AIDE расшифровывается как “Advanced Intrusion Detection Environment” (усовершенствованная система обнаружения вторжений) — это среда обнаружения вторжений и инструмент для проверки целостности файлов в Rosa Linux.

Введение

Эта статья описывает программу для контроля целостности системы AIDE на ОС ROSA Fresh/Chrome 12+ и Nickel.

Суть ее работы следующая:

• создается база данных, в которую записывается информация об отслеживаемых файлах и каталогах (хеш-сумма, время изменения и др.)
• проверка системы показывает, фактические данные каких файлов отличаются от записанных в базе.

Это позволяет выявить нарушения целостности системы.

Установка

Установите пакет aide из репозитория:

sudo dnf install aide

Создание базы

Запустите команду первоначальной настройки:

sudo aideinit

Она попросит придумать пароль от GPG-ключа, которым будет подписываться база AIDE для контроля ее целостности. Затем выполнит первичное заполнение базы /var/lib/aide/aide.db, тем самым зафиксировав в базе заведомо корректное состояние системы. Включается автоматическая проверка целостности системы раз в сутки.

Обновление базы

После изменения каких-либо файлов, например, после обновления системы, обновите базу:

sudo aideupdate

Будет запрошен пароль от GPG-ключа, введенный во время выполнения aideinit.

Периодическая проверка

В пакете aide поставляется таймер systemd aidecheck.timer, который позволяет запускать aidecheck.service после запуска ОС и далее раз в сутки. Скрипт aideinit включает этот таймер. Доступны следующие операции:

просмотр состояния таймера:

sudo systemctl status aidecheck.timer

отключение таймера (периодической проверки):

sudo systemctl disable --now aidecheck.timer

включение таймера (периодической проверки):

sudo systemctl enable --now aidecheck.timer

просмотр статуса последнего запуска проверки:

sudo systemctl status aidecheck.service

(пере)запуск проверки прямо сейчас, не по таймеру:

sudo systemctl restart aidecheck.service

просмотр лога (результатов) проверок:

sudo journalctl -u aidecheck.service