AIDE – инсталација host-based IDS-a на ЦентОС-у
AIDE (Advanced Intrusion Detection Environment) јесте један од најједноставнијих host-based IDS-ова (постоје и network based IDS-ови) чија је намена праћење осетљивих и системских фајлова, и препорука је да га поставите на продукциони сервер чим крене са озбиљном продукцијом и сигурни сте да неће бити честих инсталација/подешавања на самом серверу (или једноставно неке фајлове можете изигнорисати у AIDE конфигурационом фајлу: /etc/aide.conf).
Детаљније о AIDE на овом линку: http://aide.sourceforge.net/
# Инсталација потребних пакета yum install aide # Уколико желите да сем системских додате још неке фајлове # или фолдере чије би измене требало пратити урадите то у фајлу vim /etc/aide.conf # Иницијалн остартовање AIDE aide --init mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # Иницијална провера (не би требало да јави неке проблеме) aide --check # Ако желите проверити како ради AIDE промените неки системски фајл или фолдер, рецимо... touch /etc/nekibezvezetestnifajl.brisi aide --check
Ову проверу би било добро да поставите да се извршава на дневном нивоу путем crontab-a
# Инсталирајте mail клијент ако немате yum install mailx # Провера слања мејла (проверите спам фолдер) echo "OK" | mail -s "TEST mail" vasamailadresa@gmail.com # Поставите у crontab (извршава се два пута дневно) 00 12,00 * * * /root/IDScheck.sh # Садржај фајла /root/IDScheck.sh cat /root/IDScheck.sh #!/bin/sh NA_MAIL="vasamailadresa@gmail.com" mkdir -p /home/.AIDE_LOG ARHIVA="/home/.AIDE_LOG/AIDE_arhiva.log" # Provera /usr/sbin/aide --check > /tmp/tempAIDE.txt if [ `cat /tmp/tempAIDE.txt | grep "All files match AIDE database. Looks okay" | wc -l` -ne 1 ] ; then /bin/mail -s "AIDE - Ima potencijalnih problema, PROVERITI!!!" $NA_MAIL < /tmp/tempAIDE.txt echo "------------------ `date +%d.%m.%Y_%H%M%S` --------------------" >> $ARHIVA cat /tmp/tempAIDE.txt >> $ARHIVA aide --update > /dev/null 2>&1 # Azuriranje baze najnovijim promenama mv -f /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # Instalacija nove baze else echo "`date` - Nema promena" > /tmp/aidelogtemp.log fi exit 0