Überprüfen der Integrität mit AIDE

Héctor Louzao, Das Fedora-Dokumentationsteam Version F38 Last review: 2023-08-09
Advanced Intrusion Detection Environment (AIDE) ist ein Dienstprogramm, das eine Datenbank der Dateien auf dem System erstellt und diese Datenbank dann verwendet, um die Dateiintegrität sicherzustellen und Systemangriffe zu erkennen.

AIDE installieren

  1. So installieren Sie das Paket aide:

    $ sudo dnf install aide

  2. Eine initiale Datenbank anlegen:

    $ sudo aide --init
Start timestamp: 2018-07-11 12:35:47 +0200 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	150666

 ---------------------------------------------------
 The attributes of the (uncompressed) database(s):
 ---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 0isjEPsCORFk7laoGGz8tQ==
  SHA1     : j0aPLakWChM+TAuxfVIpy9nqBOE=
  RMD160   : nYyyx0AGZj4e5rwcz77afasXFrw=
  TIGER    : IBVo5A2A4En1kM6zDjD/MnlkN4QWeSOw
  SHA256   : YveypaI9c5PJNvPSZf8YFfjCMWfGUA8q
             vyqLpLJWY0E=
  SHA512   : TiUYmHYflS3A+j17qw5mW78Fn2yXLpCF
             1LE1/RhiqqtMn1MjkKDrr+3TE+/vWfa4
             7253cDhNmC6hoFndkS67Xw==


End timestamp: 2018-07-11 12:37:35 +0200 (run time: 1m 48s)
In der Standardkonfiguration überprüft der Befehl aide --init nur die in der Datei /etc/aide.conf definierten Verzeichnisse und Dateien. Um weitere Verzeichnisse oder Dateien in die AIDE-Datenbank aufzunehmen und deren Überwachungsparameter zu ändern, bearbeiten Sie die Datei /etc/aide.conf entsprechend.

  1. Um die Datenbank zu verwenden, entfernen Sie die Zeichenkette .new aus dem ursprünglichen Datenbankdateinamen:

    $ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

  2. Um den Speicherort der AIDE-Datenbank zu ändern, bearbeiten Sie die Datei /etc/aide.conf und ändern Sie den Wert von DBDIR. Für zusätzliche Sicherheit sollten Sie die Datenbank, die Konfiguration und die Binärdatei /usr/sbin/aide an einem sicheren Ort, z. B. auf einem schreibgeschützten Datenträger, speichern.

    Um SELinux-Verweigerungen nach der Änderung des AIDE-Datenbankspeicherorts zu vermeiden, aktualisieren Sie Ihre SELinux-Richtlinie entsprechend. Weitere Informationen finden Sie im Leitfaden SELinux-Zustände und -Modi ändern.

Integritätsprüfungen ausführen

So starten Sie eine manuelle Prüfung:

$ sudo aide --check
Start timestamp: 2018-07-11 12:41:20 +0200 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	150667
  Added entries:		1
  Removed entries:		0
  Changed entries:		2

 ---------------------------------------------------
 Added entries:
 ---------------------------------------------------

f++++++++++++++++: /etc/cups/subscriptions.conf.O
...
[Ausgabe gekürzt]

AIDE sollte mindestens so konfiguriert sein, dass es wöchentlich einen Scan durchführt. Optimalerweise sollte AIDE täglich ausgeführt werden. Um beispielsweise eine tägliche Ausführung von AIDE um 04:05 Uhr zu planen, verwenden Sie den cron-Befehl.

Fügen Sie die folgende Zeile zur Datei /etc/crontab hinzu:

 05 4 * * * root /usr/sbin/aide --check

Aktualisieren einer AIDE-Datenbank

Nachdem Sie die Änderungen an Ihrem System, wie z. B. Paketaktualisierungen oder Anpassungen von Konfigurationsdateien, überprüft haben, aktualisieren Sie Ihre AIDE-Basisdatenbank:

$ sudo aide --update

Der Befehl aide --update erstellt die Datenbankdatei /var/lib/aide/aide.db.new.gz. Um sie für Integritätsprüfungen zu verwenden, entfernen Sie die Teilzeichenkette .new aus dem Dateinamen.

Weitere Ressourcen

Weitere Informationen zu AIDE finden Sie in der folgenden Dokumentation:

Want to help? Learn how to contribute to Fedora Docs