Контроль изменений в ОС
AIDE (Advanced Intrusion Detection Environment) - open-source утилита для контроля за изменениями файлов и директорий в операционной системе.
- Подключитесь к машине gwX и установите утилиту:
apt install aide - Ознакомьтесь с поддерживаемыми параметрами утилиты:
aide -v - Создайте новую БД для AIDE:
aideinit - Запустите проверку изменений в ОС:
aide --config /etc/aide/aide.conf --check - После проверки отчета запишите изменения в эталонную базу:
aide --config /etc/aide/aide.conf --update
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db - Внесите изменения в ОС и повторите проверку из предыдущего пункта:
mkdir /root/testdir && touch /root/testdir/testfile - Добавьте в конец конфига /etc/aide/aide.conf исключение проверки директории, создайте в ней новый файл и повторно выполните проверку (п.5):
!/root/testdir - Настройте выполнение по cron'у:
nano /root/aide_report.sh
#!/bin/bash aide --config /etc/aide/aide.conf --update > /root/reports/aide_`date +%Y-%m-%d`.report mv /var/lib/aide/aide.db.new /var/lib/aide/aide.dbchmod +x /root/aide_report.sh
mkdir /root/reports
crontab -e00 9 * * * /root/aide_report.sh