Nadam se da ce biti bar zanimljnivo za citati ;-]
*********************************************************
* Advanced Intrusion Detection Environment *
* Sasa U. *
* [email protected] *
*********************************************************
1.Uvod
2.Instalacija
3.Konfiguracija
4.Upotreba
5.Switchevi
6.Kraj
-----------------------------------------------------------------
1.Uvod
Sta je AIDE ?
Aide je (za one koji neznaju) file integrity checker.
Znaci aide provjerava fajlove,direktorije koji su mu definisani u konf fajlu i ako je neki
fajl imjenjen koji je definisan u njemu,onda on daje report.
Procitati dole za vise informacija !
Aide mozete preuzeti sa http://www.cs.tut.fi/~rammer/aide.html
Mogucnosti aide-a:
* Vise algoritama za provjeravanje
* Mogucnost ispisivanja baze na stdout/file
* Lagana konfiguracija kroz mocan konfiguracioni fajl
* Kompresovana baza(zlib podrska)
Aide za sad treba sledece pakete:
* C kompajler (gcc)
* GNU flex
* GNU yacc
* GNU make
* Libgcrypt (ftp://ftp.gnupg.org/gcrypt/alpha/libgcrypt)
2.Instalacija
tar zxfv aide-$VER.tar.gz -- $VER=verzija aide paketa.
cd aide-$VER
./configure (prvo preporucujem ./configure --help)
make
make install
3.Konfiguracija
Postoje 3 tipa linija u aide.conf fajlu:
* Konfiguracione linije - Za namjestanje konfiguracionih parametara i definisanje variabli
* Linije za selekciju - Odaberite koji sve fajlovi ce biti dodani u bazu
* Makro linije - Za definisanje variabli u konfig fajlu
Primjer glavnog djela aide.conf fajla:
# Sta sve da provjeravamo -- default pravila
#
#p: permissions
#i: inode
#n: number of links
#u: user
#g: group
#s: size
#b: block count
#m: mtime
#a: atime
#c: ctime
#S: check for growing size
#md5: md5 checksum
#sha1: sha1 checksum
#rmd160: rmd160 checksum
#tiger: tiger checksum
#R: p+i+n+u+g+s+m+c+md5
#L: p+i+n+u+g
#E: Empty group
#>: Growing logfile p+u+g+i+n+S
# Takodje mozete vi praviti svoja pravila
#
MojePravilo = p+i+n+u+g+s+b+m+c+md5+sha1
/etc p+i+u+g # Provjeri samo prava,inode,vlasnika i grupu za /etc dir
/bin MojePravilo # Upotrebi MojePravilo za /bin dir - pravilo koje ste vi napravili -- pogledajte gore
/sbin MojePravilo # Kao gore,samo za /sbin dir
/var MojePravilo
!/var/log/.* # Ignorisi /var/log
!/var/spool/.* # Takodje ignorisi /var/spool dir
!/var/sool/utmp$ # Ignorisi /var/spool/utmp
Ako hocete samo odredjeni fajl da ignorisete,ili chekirate,onda bi trebali da stavite $ jer kad biste stavili
samo /var/log/utmp onda bi se ignorisalo sve sto pocinje sa /var/log/utmp*
4.Upotreba
Prije svega morate napraviti bazu.Ovo bi trebalo uraditi odmah poslije instalacije sistema i programa.
Ovo mozete uraditi sa aide -c aide_conf_fajl --init (-c fajl oznacava manualno unosenje putanje do aide.conf fala).
Poslije ove komande,vas sistem ce smjestiti bazu u putanja/do/aide.db.new
Da aide radi kako treba,morate ovu bazu renamovati u aide.db
Provjeru sistema radite sa aide -c aide_conf_fajl --check (-c fajl oznacava manualno unosenje putanje do aide.conf).
Ako hocete updejt aide baze, uradite aide -c aide_conf_fajl -update;cp /putanja/do/aide.db.new /putanja/do/aide.db
Ovo ce da updejtuje promjenjene fajlove i da smjesti u aide.db.new
NOTE:Morate kopirati aide.db.new u aide.db jer ce aide i dalje javljati greske ako ukucate aide --check
5.Switchevi
Syntaxa:
aide <opcija> komanda
Komande:
-i
--init
Napravi bazu
-C
--check
Provjeri bazu
-u
--update
Provjeri i updejtuj bazu ne-interaktivno
-v
--version
Prikazi verziju
-h
--help
Prikazi ovaj help
Opcije:
-c konfig_fajl
--config=konfig_fajl
Uzmi konfig opcije iz datog fajla
-B "konfig_stvari"
--before="konfig_stvari"
Prije citanja konfig fajla upotrebi ove komande
-A "konfig_stvari"
--after="konfig_stvari"
Poslije citanja konfig fajla upotrebi ove komande
-r reporter
--report=reporter
Gdje da pise report
-Vnivo
--verbose=nivo
Nivo debug poruka
--config-check samo citaj konfig fajl
6.Kraj
Ovo bi bilo to u kratkim crtama.Znaci sve vazno sam izdvojio i napisao ovaj mini-howto za aide.
Nadam se da ce vam biti od pomoci.
Sasa U.
[email protected]
With a PC, I always felt limited
by the software available.
On Unix, I am limited only by my knowledge.
--Peter J. Schoenster
by the software available.
On Unix, I am limited only by my knowledge.
--Peter J. Schoenster