Установка и настройка AIDE в ubuntu

Linux > Установка и настройка AIDE в ubuntu
05.02.2015 12:34:10



Статья:

Устанавливаем:

sudo apt-get install aide

Настраиваем: Файлы настройки располагаются в директории:

/etc/aide/

В файле /etc/aide/aide.conf должно быть указано:

# База данных (текущая)
database=file:/var/lib/aide/aide.db
# База данных создаваемая при новой проверке
database_out=file:/var/lib/aide/aide.db.new
# База данных используемая для команды --compare
database_new=file:/var/lib/aide/aide.db.new
# Использовать сжатие (zlib)
gzip_dbout=yes

В этом же файле указываем цели и критерии проверки, напрмер:

# В папке /bin проверять права доступа, владельца, группу, размер, время последней модификации, время изменения прав, контрольную сумму md5
Binlib = p+u+g+s+m+c+md5
/bin Binlib

По аналогии прописываете для нужных Вам директорий

Возможные виды проверок:
Ключ Описание
p права доступа
i inodes
n количество ссылок
u владелец
g группа
s размер
S проверка увеличение размера
b число блоков
m mtime - время последней модификации
a atime - время последнего доступа
c ctime - время изменения дескриптора файла (например изменение прав и т.п.)
md5 контрольная сумма MD5
sha1 контрольная сумма SHA1
rmd160 контрольная сумма RMD160
tiger контрольная сумма Tiger
R p+i+n+u+g+s+m+c+md5
L p+i+n+u+g
E Empty - пусто
> растущий лог-файл p+u+g+i+n+S 

= Сканировать каталог НЕ рекурсивно (сам каталог), например,
=/boot ! НЕ сканировать файл или каталог, например,
!/var/log/apache


Также существует директория /etc/aide/aide.conf.d/. Если загляните туда, то увидите довольно много файлов, посмотрите и оставьте то, что Вам нужно
Для добавления своих настроек создайте файл, например,

sudo touch /etc/aide/aide.conf.d/my_cfg

И добавляем в этот файл следующее содержимое:

Binlib = p+u+g+s+m+c+md5
/bin Binlib

Теперь можно начать использовать aide. Для начала создадим новую БД:

sudo aide -c /etc/aide/aide.conf -i

Производим изменения в директории /bin, например,

sudo touch /bin/test_aide

Теперь проверяем текущее состояние со старым:

sudo aide -c /etc/aide/aide.conf -u

Получаем:

AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2014-06-03 15:42:33

Summary:
  Total number of files:        2276
  Added files:                  1
  Removed files:                0
  Changed files:                1


---------------------------------------------------
Added files:
---------------------------------------------------

f++++++++++++++++: /bin/test_aide

---------------------------------------------------
Changed files:
---------------------------------------------------

d = ... mc       : /bin

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------


Directory: /bin
 Mtime    : 2014-06-03 15:42:02              , 2014-06-03 15:42:31
 Ctime    : 2014-06-03 15:42:02              , 2014-06-03 15:42:31

При выполнении команды "sudo aide -c /etc/aide/aide.conf -u" создается новая БД /var/lib/aide.db.new, для того, что бы она теперь стала актуальной БД выполняем:

sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Для того, чтобы проверки не производить в ручную в Ubuntu автоматически создаётся файл /etc/cron.daily/aide

Раз в день будет происходить проверка системы и отправляться отчёт, по умолчанию отчёт отправляется на root, для того, чтобы отчёт отправлялся на Вашу почту в файле /etc/default/aide изменяем параметр

MAILTO=root

на

MAILTO=my_email@email.my

а также параметр

COPYNEWDB=no

на

COPYNEWDB=yes