中针对系统检查此数据库。可以检查的文件属性包括:索引节点、权限、修改时间、文件内容等。请注意,AIDE不会检查rootkit或解析日志文件是否存在可疑活动,为此,你可以使用其他HIDS系统,例如OSSEC。

 

在RHEL 8上安装AIDE的方法

AIDE包在默认的RHEL 8存储库中可用,只需执行以下命令即可安装AIDE:

sudo yum -y install aide

查看AIDE更多详情:

$ rpm -qi aide

在RHEL 8/CentOS 8系统上<a href=http://8u.hn.cn/linuxaz/ target=_blank class=infotextkey>安装</a>和配置AIDE的方法

 

在RHEL 8上配置AIDE的方法

/etc/aide.conf中的默认配置文件具有非常合理的默认值。

如果要更改规则,请参阅:

man aide.conf

1、设置/var/log监控

编辑/etc/aide.conf中的/var/log行并从中更改:

/var/log   LOG

至:

/var/log   p+u+g+i+n+acl+selinux+xattrs

2、初始化数据库

你可以根据需要进行其他更改,完成后,通过运行以下命令初始化AIDE数据库:

$ sudo aide --init

在RHEL 8/CentOS 8系统上<a href=http://8u.hn.cn/linuxaz/ target=_blank class=infotextkey>安装</a>和配置AIDE的方法

完成后,将生成的AIDE数据库文件复制到主数据库:

sudo cp -p /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

要检查AIDE配置,请使用:

$ sudo aide -D

根据基线数据库检查数据库,使用:

$ sudo aide --check

在RHEL 8/CentOS 8系统上<a href=http://8u.hn.cn/linuxaz/ target=_blank class=infotextkey>安装</a>和配置AIDE的方法

如果修改文件并重新检查,则应进行更改:

$ ll /etc/issue

-rw-r--r--. 1 root root 23 Oct 16 10:39 /etc/issue

$ sudo chmod 0664 /etc/issue

$ ll /etc/issue

-rw-rw-r--. 1 root root 23 Oct 16 10:39 /etc/issue

$ sudo  aide --check

在RHEL 8/CentOS 8系统上<a href=http://8u.hn.cn/linuxaz/ target=_blank class=infotextkey>安装</a>和配置AIDE的方法

# Revert the change

$ sudo chmod 0644 /etc/issue

要检查数据库并更新数据库,请使用以下命令

$ sudo aide --update

在RHEL 8/CentOS 8系统上<a href=http://8u.hn.cn/linuxaz/ target=_blank class=infotextkey>安装</a>和配置AIDE的方法

3、设置更新cron和电子邮件通知

为此,我们将使用预先创建的脚本,用wget下载它:

sudo yum -y install wget

wget https://rfxn.com/downloads/cron.aide -O  aide_cron.sh

chmod +x aide_cron.sh

编辑文件以设置更改报告的电子邮件地址(以逗号间隔)。

email="root@localhost,admin@example.com"

设置cron:

# crontab -e

00 01 * * * /path/to/cron/script

至此,可以在RHEL 8上使用基于AIDE主机的入侵检测系统了。

 

TAG:

文章评论

留言与评论(共有 0 条评论)
   
验证码: