AIDE (Advanced Intrusion Detection Environment) é um sistema de detecção de intrusão baseado em host que monitora com eficiência arquivos, diretórios e arquivos de configuração em busca de quaisquer modificações ou alterações suspeitas. Com o AIDE, os administradores de sistema podem proteger dados confidenciais e garantir a integridade de arquivos e diretórios críticos do sistema.
Este tutorial irá guiá-lo através do processo de instalação e configuração do AIDE no RHEL/CentOS 7 ou 8. Abordaremos as etapas necessárias para inicializar o banco de dados, criar um arquivo de configuração e realizar uma verificação básica do sistema.
Etapa 1:Instalar o AIDE
1. Atualize os pacotes do sistema:
```
atualização sudo yum
```
2. Instale o pacote AIDE:
```
sudo yum assistente de instalação
```
Etapa 2:inicializar o banco de dados AIDE
1. Crie a conta de usuário AIDE:
```
sudo adduser assessor
```
Esta etapa é crucial para garantir a propriedade adequada dos arquivos e diretórios AIDE.
2. Inicialize o banco de dados AIDE, que é essencialmente um registro de todos os arquivos do seu sistema:
```
sudo /usr/sbin/aide --init
```
Insira uma senha para proteger o banco de dados AIDE. Lembre-se desta senha, pois você precisará dela mais tarde.
3. Defina propriedade e permissões:
```
sudo chown assessor:aide /var/lib/aide/aide.db
```
Este comando define a propriedade do banco de dados para o usuário 'assessor' e garante as permissões adequadas.
Etapa 3:configurar o AIDE
1. Como usuário 'aide', crie um arquivo chamado 'aide.conf' no diretório '/etc/aide':
```
sudo -i -u assessor
cd /etc/assessor
toque em assessor.conf
```
2. Abra o arquivo ‘aide.conf’ em um editor de texto:
```
vim assessor.conf
```
3. Adicione a seguinte configuração básica:
```
#Configuração relacionada ao correio
notificar_por e-mail
notificar_e-mail destinatá
[email protected] sendmail_command /usr/sbin/sendmail -t
#Configuração relacionada ao banco de dados
banco de dados =/var/lib/aide/aide.db
database_user =assessor
# Arquivos e diretório para monitorar
/etc
/var/log/auditoria
```
Nesta configuração, estamos definindo as configurações de notificação por email e especificando os arquivos e diretórios a serem monitorados. Você pode personalizar esta seção com base em seus requisitos específicos.
Etapa 4:Execute uma atualização e verificação do banco de dados
1. Execute os seguintes comandos para atualizar o banco de dados e verificar sua integridade:
```
sudo /usr/sbin/aide -u
```
Este comando atualiza o banco de dados AIDE, comparando os status atuais dos arquivos com aqueles armazenados no banco de dados e anotando quaisquer alterações.
2. Verifique se há discrepâncias ou modificações:
```
sudo /usr/sbin/aide -c /etc/aide/aide.conf
```
Etapa 5:Agendar verificações do AIDE
Para realizar verificações regulares, considere adicionar a seguinte entrada de tarefa cron:
```
$ crontab-e
```
Anexe esta entrada:
```
0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1
```
Isso executará o AIDE diariamente à meia-noite e registrará quaisquer discrepâncias no arquivo '/var/log/aide/aide.log'. Você pode ajustar esta programação de acordo com suas necessidades.
Seguindo essas etapas, você instalou e configurou com êxito o AIDE em seu sistema RHEL/CentOS 7/8. AIDE agora monitorará continuamente a integridade de arquivos e diretórios críticos, garantindo a detecção imediata de quaisquer modificações não autorizadas.