Cómo instalar el sistema de detección de intrusiones AIDE en CentOS 7

            
                                                                             
            
            

 centoshero.jpg

                                            Imagen: CentOS
                                        

El hecho de que Linux sea una plataforma increíblemente segura, no significa que no necesite tomar medidas adicionales para bloquearlo aún más. Con cada distribución, hay diferentes maneras de fortalecer el sistema operativo. No importa qué sabor use para sus servidores, un sistema de detección de intrusos debe considerarse como un deber.

    
        

Un sistema de detección de intrusiones que funciona bien en CentOS 7 es el Entorno de detección de intrusiones avanzado, también conocido como AIDE . AIDE funciona tomando una instantánea del host, los tiempos de modificación, todos los hashes de registro y otros datos importantes relacionados con el archivo. A partir de esta instantánea, se crea una base de datos que verifica y verifica la integridad del archivo. Con AIDE vigilando su sistema CentOS 7, se le mantendrá informado de cualquier cambio malicioso dentro del servidor.

VER: Asegurando la política de Linux (Tech Pro Research)

Pongamos A AIDE instalado y funcionando.

Lo que necesita

Lo único que necesitará para esto es un servidor CentOS 7 en funcionamiento y una cuenta con privilegios de sudo.

Instalación

AIDE se puede instalar desde los repositorios estándar. Antes de instalar, asegúrese de que CentOS 7 esté actualizado. Recuerda, el proceso de actualización puede incluir el kernel. Si eso sucediera, se requerirá un reinicio, por lo que es mejor ejecutar la actualización en un momento en que sea posible reiniciar.

Abra una ventana de terminal y ejecute el comando:

 sudo yum update 

Cuando se le solicite, acepte la actualización escribiendo y. Cuando se complete la actualización, reinicie (si es necesario). Ahora puede instalar AIDE con el comando:

 sudo yum install aide 

Una vez que se complete la instalación, debe generar una base de datos para AIDE con el comando:

 sudo aide --init 

Una vez que se haya creado la base de datos, recibirá un mensaje de confirmación de su bash ( Figura A ).

Figura A

 Figura A {1945909090} }

La base de datos AIDE se ha inicializado.

Se debe cambiar el nombre de la base de datos recién creada. Para hacer eso, ejecute el comando:

 sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz{19459018{{19459006conelbasededatosrenombradaverifiquequeAIDEpuedaverlaconelcomando:

 sudo aide --check 

La base de datos debe revisar en este punto ( Figura B {19459014)

Figura B

 Figura B n.

Todo está bien con nuestra base de datos.

Agreguemos un crontab para ejecutar un cheque cada medianoche. Haz esto con los comandos:

 su
echo "0 0 * * * root / usr / sbin / aide --check" >> / etc / crontab 

Una vez que configure el trabajo cron, salga del usuario root con el comando exit .

Probando AIDE

Vamos a crear un archivo y ver si AIDE lo detecta. Ejecute el comando:

 sudo touch / usr / bin / testing 

Ejecute la prueba AIDE nuevamente con el comando:

 sudo aide --check 

AIDE informará sobre el archivo recién creado ( Figura C ).

Figura C

 Figura C {19459004{

Después de revisar el informe, asegúrese de actualizar la base de datos AIDE (para que no continúe informando el mismo archivo recién creado) con el comando:

 sudo aide --update 

Visualización de la salida del trabajo cron

Ya que configuramos AIDE como un trabajo cron estándar, debe verificar manualmente el archivo de registro AIDE. Para hacer eso, debe suu al usuario root y emitir el comando:

 menos /var/log/aide/aide.log

. Luego puede peinar ese archivo de registro para ver si Ha ocurrido algo inesperado con su servidor CentOS 7. Si desea ser creativo, incluso podría escribir una secuencia de comandos bash que ejecute una verificación AIDE y luego le envíe la salida por correo, y luego configurar esa secuencia de comandos para que se ejecute como el trabajo cron (en lugar del asistente regular - comando de verificación).

Una cosa para recordar, si ve que AIDE informa algo que no es malicioso (como la instalación de una pieza de software necesaria o un cambio de configuración que realizó), asegúrese de ejecutar el comando de actualización nuevamente. por lo que no seguirá informando sobre ese mismo problema.

Y eso es lo esencial para que el Entorno de detección de intrusiones avanzado esté en funcionamiento. Su servidor CentOS 7 le agradecerá la seguridad adicional.

Véase también


Source link

About rasco

Be Happy the future is friendly.

Leave a Reply

Allrights Reserved 2007-2018 - Beone Magazine - powered by rasco