|
AIDE (Advanced Intrusion Detection Environment) est un système de détection d'intrusion basé sur l'hôte qui surveille efficacement les fichiers, répertoires et fichiers de configuration pour détecter toute modification ou changement suspect. Avec AIDE, les administrateurs système peuvent protéger les données sensibles et garantir l'intégrité des fichiers et répertoires système critiques.
Ce didacticiel vous guidera tout au long du processus d'installation et de configuration d'AIDE sur RHEL/CentOS 7 ou 8. Nous aborderons les étapes nécessaires pour initialiser la base de données, créer un fichier de configuration et effectuer une analyse de base du système.
Étape 1 :Installer AIDE
1. Mettez à jour les packages système :
```
sudo miam mise à jour
```
2. Installez le package AIDE :
```
sudo miam aide à l'installation
```
Étape 2 :Initialiser la base de données AIDE
1. Créez le compte utilisateur AIDE :
```
sudo addaide à l'utilisateur
```
Cette étape est cruciale pour garantir la bonne propriété des fichiers et répertoires AIDE.
2. Initialisez la base de données AIDE, qui est essentiellement un enregistrement de tous les fichiers de votre système :
```
sudo /usr/sbin/aide --init
```
Entrez une phrase secrète pour sécuriser la base de données AIDE. N'oubliez pas cette phrase secrète, car vous en aurez besoin plus tard.
3. Définissez la propriété et les autorisations :
```
sudo chown aide:aide /var/lib/aide/aide.db
```
Cette commande définit la propriété de la base de données sur l'utilisateur « aide » et garantit les autorisations appropriées.
Étape 3 :Configurer AIDE
1. En tant qu'utilisateur 'aide', créez un fichier nommé 'aide.conf' dans le répertoire '/etc/aide' :
```
sudo -i -u aide
cd /etc/aide
toucher aide.conf
```
2. Ouvrez le fichier 'aide.conf' dans un éditeur de texte :
```
vim aide.conf
```
3. Ajoutez la configuration de base suivante :
```
# Configuration liée au courrier
notify_by mail
notify_email destinataire@exemple.com
commande_sendmail /usr/sbin/sendmail -t
# Configuration liée à la base de données
base de données =/var/lib/aide/aide.db
user_base de données =aide
# Fichiers et répertoires à surveiller
/etc
/var/log/audit
```
Dans cette configuration, nous définissons les paramètres de notification par courrier électronique et spécifions les fichiers et répertoires à surveiller. Vous pouvez personnaliser cette section en fonction de vos besoins spécifiques.
Étape 4 :Effectuer une mise à jour et une vérification de la base de données
1. Exécutez les commandes suivantes pour mettre à jour la base de données et vérifier son intégrité :
```
sudo /usr/sbin/aide -u
```
Cette commande met à jour la base de données AIDE, en comparant les statuts actuels des fichiers avec ceux stockés dans la base de données et en notant toute modification.
2. Vérifiez toute divergence ou modification :
```
sudo /usr/sbin/aide -c /etc/aide/aide.conf
```
Étape 5 :Planifier des analyses AIDE
Pour effectuer des analyses régulières, pensez à ajouter l'entrée de tâche cron suivante :
```
$ crontab -e
```
Ajoutez cette entrée :
```
0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1
```
Cela exécutera AIDE quotidiennement à minuit et enregistrera toutes les divergences dans le fichier '/var/log/aide/aide.log'. Vous pouvez ajuster cet horaire en fonction de vos besoins.
En suivant ces étapes, vous avez installé et configuré avec succès AIDE sur votre système RHEL/CentOS 7/8. AIDE surveillera désormais en permanence l'intégrité des fichiers et répertoires critiques, garantissant une détection rapide de toute modification non autorisée.
|
