[es] - Advanced Intrusion Detection Enviroment

BORG
Aleksandar (Sasa) U.
*NIX System/Network Administrator
BL-RS

Član broj: 200
Poruke: 916
*.blic.net

ICQ: 46124351
Sajt: bitches.kicks-ass.net

Profil

Advanced Intrusion Detection Enviroment - AIDE

^{12.06.2002. u 20:43 - pre 266 meseci}

Evo,napisao sam jedan howto mali....nije nesto,i ima nekih greskica,ali to sam napisao onako...za 20 minuta.

Nadam se da ce biti bar zanimljnivo za citati ;-]

*********************************************************
* Advanced Intrusion Detection Environment *
* Sasa U. *
* [email protected] *
*********************************************************

1.Uvod

2.Instalacija

3.Konfiguracija

4.Upotreba

5.Switchevi

6.Kraj

-----------------------------------------------------------------

1.Uvod

Sta je AIDE ?

Aide je (za one koji neznaju) file integrity checker.

Znaci aide provjerava fajlove,direktorije koji su mu definisani u konf fajlu i ako je neki
fajl imjenjen koji je definisan u njemu,onda on daje report.
Procitati dole za vise informacija !

Aide mozete preuzeti sa http://www.cs.tut.fi/~rammer/aide.html

Mogucnosti aide-a:

* Vise algoritama za provjeravanje
* Mogucnost ispisivanja baze na stdout/file
* Lagana konfiguracija kroz mocan konfiguracioni fajl
* Kompresovana baza(zlib podrska)

Aide za sad treba sledece pakete:

* C kompajler (gcc)
* GNU flex
* GNU yacc
* GNU make
* Libgcrypt (ftp://ftp.gnupg.org/gcrypt/alpha/libgcrypt)

2.Instalacija

tar zxfv aide-$VER.tar.gz -- $VER=verzija aide paketa.
cd aide-$VER
./configure (prvo preporucujem ./configure --help)
make
make install

3.Konfiguracija

Postoje 3 tipa linija u aide.conf fajlu:

* Konfiguracione linije - Za namjestanje konfiguracionih parametara i definisanje variabli
* Linije za selekciju - Odaberite koji sve fajlovi ce biti dodani u bazu
* Makro linije - Za definisanje variabli u konfig fajlu

Primjer glavnog djela aide.conf fajla:

# Sta sve da provjeravamo -- default pravila
#
#p: permissions
#i: inode
#n: number of links
#u: user
#g: group
#s: size
#b: block count
#m: mtime
#a: atime
#c: ctime
#S: check for growing size
#md5: md5 checksum
#sha1: sha1 checksum
#rmd160: rmd160 checksum
#tiger: tiger checksum
#R: p+i+n+u+g+s+m+c+md5
#L: p+i+n+u+g
#E: Empty group
#>: Growing logfile p+u+g+i+n+S

# Takodje mozete vi praviti svoja pravila
#
MojePravilo = p+i+n+u+g+s+b+m+c+md5+sha1

/etc p+i+u+g # Provjeri samo prava,inode,vlasnika i grupu za /etc dir
/bin MojePravilo # Upotrebi MojePravilo za /bin dir - pravilo koje ste vi napravili -- pogledajte gore
/sbin MojePravilo # Kao gore,samo za /sbin dir
/var MojePravilo
!/var/log/.* # Ignorisi /var/log
!/var/spool/.* # Takodje ignorisi /var/spool dir
!/var/sool/utmp$ # Ignorisi /var/spool/utmp

Ako hocete samo odredjeni fajl da ignorisete,ili chekirate,onda bi trebali da stavite $ jer kad biste stavili
samo /var/log/utmp onda bi se ignorisalo sve sto pocinje sa /var/log/utmp*

4.Upotreba

Prije svega morate napraviti bazu.Ovo bi trebalo uraditi odmah poslije instalacije sistema i programa.
Ovo mozete uraditi sa aide -c aide_conf_fajl --init (-c fajl oznacava manualno unosenje putanje do aide.conf fala).
Poslije ove komande,vas sistem ce smjestiti bazu u putanja/do/aide.db.new
Da aide radi kako treba,morate ovu bazu renamovati u aide.db
Provjeru sistema radite sa aide -c aide_conf_fajl --check (-c fajl oznacava manualno unosenje putanje do aide.conf).
Ako hocete updejt aide baze, uradite aide -c aide_conf_fajl -update;cp /putanja/do/aide.db.new /putanja/do/aide.db
Ovo ce da updejtuje promjenjene fajlove i da smjesti u aide.db.new
NOTE:Morate kopirati aide.db.new u aide.db jer ce aide i dalje javljati greske ako ukucate aide --check

5.Switchevi

Syntaxa:

aide <opcija> komanda

Komande:

-i
--init
Napravi bazu
-C
--check
Provjeri bazu
-u
--update
Provjeri i updejtuj bazu ne-interaktivno
-v
--version
Prikazi verziju
-h
--help
Prikazi ovaj help

Opcije:

-c konfig_fajl
--config=konfig_fajl
Uzmi konfig opcije iz datog fajla

-B "konfig_stvari"
--before="konfig_stvari"
Prije citanja konfig fajla upotrebi ove komande

-A "konfig_stvari"
--after="konfig_stvari"
Poslije citanja konfig fajla upotrebi ove komande

-r reporter
--report=reporter
Gdje da pise report

-Vnivo
--verbose=nivo
Nivo debug poruka

--config-check samo citaj konfig fajl

6.Kraj

Ovo bi bilo to u kratkim crtama.Znaci sve vazno sam izdvojio i napisao ovaj mini-howto za aide.
Nadam se da ce vam biti od pomoci.

Sasa U.
[email protected]

With a PC, I always felt limited
by the software available.
On Unix, I am limited only by my knowledge.

--Peter J. Schoenster

Odgovor na temu