Configuração Debian Linux - Ambiente avançado de detecção de intrusões

Configuração Debian Linux - Ambiente avançado de detecção de intrusões
Ambiente avançado de detecção de intrusões (assessor) é outro método para detectar anomalias dentro do sistema. O assessor não deve ser confundido com sistemas de detecção de intrusões mais conhecidos, como OSSEC ou bufo, que para detectar ataques ou eventos de segurança analisam o tráfego que procura pacotes anômalos.

Ao contrário desses sistemas de detecção de intrusões (geralmente referidos como IDs), o ambiente avançado de detecção de intrusões (conhecido como assessor) verifica a integridade dos arquivos, comparando as informações e atributos dos arquivos do sistema com um banco de dados inicialmente criado.

Primeiro, ele cria o banco de dados do sistema saudável para comparar posteriormente a integridade usando algoritmos SHA1, RMD160, TIGER, CRC32, SHA256, SHA512, Whirlpool com integrações opcionais para Gost, Haval e Cr32b. Claro que o assessor suporta o monitoramento remoto.

Juntamente com os arquivos, as verificações de assistência para atributos de arquivos, como tipo de arquivo, permissões, GID, UID, tamanho, nome do link, contagem de blocos, número de links, mtime, ctime e atime e atributos gerados por xattrs, Selinux, Posix ACL e Extended. Com o assessor, é possível especificar arquivos e diretórios a serem excluídos ou incluídos nas tarefas de monitoramento.

Configurar e configurar: Instale o ambiente avançado de detecção de intrusões no Debian

Para começar instalando o assessor nas distribuições de Debian e Linux derivadas:

# Apt Install Aide -Common -y

Após a instalação do auxiliar, o primeiro passo a seguir é criar um banco de dados em seu sistema de saúde a ser contrastado com os instantâneos para verificar os arquivos integridade.

Para construir a execução inicial do banco de dados:

# Sudo Aideinit

Observação: Se você tiver um assessor anterior de banco de dados, substituí -lo (solicitação de confirmação prévia), é recomendável fazer uma verificação antes de proceder.

Este processo pode durar longos minutos até mostrar a saída que você pode ver abaixo

Como você pode ver, o banco de dados foi gerado em/var/lib/assessor/auxiliar.dB.novo, dentro do diretório /var/lib/auxiliar/ você também verá um arquivo chamado assessor.dB:

# assessor.wrapper -c/etc/assessor/auxiliar.Conf -Verifique

Se a saída for 0 assessor não encontrou problemas. Se a verificação da bandeira for aplicada, as saídas possíveis são:

1 = novos arquivos foram encontrados no sistema.
2 = Os arquivos foram removidos do sistema.
4 = arquivos no sistema sofreram alterações.
14 = erro de erro de gravação.
15 = erro de argumento inválido.
16 = erro de função não implementado.
17 = erro de configuração inválido.
18 = erro de E/S.
19 = erro de incompatibilidade de versão.

As opções e os parâmetros de assessores incluem:

-iniciar ou -eu: Esta opção inicializa o banco de dados, esta é uma execução obrigatória antes de qualquer cheque, as verificações não funcionarão se o banco de dados não foi inicializado primeiro.

-verificar ou -C: Quando aplicado esta opção, o auxiliar compara os arquivos do sistema com as informações do banco de dados. Esta é a opção padrão aplicada quando o assessor é executado sem opções.

-atualizar ou -você: Esta opção é usada para atualizar um banco de dados.

-comparar: Esta opção é usada para comparar diferentes bancos de dados, os bancos de dados devem ser definidos anteriormente no arquivo de configuração.

-Config-check ou -D: Esta opção é útil para encontrar erros no arquivo de configuração, adicionando este assessor de comando só lerá a configuração sem continuar o processo com a verificação de arquivos.

-Config ou -c = Este parâmetro é útil para especificar outro arquivo de configuração que o assessor.conf.

-antes ou -B = Adicionar parâmetros de configuração antes de ler o arquivo de configuração.

-depois ou -A = Adicionar parâmetros de configuração depois de ler o arquivo de configuração.

-detalhado ou -V = Com este comando, você pode especificar o nível de verbosidade que pode ser definido entre 0 e 255.

-relatório ou -r = Com esta opção, você pode enviar o relatório de resultados do assessor para outros destinos, você pode repetir esta opção que instrui o assessor para enviar relatórios para diferentes destinos.

Você pode obter informações adicionais sobre esses e mais comandos e opções de assessores na página do homem.

Arquivo de configuração de assessor:

A configuração do assessor é feita no arquivo de configuração localizado dentro /etc /auxiliar.Conf, a partir daí, você pode definir o comportamento do assessor, abaixo de algumas das opções mais populares explicadas:

As linhas no arquivo de configuração incluem, entre mais funcionalidades:

Database_out: Aqui você pode especificar o novo local do banco de dados. Enquanto você pode definir vários destinos ao lançar o comando, neste arquivo de configuração, você pode definir apenas um URL.

Database_new: URL do DB de origem ao comparar bancos de dados.

Database_attrs: Soma de verificação

Database_add_metadata: Adicione informações adicionais como comentários como a criação de tempo de banco de dados, etc.

Verbose: Aqui você pode inserir um valor entre 0 e 255 para definir o nível de verbosidade.

REMPORT_URL: Localização de saída definindo URL.

REMPORT_ECHIET: pula a saída se nenhuma diferença foi encontrada.

gzip_dbout: Aqui você pode definir se o banco de dados deve ser compactado (depende do Zlib).

warn_dead_symlinks: Defina se os symblinks mortos devem ser relatados ou não.

agrupado: Arquivos de grupo que supostamente sofreram mudanças.

Mais instruções sobre as opções de arquivo de configuração estão disponíveis em https: // linux.morrer.net/homem/5/assessor.conf.

Espero que você tenha encontrado este artigo sobre configuração e configuração do Debian Linux Instale o ambiente avançado de detecção de intrusões úteis. Continue seguindo o Linuxhint para obter mais dicas e atualizações no Linux e na rede.