Debian Linux 설치 – 고급 침입 탐지 환경

Debian Linux 설치 – 고급 침입 탐지 환경

2022-06-03 last update

5 minutes reading Debian
고급 침입 탐지 환경(AIDE)은 시스템 내 이상을 감지하는 또 다른 방법입니다.AIDE는 더 널리 알려진 침입 탐지 시스템과 혼동할 수 없습니다. 예를 들어 OSSEC 또는 Snort 이런 시스템은 공격이나 안전 사건을 탐지하기 위해 유량을 분석하여 이상 데이터 패키지를 찾습니다.
이러한 침입 탐지 시스템(일반적으로 IDS)과 반대로 고급 침입 탐지 환경(AIDE)은 시스템 파일 정보와 속성을 최초로 생성된 데이터베이스와 비교하여 파일의 완전성을 검사합니다.
우선, 건강 시스템의 데이터베이스를 만든 다음에 알고리즘sha1, rmd160,tiger,crc32,sha256,SH512,whirlpool과gost,haval,cr32b의 선택적 통합을 사용하여 완전성을 비교한다.물론 AIDE는 원격 모니터링을 지원합니다.
파일 정보와 함께 AIDE는 파일 형식, 권한, GID, UID, 크기, 링크 이름, 블록 수, 링크 수, mtime, ctime와atime, XAttrsSELinux, Posix ACL과 Extended가 생성한 속성과 같은 파일 속성을 검사합니다.AIDE를 사용하여 모니터링 작업에서 제외 또는 포함할 파일 및 디렉토리를 지정할 수 있습니다.
설치 및 구성: Debian에 고급 침입 탐지 환경 설치

Debian 및 파생 Linux 릴리스에 AIDE를 설치하려면 다음을 실행하십시오.


# apt install aide-common -y

AIDE를 설치한 후 실행하는 첫 번째 단계는 건강한 시스템에 데이터베이스를 만들어서 스냅샷과 비교하여 파일의 완전성을 검증하는 것이다.
초기 데이터베이스를 구축하려면 다음을 실행하십시오.
# sudo aideinit

참고: 이전 데이터베이스 조수가 덮어쓸 경우 (이전 확인 요청) 계속하기 전에 검증하는 것을 권장합니다.
이 프로세스는 다음 출력이 표시될 때까지 오래 지속될 수 있습니다

보시다시피 데이터베이스는/var/lib/aide/aide에서 생성되었습니다.데이터베이스새로 만듭니다. 디렉터리/var/lib/aide/에서 aide라는 파일을 볼 수 있습니다.데이터베이스:

# aide.wrapper -c /etc/aide/aide.conf --check

출력이 0이면 AIDE에 문제가 없습니다.플래그 - 체크가 적용된 경우 다음과 같은 출력이 가능합니다.
1 = 시스템에서 새 파일을 찾습니다.
2 = 시스템에서 파일이 제거되었습니다.
4 = 시스템의 파일이 변경됩니다.
14 = 오류 쓰기 오류.
15 = 잘못된 매개변수 오류.
16 = 구현되지 않은 함수 오류.
17 = 잘못된 configureline 오류입니다.
18 = 입력/출력 오류.
19 = 버전 불일치 오류.

AIDE 옵션 및 매개변수는 다음과 같습니다.


- init 또는 -i: 이 옵션은 데이터베이스를 초기화합니다. 이것은 모든 검사 전의 강제 실행입니다. 데이터베이스가 먼저 초기화되지 않으면 검사가 작동하지 않습니다.
– check 또는 -C: 이 옵션을 적용하면 AIDE는 시스템 파일을 데이터베이스 정보와 비교합니다.이것은 옵션이 없는 상태에서 AIDE를 실행할 때 적용되는 기본 옵션입니다.
- 업데이트 또는 -u: 이 옵션은 데이터베이스를 업데이트하는 데 사용됩니다.
- 비교: 이 옵션은 서로 다른 데이터베이스를 비교하는 데 사용되며, 데이터베이스는 반드시 사전에 프로필에 정의되어야 합니다.
– config check 또는 -D: 이 옵션은 프로필의 오류를 찾는 데 도움이 됩니다. 이 명령을 추가하면 AIDE는 파일 검사 과정을 계속하지 않고 프로필만 읽습니다.
- config 또는 - c = 이 매개 변수는aide 이외의 다른 프로필을 지정하는 데 사용할 수 있습니다.형태
- before 또는 - B = 구성 파일을 읽기 전에 구성 매개변수를 추가합니다.
- after 또는 -A = 구성 파일을 읽고 구성 매개 변수를 추가합니다.
– verbose 또는 - V = 이 명령을 사용하면 0에서 255 사이의 세부 단계를 지정할 수 있습니다.
– report 또는 -r= 이 옵션을 사용하면 AIDE의 결과 보고서를 다른 목적지로 보낼 수 있습니다. 이 옵션을 반복하면 AIDE가 다른 목적지로 보고서를 보낼 수 있습니다.
이러한 추가 AIDE 명령 및 옵션에 대한 자세한 내용은 매뉴얼 페이지에서 확인할 수 있습니다.

AIDE 구성 파일:


AIDE 구성은/etc/AIDE의 구성 파일에서 수행됩니다.conf, 여기서 당신은 조수의 행동을 정의할 수 있습니다. 다음은 가장 유행하는 옵션들을 소개합니다.

추가 기능에서 구성 파일의 행은 다음과 같습니다.
데이터베이스\u out: 새로운db 위치를 지정할 수 있습니다.명령을 시작할 때 여러 개의 대상을 정의할 수 있지만, 이 설정 파일에는 URL만 설정할 수 있습니다.
데이터베이스\u new: 데이터베이스를 비교할 때의 원본 데이터베이스 URL입니다.
database\uattrs: 검증 및
데이터베이스\uadd\umetadata: 데이터베이스 생성 시간 등 추가 정보를 추가합니다.
세부 정보: 세부 수준을 정의하려면 0과 255 사이의 값을 입력할 수 있습니다.
report\u url: 출력 위치를 정의하는 url입니다.
report\u quiet: 차이가 발견되지 않으면 출력을 건너뜁니다.
gzip\udbout: 데이터베이스를 압축해야 하는지 (zlib에 따라 다름) 정의할 수 있습니다.
warn_dead\u 기호 링크: 죽은 기호 링크를 보고해야 하는지 여부를 정의합니다.
그룹화: 보고서가 변경된 파일을 그룹화합니다.
프로필 옵션에 대한 자세한 내용은 https://linux.die.net/man/5/aide.conf 를 참조하십시오.
이 글은 Debian Linux 설치 고급 침입 탐지 환경을 설치하고 설정하는 데 유용합니다.계속해서 저희 사이트를 주목하고 Linux와 인터넷에 대한 힌트와 업데이트를 더 많이 알아보세요.