linux:aide

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
linux:aide [14.03.2025 13:32. ] – [Playbook] djangolinux:aide [14.03.2025 21:10. ] (aktuell) – [Ergebniskontrolle] django
Zeile 2146: Zeile 2146:
 </html> </html>
  
 +=== jounald (tägliche) logs ===
 +In der Konfigurationsdatei **''/etc/aide.conf''** definieren wir für die Speicherung der AIDE-Logs im Jounal:
 +
 +   # vim /etc/aide.conf
 +<code>...
 +
 +# Default
 +log_level=warning
 +report_level=changed_attributes
 +report_url=stdout
 +report_url=syslog:LOG_AUTH
 +
 +...</code>
 +
 +Somit können wir einfach die Logeinträge von AIDE einfach ausgeben.
 +   # journalctl -f /usr/bin/aide
 +++++ Ausgabe der AIDE Logeinträge im Journal |
 +<code>Mar 14 16:20:38 pml010070 aide[102360]: Start timestamp: 2025-03-14 16:18:57 +0100 (AIDE 0.18.8)
 +Mar 14 16:20:38 pml010070 aide[102360]: AIDE successfully initialized database.
 +Mar 14 16:20:38 pml010070 aide[102360]: New AIDE database written to /var/lib/aide/pml010070.aide-database
 +Mar 14 16:20:38 pml010070 aide[102360]: 
 +                                        Number of entries:        415354
 +Mar 14 16:20:38 pml010070 aide[102360]: 
 +                                        
 +                                        ---------------------------------------------------
 +                                        The attributes of the (uncompressed) database(s):
 +                                        ---------------------------------------------------
 +Mar 14 16:20:38 pml010070 aide[102360]: 
 +Mar 14 16:20:38 pml010070 aide[102360]: /var/lib/aide/pml010070.aide-database
 +Mar 14 16:20:38 pml010070 aide[102360]:  MD5       : cKcw5jV3zJWP6TMJeRZrWA==
 +Mar 14 16:20:38 pml010070 aide[102360]:  SHA1      : WigC6cPTyrQRFNIhCwKpZqfKm4w=
 +Mar 14 16:20:38 pml010070 aide[102360]:  SHA256    : WGSt7wa0Hg5muPhyqm7djZ2hFEpOuxAb
 +Mar 14 16:20:38 pml010070 aide[102360]:              fbIgEeDhb2E=
 +Mar 14 16:20:38 pml010070 aide[102360]:  SHA512    : U1ybuczO4cQuiNQeaC/+ifx2A35LN12P
 +Mar 14 16:20:38 pml010070 aide[102360]:              khwMFF0cow+EJBgpU/rgPWZ1pHT0R/ft
 +Mar 14 16:20:38 pml010070 aide[102360]:              sqVmFI2kYXTTZVgMC/6exg==
 +Mar 14 16:20:38 pml010070 aide[102360]:  RMD160    : mlbLBlEUShR/TiPhGrfFHxargCg=
 +Mar 14 16:20:38 pml010070 aide[102360]:  TIGER     : RwucrlxNyW0VQZLxlPZcgwK9E1V1AE5E
 +Mar 14 16:20:38 pml010070 aide[102360]:  CRC32     : DBPsjQ==
 +Mar 14 16:20:38 pml010070 aide[102360]:  WHIRLPOOL : Ae/6G8dKIlhG3LWIhPPQIoX/Ft2s6IwZ
 +Mar 14 16:20:38 pml010070 aide[102360]:              VM43NRfO1t8P9+kjyHO3B4ix4QPSlT8C
 +Mar 14 16:20:38 pml010070 aide[102360]:              3u81OG360J1VWXK7IynzLA==
 +Mar 14 16:20:38 pml010070 aide[102360]:  GOST      : ZmqxZHVeDyiJIR1mzgTvleoetI9fYn77
 +Mar 14 16:20:38 pml010070 aide[102360]:              gU7jrp4K9d0=
 +Mar 14 16:20:38 pml010070 aide[102360]:  STRIBOG256: hAF0w3sUx7G5a16cg96B6aUI3ig8BB+2
 +Mar 14 16:20:38 pml010070 aide[102360]:              qAf4Fd3/X+c=
 +Mar 14 16:20:38 pml010070 aide[102360]:  STRIBOG512: vLDF/5VqfXyLeuDt6Yj2LfrBVBYamJwn
 +Mar 14 16:20:38 pml010070 aide[102360]:              dMHKJrrKaXNlY2Y/TVwtnb6bNnpNz9YO
 +Mar 14 16:20:38 pml010070 aide[102360]:              Xs0mvlY+fXVlKPiEzKQvQg==
 +Mar 14 16:20:38 pml010070 aide[102360]: 
 +                                        
 +                                        End timestamp: 2025-03-14 16:20:38 +0100 (run time: 1m 41s)
 +
 +</code>
 +++++   
 ===== Orchestrierung - Installation und Konfiguration von AIDE mit Hilfe von Ansible  ===== ===== Orchestrierung - Installation und Konfiguration von AIDE mit Hilfe von Ansible  =====
 ==== Aufgabenstellung ==== ==== Aufgabenstellung ====
Zeile 2321: Zeile 2376:
 {{gh> https://gitlab.nausch.org/django/example_aide/-/blob/main/playbooks/arch_hids.yml }} {{gh> https://gitlab.nausch.org/django/example_aide/-/blob/main/playbooks/arch_hids.yml }}
 ++++ ++++
 +
 +
  
 === Ausführung - Playbooklauf === === Ausführung - Playbooklauf ===
 Die orchestrierte Variante der Installation und Konfiguration unseres **AIDE**-Daemons gestaltet sich ab sofort sehr einfach, brauchen wir doch lediglich die Konfigurationswerte im Inventory zu hinterlegen und zu pflegen und letztendlich das Playbook entsprechend aufzurufen, wenn z.B. gewollte Änderungen an einem System durch einen Admin bzw. durch den Lauf eines der Ansible-Playbooks erfolgten.  Die orchestrierte Variante der Installation und Konfiguration unseres **AIDE**-Daemons gestaltet sich ab sofort sehr einfach, brauchen wir doch lediglich die Konfigurationswerte im Inventory zu hinterlegen und zu pflegen und letztendlich das Playbook entsprechend aufzurufen, wenn z.B. gewollte Änderungen an einem System durch einen Admin bzw. durch den Lauf eines der Ansible-Playbooks erfolgten. 
-   $ ansible-playbook playbooks/kea_dhcp.yml+ 
 +In nachfolgendem Beispiel installieren wir nun unseren AIDE-Daemon auf dem Host **''pml010070''**: 
 +   $ ansible-playbook playbooks/arch_hids.yml --limit pml010070
  
 <html><pre class="code"> <html><pre class="code">
-<font style="color: rgb(0, 0, 0)">[16:43:13] Gathering Facts</font> +<font style="color: rgb(0, 0, 0)">[14:38:36] Gathering Facts</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 2.19s</font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 1.18s</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:15kea-dhcp : Installation des Kea DHCP-Servers.</font> +<font style="color: rgb(0, 0, 0)">[14:38:37hids : Installation von AIDE/HIDS.</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 7ms</font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 8ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:15]     ↳ vorbereitungVorhandenes System aktualisieren.</font> +<font style="color: rgb(0, 0, 0)">[14:38:37]     ↳ installAktuelles AIDE Paket vom internen Mirror holen.</font> 
-<font style="color: rgb(196, 160, 0)">↳  vml010110 | CHANGED | 2.45s</font> +<font style="color: rgb(196, 160, 0)">↳  pml010070 | CHANGED | 500mss</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:17]     ↳ vorbereitungInstallation der benötigten kea Pakete.</font> +<font style="color: rgb(0, 0, 0)">[14:38:37]     ↳ install: AIDE-Paket installieren.</font> 
-<font style="color: rgb(251005)">↳  vml010110 SUCCESS 1.63s</font> +<font style="color: rgb(196, 160, 0)">↳  pml010070 | CHANGED | 2.00s</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:19kea-dhcp : Konfiguration des Kea DHCP4-Servers.</font> +<font style="color: rgb(0, 0, 0)">[14:38:39]     ↳ installTemporäre lokale Paketdatei löschen.</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 12ms</font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED 389ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:19]     ↳ dhcp4: Checken ob es bereits eine Backupdatei der kea-dhcp4.conf gibt.</font> +<font style="color: rgb(0, 0, 0)">[14:38:40hids : Konfiguration von AIDE/HIDS.</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 609ms</font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 7ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:19]     ↳ dhcp4: Backupdatei der Konfigurationsdatei kea-dhcp4.conf erstellen.</font> +<font style="color: rgb(0, 0, 0)">[14:38:40]     ↳ config: Checken ob es bereits eine Backupdatei der aide.conf gibt.</font> 
-<font style="color: rgb(39984)">vml010110 SKIPPED 9ms</font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 356ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:20]     ↳ dhcp4Individuelle Konfigurationsdatei kea-dhcp4.conf erzeugen und kopieren.</font> +<font style="color: rgb(0, 0, 0)">[14:38:40]     ↳ config: Backupdatei der aide.conf Konfigurationsdatei erstellen.</font> 
-<font style="color: rgb(251005)">↳  vml010110 SUCCESS 1.19s</font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED 338ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:21]     ↳ dhcp4Sicherstellendass der kea-dhcp4 Daemon reboot(-feststartet.</font> +<font style="color: rgb(0, 0, 0)">[14:38:40]     ↳ configAIDE Konfigurationsdatei erzeugen.</font> 
-<font style="color: rgb(251005)">↳  vml010110 SUCCESS 918ms<font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED 634ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:22kea-dhcp Konfiguration des Kea DHCP6-Servers.</font> +<font style="color: rgb(0, 0, 0)">[14:38:41]     ↳ configVerzeichnis für lokale override timer erzeugen.</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 10ms<font> +<font style="color: rgb(196160, 0)">↳  pml010070 | CHANGED | 251ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:22]     ↳ dhcp6Checken ob es bereits eine Backupdatei der kea-dhcp6.conf gibt.</font> +<font style="color: rgb(0, 0, 0)">[14:38:41]     ↳ config: Systemd Timer für AIDE Daemon erzeugen.</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 524ms<font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED 478ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:22]     ↳ dhcp6Backupdatei der Konfigurationsdatei kea-dhcp6.conf erstellen.</font> +<font style="color: rgb(0, 0, 0)">[14:38:42    ↳ configAIDE Datenbank erstellen.</font> 
-<font style="color: rgb(39984)">vml010110 SKIPPED 14ms<font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 1m40s</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:22]     ↳ dhcp6Individuelle Konfigurationsdatei kea-dhcp6.conf erzeugen und kopieren.</font> +<font style="color: rgb(0, 0, 0)">[14:40:22] hids AIDE-Datenbank auf Reposerver transferieren.</font> 
-<font style="color: rgb(1961600)">↳  vml010110 CHANGED | 1.31s<font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 10ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:24]     ↳ dhcp6Sicherstellen, dass der kea-dhcp4 Daemon reboot(-fest) startet.</font> +<font style="color: rgb(0, 0, 0)">[14:40:22]     ↳ transferTemporäre lokale Aide-Datenbank Datei löschen.</font> 
-<font style="color: rgb(251005)">↳  vml010110 SUCCESS 826ms</font> +<font style="color: rgb(251005)">↳  pml010070 SUCCESS 368ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:24kea-dhcp Konfiguration der firewalld-Regeln für beide Kea Daemons.</font> +<font style="color: rgb(0, 0, 0)">[14:40:23]     ↳ transferTemporäre remote Aide-Datenbank Datei löschen.</font> 
-<font style="color: rgb(25, 100, 5)">↳  vml010110 | SUCCESS | 27ms</font> +<font style="color: rgb(251005)">↳  pml010070 SUCCESS | 1.24s</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:24]     ↳ firewalldKonfiguration der firewalld Regeln in Zone_1 für die Kea-Daemon.</font> +<font style="color: rgb(0, 0, 0)">[14:40:24]     ↳ transferAIDE-Datenbank lokal kopieren.</font> 
-<font style="color: rgb(251005)">↳  vml010110 SUCCESS | 5.09s</font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED 511ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:30]     ↳ firewalldKonfiguration der firewalld Regeln in Zone_2 für die Kea-Daemon./font> +<font style="color: rgb(0, 0, 0)">[14:40:25    ↳ transferAIDE-Datenbank auf Repository-Server kopieren.</font> 
-<font style="color: rgb(251005)">↳  vml010110 SUCCESS 5.12s</font> +<font style="color: rgb(25, 100, 5)">↳  pml010070 | SUCCESS | 1.63s</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:35]     ↳ firewalldZum Schluss den aktuellen permanenten Regelsatz final neu laden.</font> +<font style="color: rgb(0, 0, 0)">[14:40:27]     ↳ transferAIDE-Datenbank ins Repo verschieben.</font> 
-<font style="color: rgb(196, 160, 0)">↳  vml010110 | CHANGED | 918ms</font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED | 5.14s</font> 
-<font style="color: rgb(25, 100, 5)">triggering handler | kea-dhcp Restart dhcp6</font> +<font style="color: rgb(0, 0, 0)">[14:40:32]     ↳ transferTemporäre lokale Aide-Datenbank Datei löschen.</font> 
-<font style="color: rgb(196, 160, 0)">↳  vml010110 | CHANGED | 1.76s</font> +<font style="color: rgb(1961600)">↳  pml010070 CHANGED 317ms</font> 
-<font style="color: rgb(0, 0, 0)">[16:43:36] system</font>+<font style="color: rgb(0, 0, 0)">[14:40:32]     ↳ transferTemporäre remote Aide-Datenbank Datei löschen.</font> 
 +<font style="color: rgb(196, 160, 0)">↳  pml010070 | CHANGED | 861ms</font> 
 +<font style="color: rgb(25, 100, 5)">triggering handler | hids Reload aidecheck</font> 
 +<font style="color: rgb(196, 160, 0)">↳  pml010070 | CHANGED | 1.21s</font> 
 +<font style="color: rgb(0, 0, 0)">[14:40:33] system</font>
 <font style="color: rgb(25, 100, 5)">-- Play recap --</font> <font style="color: rgb(25, 100, 5)">-- Play recap --</font>
-<font style="color: rgb(196, 160, 0)">vml010110                  </font><font style="color: rgb(0, 0, 0)">: </font><font style="color: rgb(25, 100, 5)">ok=17   </font><font style="color: rgb(196, 160, 0)">changed=   </font>unreachable=0    failed=0    <font style="color: rgb(39984)">skipped=2</font>    <font style="color: rgb(0, 0, 0)">rescued=0    ignored=0</font>+<font style="color: rgb(196, 160, 0)">pml010070                  </font><font style="color: rgb(0, 0, 0)">: </font><font style="color: rgb(25, 100, 5)">ok=21   </font><font style="color: rgb(196, 160, 0)">changed=12    </font>unreachable=0    failed=0    <font style="color: rgb(000)">skipped=0</font>    <font style="color: rgb(0, 0, 0)">rescued=0    ignored=0</font>
 </pre> </pre>
 </html> </html>
  
 ==== Ergebniskontrolle ==== ==== Ergebniskontrolle ====
 +Bei einem Blick in unser System-Journal finden wir nun unter anderem zunächst einmal das Setzen des **''systemd-timers''** täglich um **''05:51:00''** für unseren Host 
 +   # journalctl -f /usr/bin/aide
 +<code>Mar 14 14:40:36 pml010070 systemd[1]: Reloading finished in 162 ms.
 +Mar 14 14:40:36 pml010070 systemd[1]: Started Aide check every day at 05:51:00.
 +Mar 14 14:40:36 pml010070 systemd[1]: Started Aide Check.</code>
  
 +Desweiteren finden wir auch Informationen zum initialen Erstellen der Aide-Datenbank.
 +   # journalctl -f /usr/bin/aide
 +++++ journal bei Erstellung der initialen Datenbank |
 +<code>Mar 14 14:43:07 pml010070 aide[94384]: Start timestamp: 2025-03-14 14:40:36 +0100 (AIDE 0.18.8)
 +Mar 14 14:43:07 pml010070 aide[94384]: AIDE found NO differences between database and filesystem. Looks okay!!
 +Mar 14 14:43:07 pml010070 aide[94384]: 
 +                                       Number of entries:        415370
 +Mar 14 14:43:07 pml010070 aide[94384]: 
 +                                       
 +                                       ---------------------------------------------------
 +                                       The attributes of the (uncompressed) database(s):
 +                                       ---------------------------------------------------
 +Mar 14 14:43:07 pml010070 aide[94384]: 
 +Mar 14 14:43:07 pml010070 aide[94384]: http://10.0.0.40/local/pml010070.aide-database
 +Mar 14 14:43:07 pml010070 aide[94384]:  MD5       : FqaMpI9bZvV3FiZB8nJowA==
 +Mar 14 14:43:07 pml010070 aide[94384]:  SHA1      : vGllC7x5U6FndAR7T2k6v5M3zpw=
 +Mar 14 14:43:07 pml010070 aide[94384]:  SHA256    : OGRb4RHabaNJGxw8rJ3eqMN1dQ5BR/od
 +Mar 14 14:43:07 pml010070 aide[94384]:              TWY8w+4k8j8=
 +Mar 14 14:43:07 pml010070 aide[94384]:  SHA512    : 45Gqayh6d8UU2bOhDw3heHvo8K2P3NkB
 +Mar 14 14:43:07 pml010070 aide[94384]:              OG2DBHfVUWkdqiFkUxmnJzkNKr5OuJJU
 +Mar 14 14:43:07 pml010070 aide[94384]:              1I5jztmwx5yMROqpN+LGzA==
 +Mar 14 14:43:07 pml010070 aide[94384]:  RMD160    : tmRQ4H5i9HtK44+neY+PcA9oBOI=
 +Mar 14 14:43:07 pml010070 aide[94384]:  TIGER     : lMSvw4apa4sTp/2wGf/9bENtoP/rGdWg
 +Mar 14 14:43:07 pml010070 aide[94384]:  CRC32     : lNOWHg==
 +Mar 14 14:43:07 pml010070 aide[94384]:  WHIRLPOOL : RpJ0mjh34mGWGOOxPI982f1J6+xsc1BQ
 +Mar 14 14:43:07 pml010070 aide[94384]:              6Qf3j/70QH6YaZ0xKnDioNvEGUZeSrXK
 +Mar 14 14:43:07 pml010070 aide[94384]: Start timestamp: 2025-03-14 14:40:36 +0100 (AIDE 0.18.8)
 +Mar 14 14:43:07 pml010070 aide[94384]: AIDE found NO differences between database and filesystem. Looks okay!!
 +Mar 14 14:43:07 pml010070 aide[94384]: Number of entries:        415370
 +Mar 14 14:43:07 pml010070 aide[94384]: ---------------------------------------------------
 +Mar 14 14:43:07 pml010070 aide[94384]: The attributes of the (uncompressed) database(s):
 +Mar 14 14:43:07 pml010070 aide[94384]: ---------------------------------------------------
 +Mar 14 14:43:07 pml010070 aide[94384]: http://10.0.0.40/local/pml010070.aide-database
 +Mar 14 14:43:07 pml010070 aide[94384]:  MD5       : FqaMpI9bZvV3FiZB8nJowA==
 +Mar 14 14:43:07 pml010070 aide[94384]:  SHA1      : vGllC7x5U6FndAR7T2k6v5M3zpw=
 +Mar 14 14:43:07 pml010070 aide[94384]:  SHA256    : OGRb4RHabaNJGxw8rJ3eqMN1dQ5BR/od
 +Mar 14 14:43:07 pml010070 aide[94384]:              TWY8w+4k8j8=
 +Mar 14 14:43:07 pml010070 aide[94384]:  SHA512    : 45Gqayh6d8UU2bOhDw3heHvo8K2P3NkB
 +Mar 14 14:43:07 pml010070 aide[94384]:              OG2DBHfVUWkdqiFkUxmnJzkNKr5OuJJU
 +Mar 14 14:43:07 pml010070 aide[94384]:              1I5jztmwx5yMROqpN+LGzA==
 +Mar 14 14:43:07 pml010070 aide[94384]:  RMD160    : tmRQ4H5i9HtK44+neY+PcA9oBOI=
 +Mar 14 14:43:07 pml010070 aide[94384]:  TIGER     : lMSvw4apa4sTp/2wGf/9bENtoP/rGdWg
 +Mar 14 14:43:07 pml010070 aide[94384]:  CRC32     : lNOWHg==
 +Mar 14 14:43:07 pml010070 aide[94384]:  WHIRLPOOL : RpJ0mjh34mGWGOOxPI982f1J6+xsc1BQ
 +Mar 14 14:43:07 pml010070 aide[94384]:              6Qf3j/70QH6YaZ0xKnDioNvEGUZeSrXK
 +Mar 14 14:43:07 pml010070 aide[94384]:              S88Yf1dE76zmSxan8K9lIw==
 +Mar 14 14:43:07 pml010070 aide[94384]:  GOST      : 6jc71FdttaZW/sUrNA04kyuipL3c6Uek
 +Mar 14 14:43:07 pml010070 aide[94384]:              eu+La9lk8tk=
 +Mar 14 14:43:07 pml010070 aide[94384]:  STRIBOG256: 8sSN/117ue7MfpZ9fvv6FlfNSeRKAg+m
 +Mar 14 14:43:07 pml010070 aide[94384]:              MdP0ErwHN88=
 +Mar 14 14:43:07 pml010070 aide[94384]:  STRIBOG512: lpC/Mc6AYEOh580mPp/Hv47qADCJktQw
 +Mar 14 14:43:07 pml010070 aide[94384]:              th4EzUKygQsx+WQ04E4+GHwahMuM5zuw
 +Mar 14 14:43:07 pml010070 aide[94384]:              kffXnQAsP1YkZra5jn7pnQ==
 +Mar 14 14:43:07 pml010070 aide[94384]: End timestamp: 2025-03-14 14:43:07 +0100 (run time: 2m 31s)
 +Mar 14 14:43:07 pml010070 aide[94384]:              S88Yf1dE76zmSxan8K9lIw==
 +Mar 14 14:43:07 pml010070 aide[94384]:  GOST      : 6jc71FdttaZW/sUrNA04kyuipL3c6Uek
 +Mar 14 14:43:07 pml010070 aide[94384]:              eu+La9lk8tk=
 +Mar 14 14:43:07 pml010070 aide[94384]:  STRIBOG256: 8sSN/117ue7MfpZ9fvv6FlfNSeRKAg+m
 +Mar 14 14:43:07 pml010070 aide[94384]:              MdP0ErwHN88=
 +Mar 14 14:43:07 pml010070 aide[94384]:  STRIBOG512: lpC/Mc6AYEOh580mPp/Hv47qADCJktQw
 +Mar 14 14:43:07 pml010070 aide[94384]:              th4EzUKygQsx+WQ04E4+GHwahMuM5zuw
 +Mar 14 14:43:07 pml010070 aide[94384]:              kffXnQAsP1YkZra5jn7pnQ==
 +Mar 14 14:43:07 pml010070 aide[94384]: 
 +                                       
 +                                       End timestamp: 2025-03-14 14:43:07 +0100 (run time: 2m 31s)
 +Mar 14 14:43:07 pml010070 systemd[1]: aidecheck.service: Deactivated successfully.
 +Mar 14 14:43:07 pml010070 systemd[1]: aidecheck.service: Consumed 3min 26.741s CPU time, 708.5M memory peak.</code>
 +++++
  
 +Täglich um **05:01** Uhr wird nun unser Host die aktuelle Datenbank gegen die bestehende AIDE-Datenbank auf unserem internen Repository-/Spiegelserver holen und diese beim Check des Dateisystems verwenden.
 +   # journalctl
 +++++ journal beim täglichen check um 05:51 Uhr dieses Hosts |
 +<code>Mar 15 05:51:09 pml010070 systemd[1]: Started Aide Check.
 +Mar 15 05:51:27 pml010070 rtkit-daemon[1200]: Supervising 8 threads of 5 processes of 1 users.
 +Mar 15 05:51:27 pml010070 rtkit-daemon[1200]: Supervising 8 threads of 5 processes of 1 users.
 +Mar 15 05:53:01 pml010070 aide[57175]: Start timestamp: 2025-03-15 05:51:09 +0100 (AIDE 0.18.8)
 +Mar 15 05:53:01 pml010070 aide[57175]: AIDE found differences between database and filesystem!!
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       Summary:
 +                                         Total number of entries:        415370
 +                                         Added entries:                0
 +                                         Removed entries:                0
 +                                         Changed entries:                2
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       
 +                                       ---------------------------------------------------
 +                                       Changed entries:
 +                                       ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       d = ... mc.. .. : /etc/cups
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       d = ... mc..    : /root
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       
 +                                       ---------------------------------------------------
 +                                       Detailed information about changes:
 +                                       ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +Mar 15 05:53:01 pml010070 aide[57175]: Directory:
 +Mar 15 05:53:01 pml010070 aide[57175]: /etc/cups
 +Mar 15 05:53:01 pml010070 aide[57175]:  Mtime     : 2025-03-13 13:49:27 +0100        | 2025-03-14 05:22:46 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]:  Ctime     : 2025-03-13 13:49:27 +0100        | 2025-03-14 05:22:46 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +Mar 15 05:53:01 pml010070 aide[57175]: Directory:
 +Mar 15 05:53:01 pml010070 aide[57175]: /root
 +Mar 15 05:53:01 pml010070 aide[57175]:  Mtime     : 2025-03-11 19:16:06 +0100        | 2025-03-13 17:47:03 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]:  Ctime     : 2025-03-11 19:16:06 +0100        | 2025-03-13 17:47:03 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       ---------------------------------------------------
 +                                       The attributes of the (uncompressed) database(s):
 +                                       ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +Mar 15 05:53:01 pml010070 aide[57175]: http://10.0.0.40/local/pml010070.aide-database
 +Mar 15 05:53:01 pml010070 aide[57175]:  MD5       : JkDe+MaQ3jiZXGx4TPiP9w==
 +Mar 15 05:53:01 pml010070 aide[57175]:  SHA1      : ulm0dLAs62vjmWKNuh6LyV3HORE=
 +Mar 15 05:53:01 pml010070 aide[57175]:  SHA256    : S/BG2ZPAZogkojazoc13F6sme84JWTik
 +Mar 15 05:53:01 pml010070 aide[57175]:              zH4ysMjRjnQ=
 +Mar 15 05:53:01 pml010070 aide[57175]:  SHA512    : o4mqYllOZrjONDaZP/hywLlZHcSv69Z1
 +Mar 15 05:53:01 pml010070 aide[57175]:              CkdMvaD3LZdr+bzK7zjwnpbG4nONTmDx
 +Mar 15 05:53:01 pml010070 aide[57175]:              p5sXILkYA+REaSrbAIft0Q==
 +Mar 15 05:53:01 pml010070 aide[57175]:  RMD160    : 1+EE+mVMQl0wLRZQk5qSwegYvLY=
 +Mar 15 05:53:01 pml010070 aide[57175]:  TIGER     : mvvYirLAo30g35dnku/8KcCkoHfg4Dz+
 +Mar 15 05:53:01 pml010070 aide[57175]:  CRC32     : h+Fz5Q==
 +Mar 15 05:53:01 pml010070 aide[57175]:  WHIRLPOOL : 5wn7egFu5xf5IPQnBCdZbRsz+UXf1BdQ
 +Mar 15 05:53:01 pml010070 aide[57175]:              QauE/6ZI2VaMzGs3antSVbmkHmCnMoWT
 +Mar 15 05:53:01 pml010070 aide[57175]:              xj4keofx/JSJWKvUUMLnnA==
 +Mar 15 05:53:01 pml010070 aide[57175]:  GOST      : iHuOTlg03FrPEX9ror1szxOomv/c+eUc
 +Mar 15 05:53:01 pml010070 aide[57175]:              olR6ymPJlBM=
 +Mar 15 05:53:01 pml010070 aide[57175]:  STRIBOG256: FJPuiouF2Rs9qxvN9czdHdVbp1eAHdwc
 +Mar 15 05:53:01 pml010070 aide[57175]:              nVp7Q31aqCE=
 +Mar 15 05:53:01 pml010070 aide[57175]:  STRIBOG512: HMJSk//+5BxO2Z3620Zz4u/blN5yPvRC
 +Mar 15 05:53:01 pml010070 aide[57175]:              d0yzK7LYs9uC3cZx1GxpL6sBIWqMMn1x
 +Mar 15 05:53:01 pml010070 aide[57175]:              4rib/WieOl1eeUTP8YefKQ==
 +Mar 15 05:53:01 pml010070 aide[57175]: 
 +                                       
 +                                       End timestamp: 2025-03-15 05:53:01 +0100 (run time: 1m 52s)
 +Mar 15 05:53:01 pml010070 aide[57175]: Start timestamp: 2025-03-15 05:51:09 +0100 (AIDE 0.18.8)
 +Mar 15 05:53:01 pml010070 aide[57175]: AIDE found differences between database and filesystem!!
 +Mar 15 05:53:01 pml010070 aide[57175]: Summary:
 +Mar 15 05:53:01 pml010070 aide[57175]:   Total number of entries:        415370
 +Mar 15 05:53:01 pml010070 aide[57175]:   Added entries:                0
 +Mar 15 05:53:01 pml010070 aide[57175]:   Removed entries:                0
 +Mar 15 05:53:01 pml010070 aide[57175]:   Changed entries:                2
 +Mar 15 05:53:01 pml010070 aide[57175]: ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: Changed entries:
 +Mar 15 05:53:01 pml010070 aide[57175]: ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: d = ... mc.. .. : /etc/cups
 +Mar 15 05:53:01 pml010070 aide[57175]: d = ... mc..    : /root
 +Mar 15 05:53:01 pml010070 aide[57175]: ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: Detailed information about changes:
 +Mar 15 05:53:01 pml010070 aide[57175]: ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: Directory: /etc/cups
 +Mar 15 05:53:01 pml010070 aide[57175]:  Mtime     : 2025-03-13 13:49:27 +0100        | 2025-03-14 05:22:46 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]:  Ctime     : 2025-03-13 13:49:27 +0100        | 2025-03-14 05:22:46 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]: Directory: /root
 +Mar 15 05:53:01 pml010070 aide[57175]:  Mtime     : 2025-03-11 19:16:06 +0100        | 2025-03-13 17:47:03 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]:  Ctime     : 2025-03-11 19:16:06 +0100        | 2025-03-13 17:47:03 +0100
 +Mar 15 05:53:01 pml010070 aide[57175]: ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: The attributes of the (uncompressed) database(s):
 +Mar 15 05:53:01 pml010070 aide[57175]: ---------------------------------------------------
 +Mar 15 05:53:01 pml010070 aide[57175]: http://10.0.0.40/local/pml010070.aide-database
 +Mar 15 05:53:01 pml010070 aide[57175]:  MD5       : JkDe+MaQ3jiZXGx4TPiP9w==
 +Mar 15 05:53:01 pml010070 aide[57175]:  SHA1      : ulm0dLAs62vjmWKNuh6LyV3HORE=
 +Mar 15 05:53:01 pml010070 aide[57175]:  SHA256    : S/BG2ZPAZogkojazoc13F6sme84JWTik
 +Mar 15 05:53:01 pml010070 aide[57175]:              zH4ysMjRjnQ=
 +Mar 15 05:53:01 pml010070 aide[57175]:  SHA512    : o4mqYllOZrjONDaZP/hywLlZHcSv69Z1
 +Mar 15 05:53:01 pml010070 aide[57175]:              CkdMvaD3LZdr+bzK7zjwnpbG4nONTmDx
 +Mar 15 05:53:01 pml010070 aide[57175]:              p5sXILkYA+REaSrbAIft0Q==
 +Mar 15 05:53:01 pml010070 aide[57175]:  RMD160    : 1+EE+mVMQl0wLRZQk5qSwegYvLY=
 +Mar 15 05:53:01 pml010070 aide[57175]:  TIGER     : mvvYirLAo30g35dnku/8KcCkoHfg4Dz+
 +Mar 15 05:53:01 pml010070 aide[57175]:  CRC32     : h+Fz5Q==
 +Mar 15 05:53:01 pml010070 aide[57175]:  WHIRLPOOL : 5wn7egFu5xf5IPQnBCdZbRsz+UXf1BdQ
 +Mar 15 05:53:01 pml010070 aide[57175]:              QauE/6ZI2VaMzGs3antSVbmkHmCnMoWT
 +Mar 15 05:53:01 pml010070 aide[57175]:              xj4keofx/JSJWKvUUMLnnA==
 +Mar 15 05:53:01 pml010070 aide[57175]:  GOST      : iHuOTlg03FrPEX9ror1szxOomv/c+eUc
 +Mar 15 05:53:01 pml010070 aide[57175]:              olR6ymPJlBM=
 +Mar 15 05:53:01 pml010070 aide[57175]:  STRIBOG256: FJPuiouF2Rs9qxvN9czdHdVbp1eAHdwc
 +Mar 15 05:53:01 pml010070 aide[57175]:              nVp7Q31aqCE=
 +Mar 15 05:53:01 pml010070 aide[57175]:  STRIBOG512: HMJSk//+5BxO2Z3620Zz4u/blN5yPvRC
 +Mar 15 05:53:01 pml010070 aide[57175]:              d0yzK7LYs9uC3cZx1GxpL6sBIWqMMn1x
 +Mar 15 05:53:01 pml010070 aide[57175]:              4rib/WieOl1eeUTP8YefKQ==
 +Mar 15 05:53:01 pml010070 aide[57175]: End timestamp: 2025-03-15 05:53:01 +0100 (run time: 1m 52s)
 +Mar 15 05:53:01 pml010070 systemd[1]: aidecheck.service: Main process exited, code=exited, status=4/NOPERMISSION
 +Mar 15 05:53:01 pml010070 systemd[1]: aidecheck.service: Failed with result 'exit-code'.
 +Mar 15 05:53:01 pml010070 systemd[1]: aidecheck.service: Consumed 2min 36.983s CPU time, 708.7M memory peak.
 +</code>
 +++++
  
 +===== Fazit und Ausblick =====
 +<WRAP center round tip 80%>
 +Mit **AIDE** haben wir nun ein Instrument an der Hand, mit der wir die Dateisysteme unserer Host einfach auf Anomalien hin überwachen kann. Mit Hilfe unseres Ansible-Playbooks können wir nun auch nicht nur die Installation und Konfiguration des Aide-Daemon erledigen, sondern auch einfach die jeweiligen AIDE-DAtenbanken der Hosts nach Änderungen durch den Admin bzw. bei Updates oder Ansible-Läufen, aktuualisieren und automatisiert zum zentralen internen Repository-/Spiegelserver transverieren. Somit erübrigt sich ein Aufwändiges Signieren oder Wegsichern der Datenbank auf RO-Devices. Die AIDE-Datenbanken wir somit getrennt von den verwalteten Systemen gespeichert und ist folglich vor ungewollten Änderungen geschützt, sollte ein Remote-System kompromittiert worden sein! 
 +
 +In diesem Konfigurationsbeispiel wurde lediglich aufgezeigt, wie man einfach mit Hilfe von Ansible installieren, konfigurieren und Datenbanken der Host erstellen und wegsichern kann. Die AIDE-Protokolldateien müssen nun natürlich entsprechend überwacht und ausgewertet werden! Diesen Aspekt werden wir uns noch eingehend bei unserer Installation und Konfiguration eines zentralen Logauswertungstool wie z.B. [[centos:web_c7:graylog2|graylog]] 
 +noch im Detail ansehen!
 +</WRAP>
  
 +====== Links ======
 +  * **[[linux:ansible:detail|zurück zum Kapitel "Ansible - Erweiterte Konfigurationsbeispiele"]] <= **
 +  * **=> [[linux:dhcpd|weiter zum Kapitel "DNS Server für IPv4|6 unter Arch Linux einrichten und nutzen"]] <= **
 +  * **[[linux:start#ansible|Zurück zur "Ansible"-Übersicht]]**
 +  * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
 +  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
  
-FIXME FIXME FIXME 
  • linux/aide.1741959175.txt.gz
  • Zuletzt geändert: 14.03.2025 13:32.
  • von django