Контроль изменений в ОС
AIDE (Advanced Intrusion Detection Environment) - open-source утилита для контроля за изменениями файлов и директорий в операционной системе.
- Подключитесь к машине gwX и установите утилиту:
apt install aide
- Ознакомьтесь с поддерживаемыми параметрами утилиты:
aide -v
- Создайте новую БД для AIDE:
aideinit
- Запустите проверку изменений в ОС:
aide --config /etc/aide/aide.conf --check
- После проверки отчета запишите изменения в эталонную базу:
aide --config /etc/aide/aide.conf --update
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
- Внесите изменения в ОС и повторите проверку из предыдущего пункта:
mkdir /root/testdir && touch /root/testdir/testfile
- Добавьте в конец конфига /etc/aide/aide.conf исключение проверки директории, создайте в ней новый файл и повторно выполните проверку (п.5):
!/root/testdir
- Настройте выполнение по cron'у:
nano /root/aide_report.sh
#!/bin/bash aide --config /etc/aide/aide.conf --update > /root/reports/aide_`date +%Y-%m-%d`.report mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
chmod +x /root/aide_report.sh
mkdir /root/reports
crontab -e
00 9 * * * /root/aide_report.sh