วิธีตรวจสอบความสมบูรณ์ด้วย AIDE ใน Fedora
AIDE (Advanced Intrusion Detection Environment) เป็นโปรแกรมสำหรับตรวจสอบความสมบูรณ์ของไฟล์และไดเร็กทอรีบนระบบที่มีลักษณะคล้าย Unix สมัยใหม่ โดยจะสร้างฐานข้อมูลของไฟล์บนระบบ จากนั้นใช้ฐานข้อมูลนั้นเป็นเกณฑ์มาตรฐานเพื่อให้แน่ใจว่าไฟล์มีความสมบูรณ์และตรวจจับการบุกรุกของระบบ
ในบทความนี้ เราจะแสดงวิธีการติดตั้งและใช้ AIDE เพื่อตรวจสอบความสมบูรณ์ของไฟล์และไดเร็กทอรีในการแจกจ่าย Fedora
วิธีการติดตั้ง AIDE ใน Fedora
1. ยูทิลิตี AIDE จะรวมอยู่ใน Fedora Linux ตามค่าเริ่มต้น ดังนั้น คุณสามารถใช้ตัวจัดการแพ็คเกจ dnf เริ่มต้นเพื่อติดตั้งดังที่แสดง
sudo dnf install aide
2. หลังจากการติดตั้งเสร็จสมบูรณ์ คุณจะต้องสร้างฐานข้อมูล AIDE เริ่มต้น ซึ่งเป็นภาพรวมของระบบในสถานะปกติ ฐานข้อมูลนี้จะทำหน้าที่เป็นเกณฑ์มาตรฐานในการวัดการอัพเดตและการเปลี่ยนแปลงที่ตามมาทั้งหมด
โปรดทราบว่าการสร้างฐานข้อมูลบนระบบใหม่เป็นสิ่งสำคัญก่อนที่จะนำเข้าสู่เครือข่าย และประการที่สอง การกำหนดค่าผู้ช่วยเริ่มต้นทำให้สามารถตรวจสอบชุดไดเร็กทอรีและไฟล์ที่กำหนดไว้ในไฟล์ /etc/aide.conf คุณต้องแก้ไขไฟล์นี้ตามนั้นเพื่อกำหนดค่าไฟล์และไดเร็กทอรีเพิ่มเติมเพื่อให้ผู้ช่วยดูได้
รันคำสั่งต่อไปนี้เพื่อสร้างฐานข้อมูลเริ่มต้น:
sudo aide --init
3. หากต้องการเริ่มใช้ฐานข้อมูล ให้ลบสตริงย่อย .new
ออกจากชื่อไฟล์ฐานข้อมูลเริ่มต้น
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
4. เพื่อปกป้องฐานข้อมูล AIDE เพิ่มเติม คุณสามารถเปลี่ยนตำแหน่งเริ่มต้นได้โดยการแก้ไขไฟล์การกำหนดค่าและแก้ไขค่า DBDIR และชี้ไปที่ ตำแหน่งใหม่ของฐานข้อมูล
@@define DBDIR /path/to/secret/db/location
เพื่อความปลอดภัยเพิ่มเติม ให้จัดเก็บไฟล์การกำหนดค่าฐานข้อมูลและไฟล์ไบนารี /usr/sbin/aide ไว้ในตำแหน่งที่ปลอดภัย เช่น สื่อแบบอ่านอย่างเดียว ที่สำคัญคุณสามารถเพิ่มความปลอดภัยได้ด้วยการลงนามในการกำหนดค่าและ/หรือฐานข้อมูล
ทำการตรวจสอบความสมบูรณ์ใน Fedora
5. หากต้องการสแกนระบบ Fedora ด้วยตนเอง ให้รันคำสั่งต่อไปนี้
sudo aide --check
ผลลัพธ์ของคำสั่งข้างต้นแสดงความแตกต่างระหว่างฐานข้อมูลและสถานะปัจจุบันของระบบไฟล์ โดยจะแสดงสรุปรายการและข้อมูลโดยละเอียดเกี่ยวกับรายการที่เปลี่ยนแปลง
6. เพื่อการใช้งานที่มีประสิทธิภาพ คุณควรกำหนดค่า AIDE ให้ทำงานเป็นงาน cron เพื่อดำเนินการสแกนตามกำหนดเวลา รายสัปดาห์ (ขั้นต่ำ) หรือรายวัน (สูงสุด) .
ตัวอย่างเช่น หากต้องการกำหนดเวลาการสแกนตอนเที่ยงคืนทุกวัน ให้เพิ่มรายการ cron ต่อไปนี้ในไฟล์ /etc/crontab
00 00 * * * root /usr/sbin/aide --check
การอัพเดตฐานข้อมูล AIDE
7. หลังจากยืนยันการเปลี่ยนแปลงระบบของคุณ เช่น การอัปเดตแพ็คเกจหรือการแก้ไขไฟล์การกำหนดค่า ให้อัปเดตฐานข้อมูล AIDE พื้นฐานของคุณด้วยคำสั่งต่อไปนี้
sudo aide --update
คำสั่ง aide --update
จะสร้างไฟล์ฐานข้อมูลใหม่ /var/lib/aide/aide.db.new.gz หากต้องการเริ่มใช้สำหรับการสแกนในอนาคต คุณต้องเปลี่ยนชื่อตามที่แสดงไว้ก่อนหน้า (ลบสตริงย่อย .new ออกจากชื่อไฟล์)
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ AIDE คุณสามารถตรวจสอบหน้าคู่มือได้
man aide
สำหรับลีนุกซ์รุ่นอื่นๆ คุณสามารถดู: วิธีตรวจสอบความสมบูรณ์ของไฟล์และไดเร็กทอรีโดยใช้ “AIDE ” ใน Linux
AIDE เป็นโปรแกรมอรรถประโยชน์ที่มีประสิทธิภาพสำหรับการตรวจสอบความสมบูรณ์ของไฟล์และไดเรกทอรีบนระบบปฏิบัติการที่คล้ายกับ Unix เช่น Linux ในบทความนี้ เราได้แสดงวิธีการติดตั้งและใช้ AIDE ใน Fedora Linux คุณมีคำถามหรือความคิดเห็นเกี่ยวกับ AIDE หรือไม่ หากใช่ โปรดใช้แบบฟอร์มคำติชมเพื่อติดต่อเรา