Cómo instalar y usar AIDE en RHEL/CentOS 7/8 [Pasos sencillos]

AIDE (Entorno avanzado de detección de intrusiones) es un sistema de detección de intrusiones basado en host que monitorea eficientemente archivos, directorios y archivos de configuración en busca de modificaciones o cambios sospechosos. Con AIDE, los administradores de sistemas pueden proteger datos confidenciales y garantizar la integridad de los archivos y directorios críticos del sistema.

Este tutorial lo guiará a través del proceso de instalación y configuración de AIDE en RHEL/CentOS 7 u 8. Cubriremos los pasos necesarios para inicializar la base de datos, crear un archivo de configuración y realizar un análisis básico del sistema.

Paso 1:Instalar AIDE

1. Actualice los paquetes del sistema:

```

actualización de sudo yum

```

2. Instale el paquete AIDE:

```

asistente de instalación sudo yum

```

Paso 2:Inicializar la base de datos AIDE

1. Cree la cuenta de usuario de AIDE:

```

asistente sudo adduser

```

Este paso es crucial para garantizar la propiedad adecuada de los archivos y directorios de AIDE.

2. Inicialice la base de datos AIDE, que es esencialmente un registro de todos los archivos de su sistema:

```

sudo /usr/sbin/aide --init

```

Ingrese una frase de contraseña para proteger la base de datos de AIDE. Recuerde esta frase de contraseña ya que la necesitará más adelante.

3. Establecer propiedad y permisos:

```

sudo chown asistente:aide /var/lib/aide/aide.db

```

Este comando establece la propiedad de la base de datos para el usuario "ayudante" y garantiza los permisos adecuados.

Paso 3:Configurar AIDE

1. Como usuario 'aide', cree un archivo llamado 'aide.conf' en el directorio '/etc/aide':

```

sudo -i -u ayudante

cd /etc/aide

toque aide.conf

```

2. Abra el archivo 'aide.conf' en un editor de texto:

```

vim ayudante.conf

```

3. Agregue la siguiente configuración básica:

```

# Configuración relacionada con el correo

notificar_por correo

notificar_correo electrónico destinatario@ejemplo.com

comando_sendmail /usr/sbin/sendmail -t

# Configuración relacionada con la base de datos

base de datos =/var/lib/aide/aide.db

usuario_base de datos =asistente

# Archivos y directorio a monitorear

/etc

/var/log/auditoría

```

En esta configuración, configuramos las configuraciones de notificación por correo y especificamos los archivos y directorios a monitorear. Puede personalizar esta sección según sus requisitos específicos.

Paso 4:realizar una actualización de la base de datos y verificar

1. Ejecute los siguientes comandos para actualizar la base de datos y verificar su integridad:

```

sudo /usr/sbin/aide -u

```

Este comando actualiza la base de datos AIDE, comparando los estados actuales de los archivos con los almacenados en la base de datos y anotando cualquier cambio.

2. Verificar si existen discrepancias o modificaciones:

```

sudo /usr/sbin/aide -c /etc/aide/aide.conf

```

Paso 5:programar análisis AIDE

Para realizar análisis regulares, considere agregar la siguiente entrada de trabajo cron:

```

$ crontab-e

```

Adjunte esta entrada:

```

0 0 * * * /usr/sbin/aide -c /etc/aide/aide.conf>> /var/log/aide/aide.log 2>&1

```

Esto ejecutará AIDE diariamente a medianoche y registrará cualquier discrepancia en el archivo '/var/log/aide/aide.log'. Puede ajustar este horario según sus requisitos.

Si sigue estos pasos, habrá instalado y configurado correctamente AIDE en su sistema RHEL/CentOS 7/8. AIDE ahora monitoreará continuamente la integridad de los archivos y directorios críticos, asegurando la detección rápida de cualquier modificación no autorizada.