Jump to content

Advanced Intrusion Detection Environment

This is a fully translated article. Click here for more information.
From DawoumWiki, the free Mathematics self-learning
Original article: w:Advanced Intrusion Detection Environment
Advanced Intrusion Detection Environment
Developer(s)Rami Lehti, Pablo Virolainen
Stable release
0.17.4 / January 19, 2022; 2 years ago (2022-01-19)
Written inC
Operating systemUnix-like
TypeSecurity (HIDS)
LicenseGNU General Public License
Websiteaide.github.io

Advanced Intrusion Detection Environment (AIDE)는 처음에 GNU General Public License (GPL) 조건에 따라 라이선스가 부여된 Tripwire에 대해 자유 대체품으로 개발되었습니다.

주요 개발자는 독립적인 네덜란드 보안 컨설턴트, Richard van den Berg와 함께 Tampere University of Technology와 결합된 Rami Lehti와 Pablo Virolainen입니다. 그 프로젝트는 저렴한 베이스라인 제어와 루트킷 탐지 시스템으로 많은 유닉스-계열 시스템에서 사용됩니다.

Functionality

AIDE는 시스템 상태, 레지스터 해시, 수정 시간, 및 관리자에 의해 정의된 파일과 관련된 기타 데이터의 "스냅샷"을 가져옵니다. 이 "스냅샷"은 저장되는 데이터베이스를 구축하기 위해 사용되고 보관을 위해 외부 장치에 저장될 수 있습니다.

관리자가 무결성 테스트를 실행하고자 할 때 관리자는 접근 가능한 장소에 이전에 구축된 데이터베이스를 배치하고 AIDE에 명령하여 데이터베이스를 시스템의 실제 상태와 비교합니다. 스냅샷 생성과 테스트 사이에 컴퓨터에 변경 사항이 발생하면 AIDE가 이를 감지하고 관리자에게 보고합니다. 대안적으로, AIDE는 스케쥴에 따라 실행되고 데비안 AIDE 패키지의 기본 동작인 크론과 같은 스케쥴링 기술을 사용하여 매일 변경 사항을 보고하도록 구성될 수 있습니다.[1]

시스템 내부에서 발생할 수 있는 모든 악의적인 변경이 AIDE에 의해 보고된다는 점을 감안할 때, 이것은 주로 보안 목적에 유용합니다.

Installation

데비안 저장소에서 설치할 수 있습니다:

  • sudo apt install aide

Configurations

패키지가 설치되면, 일반적인 설정파일과 관련된 설정, 및 데이터베이스 등은 아래 위치에서 확인할 수 있습니다:

  • /etc/default/aide
  • /etc/aide/
  • /var/lib/aide/

Initialize AIDE Database

설치 후에, 데이터베이스는 자동으로 생성되지 않고, 아래와 같이 초기화할 수 있습니다:

  • sudo aideinit --config /etc/aide/aide.conf
특정 파일에서 허가권 거부가 발생할 수 있습니다.
항목 289502개를 5분 18초에 걸쳐서 확인을 완료합니다.

Install New AIDE Database

새로 생성된 AIDE 데이터베이스를 설치하려면 다음과 같이 복사해야 합니다. (보통 처음에는 두 데이터베이스를 같이 만들기 때문에 안해도 되지만, 확인을 하십시오)

  • sudo cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Run checking

변경 사항이 있는지 확인하기 위해,

  • sudo aide --check --config /etc/aide/aide.conf
특정 파일에서 허가권 거부가 발생할 수 있습니다.
변경 사항을 보여주고, 9분 33초에 걸쳐서 완료합니다.

Datebase update

시스템에 새로운 패키지를 설치하거나, 다른 작업 후에, 데이터베이스를 업데이트할 수 있습니다:

  • sudo aide --update --config /etc/aide/aide.conf
변경 사항을 보여주고, 9분 44초를 걸려 완료합니다:

이제 데이터베이스 변경을 확인하고, 복사해 줍니다:

  • sudo ls -l /var/lib/aide/
  • sudo cp -p /var/lib/aide/aide.db.new /var/lib/aide/aide.db

See also

External links

References

  1. ^ "Using Aide on Ubuntu 12.04 LTS (Precise Pangolin) and Debian 7 (Wheezy)". Archived from the original on 9 January 2013. Retrieved 12 March 2013.

Retrieved from "https://dawoum.duckdns.org/w/index.php?title=Advanced_Intrusion_Detection_Environment&oldid=67184"