База знаний
Войти

Установка и создание базы данных

Установите пакеты AIDE из репозиториев в Систему с помощью команды:

sudo dnf install aide

Далее необходимо создает базу данных AIDE, которая будет хранить контрольные суммы, права доступа и другие атрибуты файлов и директорий. Сравнивая текущие данные с ранее созданной базой, администратор может легко обнаружить любые отклонения, что позволяет оперативно реагировать на подозрительные изменения.

База данных в AIDE создается с помощью команды:

sudo aideinit

В ходе создания БД будет запрошен пароль от GPG-ключа, которым будет подписываться база AIDE для контроля ее целостности. Затем будет выполнено первичное заполнение базы /var/lib/aide/aide.db, т.е. зафиксировано заведомо корректное состояние Системы. Проверка целостности ОС и обновление базы данных.

Также необходимо своевременно проводить обновление базы данных AIDE после внесения легитимных изменений в Систему (например, при установке обновлений), чтобы актуализировать её состояние. Для этого выполните команду:

sudo aide --update

Затем замените старую базу на новую:

mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

Настройка конфигурационного файла

Для проведения более корректных проверок AIDE необходимо правильно настроить его конфигурационный файл, который находится по пути /etc/aide.conf. Этот файл определяет, какие файлы и каталоги будут проверяться, какие атрибуты файлов отслеживаются, а также исключения из проверки. Вот основные шаги по настройке конфигурации AIDE:

Чтобы изменить настройки AIDE, откройте конфигурационный файл в текстовом редакторе:

sudo nano /etc/aide.conf

Далее задавайте необходимые атрибуты для проверки в тексте файла.

Для проверки всех атрибутов файла можно использовать следующую запись:

/etc p+i+n+u+g+s+m+c+md5

Для мониторинга только изменения прав доступа и содержания файлов:

/var/log p+c+md5

Проверка только атрибутов и прав доступа

NORMAL = p+i+n+u+g+s+m+S+sha256

Проверка всех атрибутов, включая контрольные суммы:

EXTENDED = p+i+n+u+g+s+m+S+sha256+md5+rmd160

где параметры:

  • p - права доступа;
  • i - inode номер;
  • n - количество ссылок;
  • u - идентификатор пользователя (UID);
  • g - идентификатор группы (GID);
  • s - размер файла;
  • m - время последней модификации;
  • S - время последнего изменения статуса файла;
  • sha256, md5 - контрольные суммы файлов.

В отдельном разделе конфигурации также указываются файлы и каталоги, которые будут отслеживаться на предмет изменений. Пример конфигурации:

Проверка корневой файловой системы с полными атрибутами, определёнными в строчке NORMAL:

/    NORMAL

Проверка каталога /etc с расширенными атрибутами, определенными в строчке EXTENDED:

/etc EXTENDED

Чтобы избежать проверки определённых системных файлов или временных данных, вы можете добавлять исключения с помощью символа "!" перед каталогом или файлом.

!/tmp
!/var/tmp

После внесения всех необходимых изменений, сохраните файл и закройте редактор.

После настройки конфигурации вы можете протестировать её работу, запустив создание новой базы данных AIDE:

sudo aideinit

После этого AIDE создаст базу данных, которую можно будет использовать для последующих проверок.

Пример содержимого конфигурационного файла AIDE:

database=file:/var/lib/aide/aide.db
database_out=file:/var/lib/aide/aide.db.new
NORMAL = p+i+n+u+g+s+m+S+sha256
/etc    EXTENDED
/bin    NORMAL
/sbin   NORMAL
!/proc
!/sys
!/var/tmp
!/var/cache

Этот пример включает основные правила для мониторинга критически важных директорий Системы и исключает временные и кешированные файлы.