Memverifikasi Integritas dengan AIDE

Héctor Louzao, Tim Dokumentasi Fedora Versi F38 Last review: 2023-08-09
Advanced Intrusion Detection Environment (AIDE) adalah utilitas yang membuat basis data berkas di sistem, dan kemudian menggunakan basis data tersebut untuk memastikan integritas berkas dan mendeteksi intrusi sistem.

Menginstal AIDE

  1. Untuk menginstal paket aide:

    $ sudo dnf install aide

  2. Untuk membuat basis data awal:

    $ sudo aide --init
Start timestamp: 2018-07-11 12:35:47 +0200 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	150666

 ---------------------------------------------------
 The attributes of the (uncompressed) database(s):
 ---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 0isjEPsCORFk7laoGGz8tQ==
  SHA1     : j0aPLakWChM+TAuxfVIpy9nqBOE=
  RMD160   : nYyyx0AGZj4e5rwcz77afasXFrw=
  TIGER    : IBVo5A2A4En1kM6zDjD/MnlkN4QWeSOw
  SHA256   : YveypaI9c5PJNvPSZf8YFfjCMWfGUA8q
             vyqLpLJWY0E=
  SHA512   : TiUYmHYflS3A+j17qw5mW78Fn2yXLpCF
             1LE1/RhiqqtMn1MjkKDrr+3TE+/vWfa4
             7253cDhNmC6hoFndkS67Xw==


End timestamp: 2018-07-11 12:37:35 +0200 (run time: 1m 48s)
Dalam konfigurasi default, perintah aide --init hanya memeriksa sejumlah direktori dan berkas yang didefinisikan dalam berkas /etc/aide.conf. Untuk menambahkan direktori atau berkas tambahan ke dalam basis data AIDE, serta mengubah parameter pemantauan mereka, edit berkas /etc/aide.conf sesuai kebutuhan.

  1. Untuk mulai menggunakan basis data, hapus substring .new dari nama berkas basis data awal:

    $ sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

  2. Untuk mengubah lokasi basis data AIDE, edit berkas /etc/aide.conf dan ubah nilai DBDIR. Untuk keamanan tambahan, simpan basis data, konfigurasi, dan berkas biner /usr/sbin/aide di lokasi yang aman, seperti media baca-saja.

    Untuk menghindari penolakan SELinux setelah perubahan lokasi basis data AIDE, perbarui kebijakan SELinux Anda sesuai dengan perubahan tersebut. Lihat panduan Mengubah Status dan Mode SELinux untuk informasi lebih lanjut.

Melakukan Pemeriksaan Integritas

Untuk memulai pemeriksaan manual:

$ sudo aide --check
Start timestamp: 2018-07-11 12:41:20 +0200 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	150667
  Added entries:		1
  Removed entries:		0
  Changed entries:		2

 ---------------------------------------------------
 Added entries:
 ---------------------------------------------------

f++++++++++++++++: /etc/cups/subscriptions.conf.O
...
[output truncated]

Setidaknya, AIDE harus dikonfigurasi untuk menjalankan pemindaian mingguan. Paling banyak, AIDE harus dijalankan setiap hari. Misalnya, untuk menjadwalkan eksekusi harian AIDE pada pukul 04:05 pagi, gunakan perintah cron.

Tambahkan baris berikut ke berkas /etc/crontab:

 05 4 * * * root /usr/sbin/aide --check

Memperbarui Basis Data AIDE

Setelah memverifikasi perubahan pada sistem Anda, seperti pembaruan paket atau penyesuaian berkas konfigurasi, perbarui basis data AIDE Anda:

$ sudo aide --update

Perintah aide --update membuat berkas basis data /var/lib/aide/aide.db.new.gz. Untuk mulai menggunakannya untuk pemeriksaan integritas, hapus substring .new dari nama berkas.

Sumber Daya Tambahan

Untuk informasi tambahan tentang AIDE, lihat dokumentasi berikut:

Want to help? Learn how to contribute to Fedora Docs