[ BORG @ 12.06.2002. 20:43 ] @
Evo,napisao sam jedan howto mali....nije nesto,i ima nekih greskica,ali to sam napisao onako...za 20 minuta. Nadam se da ce biti bar zanimljnivo za citati ;-] ********************************************************* * Advanced Intrusion Detection Environment * * Sasa U. * * [email protected] * ********************************************************* 1.Uvod 2.Instalacija 3.Konfiguracija 4.Upotreba 5.Switchevi 6.Kraj ----------------------------------------------------------------- 1.Uvod Sta je AIDE ? Aide je (za one koji neznaju) file integrity checker. Znaci aide provjerava fajlove,direktorije koji su mu definisani u konf fajlu i ako je neki fajl imjenjen koji je definisan u njemu,onda on daje report. Procitati dole za vise informacija ! Aide mozete preuzeti sa http://www.cs.tut.fi/~rammer/aide.html Mogucnosti aide-a: * Vise algoritama za provjeravanje * Mogucnost ispisivanja baze na stdout/file * Lagana konfiguracija kroz mocan konfiguracioni fajl * Kompresovana baza(zlib podrska) Aide za sad treba sledece pakete: * C kompajler (gcc) * GNU flex * GNU yacc * GNU make * Libgcrypt (ftp://ftp.gnupg.org/gcrypt/alpha/libgcrypt) 2.Instalacija tar zxfv aide-$VER.tar.gz -- $VER=verzija aide paketa. cd aide-$VER ./configure (prvo preporucujem ./configure --help) make make install 3.Konfiguracija Postoje 3 tipa linija u aide.conf fajlu: * Konfiguracione linije - Za namjestanje konfiguracionih parametara i definisanje variabli * Linije za selekciju - Odaberite koji sve fajlovi ce biti dodani u bazu * Makro linije - Za definisanje variabli u konfig fajlu Primjer glavnog djela aide.conf fajla: # Sta sve da provjeravamo -- default pravila # #p: permissions #i: inode #n: number of links #u: user #g: group #s: size #b: block count #m: mtime #a: atime #c: ctime #S: check for growing size #md5: md5 checksum #sha1: sha1 checksum #rmd160: rmd160 checksum #tiger: tiger checksum #R: p+i+n+u+g+s+m+c+md5 #L: p+i+n+u+g #E: Empty group #>: Growing logfile p+u+g+i+n+S # Takodje mozete vi praviti svoja pravila # MojePravilo = p+i+n+u+g+s+b+m+c+md5+sha1 /etc p+i+u+g # Provjeri samo prava,inode,vlasnika i grupu za /etc dir /bin MojePravilo # Upotrebi MojePravilo za /bin dir - pravilo koje ste vi napravili -- pogledajte gore /sbin MojePravilo # Kao gore,samo za /sbin dir /var MojePravilo !/var/log/.* # Ignorisi /var/log !/var/spool/.* # Takodje ignorisi /var/spool dir !/var/sool/utmp$ # Ignorisi /var/spool/utmp Ako hocete samo odredjeni fajl da ignorisete,ili chekirate,onda bi trebali da stavite $ jer kad biste stavili samo /var/log/utmp onda bi se ignorisalo sve sto pocinje sa /var/log/utmp* 4.Upotreba Prije svega morate napraviti bazu.Ovo bi trebalo uraditi odmah poslije instalacije sistema i programa. Ovo mozete uraditi sa aide -c aide_conf_fajl --init (-c fajl oznacava manualno unosenje putanje do aide.conf fala). Poslije ove komande,vas sistem ce smjestiti bazu u putanja/do/aide.db.new Da aide radi kako treba,morate ovu bazu renamovati u aide.db Provjeru sistema radite sa aide -c aide_conf_fajl --check (-c fajl oznacava manualno unosenje putanje do aide.conf). Ako hocete updejt aide baze, uradite aide -c aide_conf_fajl -update;cp /putanja/do/aide.db.new /putanja/do/aide.db Ovo ce da updejtuje promjenjene fajlove i da smjesti u aide.db.new NOTE:Morate kopirati aide.db.new u aide.db jer ce aide i dalje javljati greske ako ukucate aide --check 5.Switchevi Syntaxa: aide <opcija> komanda Komande: -i --init Napravi bazu -C --check Provjeri bazu -u --update Provjeri i updejtuj bazu ne-interaktivno -v --version Prikazi verziju -h --help Prikazi ovaj help Opcije: -c konfig_fajl --config=konfig_fajl Uzmi konfig opcije iz datog fajla -B "konfig_stvari" --before="konfig_stvari" Prije citanja konfig fajla upotrebi ove komande -A "konfig_stvari" --after="konfig_stvari" Poslije citanja konfig fajla upotrebi ove komande -r reporter --report=reporter Gdje da pise report -Vnivo --verbose=nivo Nivo debug poruka --config-check samo citaj konfig fajl 6.Kraj Ovo bi bilo to u kratkim crtama.Znaci sve vazno sam izdvojio i napisao ovaj mini-howto za aide. Nadam se da ce vam biti od pomoci. Sasa U. [email protected] |