Debian

Configurar Debian Linux - Entorno de detección de intrusiones avanzado

Configurar Debian Linux - Entorno de detección de intrusiones avanzado
El entorno avanzado de detección de intrusiones (AIDE) es otro método para detectar anomalías dentro del sistema. AIDE no debe confundirse con los sistemas de detección de intrusiones más conocidos, como OSSEC o Bufido que para detectar ataques o eventos de seguridad analiza el tráfico en busca de paquetes anómalos.

A diferencia de estos sistemas de detección de intrusiones (generalmente denominados IDS), el entorno de detección de intrusiones avanzada (conocido como AIDE) comprueba la integridad de los archivos comparando la información y los atributos de los archivos del sistema con una base de datos creada inicialmente.

Primero crea la base de datos del sistema saludable para luego comparar la integridad usando los algoritmos sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool con integraciones opcionales para gost, haval y cr32b. Por supuesto, AIDE admite el monitoreo remoto.

Junto con la información de los archivos, AIDE comprueba los atributos de los archivos como el tipo de archivo, permisos, GID, UID, tamaño, nombre del enlace, recuento de bloques, número de enlaces, mtime, ctime y atime y atributos generados por XAttrs, SELinux, Posix ACL y extendido. Con AIDE es posible especificar archivos y directorios para ser excluidos o incluidos en las tareas de monitoreo.

Instalación y configuración: instale el entorno de detección de intrusiones avanzada en Debian

Para comenzar instalando AIDE en Debian y distribuciones de Linux derivadas, ejecute:

# apt install aide-common -y

Después de instalar AIDE, el primer paso a seguir es crear una base de datos en su sistema de salud para contrastarla con instantáneas para verificar la integridad de los archivos.

Para construir la base de datos inicial, ejecute:

# sudo aideinit

Nota: Si tenía una base de datos anterior, AIDE la sobrescribirá (solicitud de confirmación previa), se recomienda hacer una verificación antes de continuar.

Este proceso puede durar muchos minutos hasta que muestre el resultado que puede ver a continuación

Como puede ver, la base de datos se generó en / var / lib / aide / aide.db.nuevo, dentro del directorio / var / lib / aide / también verá un archivo llamado ayudante.db:

# ayudante.envoltorio -c / etc / aide / aide.conf --check

Si la salida es 0 AIDE no encontró problemas. Si se aplica la marca -check, los posibles significados de las salidas son:

1 = Se encontraron archivos nuevos en el sistema.
2 = Los archivos se eliminaron del sistema.
4 = Los archivos en el sistema sufrieron cambios.
14 = Error al escribir error.
15 = Error de argumento no válido.
16 = Error de función no implementada.
17 = Error de configureline no válido.
18 = error de E / S.
19 = Error de no coincidencia de la versión.

Las opciones y parámetros de AIDE incluyen:

-en eso o -I: esta opción inicializa la base de datos, esta es una ejecución obligatoria antes de cualquier verificación, las verificaciones no funcionarán si la base de datos no se inicializó primero.

-cheque o -C: cuando se aplica esta opción, AIDE compara los archivos del sistema con la información de la base de datos. Esta es la opción predeterminada que se aplica cuando AIDE se ejecuta sin opciones.

-actualizar o -tu: esta opción se usa para actualizar una base de datos.

-comparar: esta opción se utiliza para comparar diferentes bases de datos, las bases de datos deben estar previamente definidas en el archivo de configuración.

-config-check o -D: esta opción es útil para encontrar errores en el archivo de configuración, al agregar este comando AIDE solo leerá la configuración sin continuar el proceso con la verificación de archivos.

-config o -C = este parámetro es útil para especificar otro archivo de configuración que no sea aide.conf.

-antes de o -B = agregar parámetros de configuración antes de leer el archivo de configuración.

-después o -A = agregar parámetros de configuración después de leer el archivo de configuración.

-verboso o -V = con este comando puede especificar el nivel de verbosidad que se puede definir entre 0 y 255.

-informe o -r = con esta opción puede enviar el informe de resultados de AIDE a otros destinos, puede repetir esta opción indicando a AIDE que envíe informes a diferentes destinos.

Puede obtener información adicional sobre estos y más comandos y opciones de AIDE en la página de manual.

Archivo de configuración de AIDE:

La configuración de AIDE se realiza en el archivo de configuración ubicado dentro de / etc / aide.conf, desde allí puedes definir el comportamiento de AIDE, a continuación tienes explicadas algunas de las opciones más populares:

Las líneas del archivo de configuración incluyen, entre más funcionalidades:

database_out: aquí puede especificar la nueva ubicación de la base de datos. Si bien puede definir varios destinos al ejecutar el comando, en este archivo de configuración solo puede establecer una URL.

database_new: URL de la base de datos de origen al comparar bases de datos.

database_attrs: Suma de comprobación

database_add_metadata: agregue información adicional como comentarios, como creación de tiempo de base de datos, etc.

verboso: aquí puede ingresar un valor entre 0 y 255 para definir el nivel de verbosidad.

report_url: URL que define la ubicación de salida.

report_quiet: omite la salida si no se encontraron diferencias.

gzip_dbout: aquí puede definir si la base de datos debe comprimirse (depende de zlib).

warn_dead_symlinks: definir si los enlaces simbólicos muertos deben notificarse o no.

agrupado: archivos de grupo que supuestamente sufrieron cambios.

Más instrucciones sobre las opciones del archivo de configuración están disponibles en https: // linux.morir.net / hombre / 5 / ayudante.conf.

Espero que haya encontrado útil este artículo sobre Instalación y configuración de Debian Linux Instalar el entorno avanzado de detección de intrusiones. Siga siguiendo LinuxHint para obtener más consejos y actualizaciones sobre Linux y redes.

Ratón Controle y administre el movimiento del mouse entre múltiples monitores en Windows 10
Controle y administre el movimiento del mouse entre múltiples monitores en Windows 10
Administrador de mouse de doble pantalla le permite controlar y configurar el movimiento del mouse entre varios monitores, al ralentizar sus movimient...
Ratón WinMouse le permite personalizar y mejorar el movimiento del puntero del mouse en una PC con Windows
WinMouse le permite personalizar y mejorar el movimiento del puntero del mouse en una PC con Windows
Si desea mejorar las funciones predeterminadas del puntero del mouse, use el software gratuito WinMouse. Agrega más funciones para ayudarlo a aprovech...
Ratón El botón de clic izquierdo del mouse no funciona en Windows 10
El botón de clic izquierdo del mouse no funciona en Windows 10
Si está utilizando un mouse dedicado con su computadora portátil o computadora de escritorio, pero el el botón izquierdo del mouse no funciona en Wind...