AIDE
: نظرة عامة
AIDE هو نظام كشف التسلل المعتمد على الملفات (HIDS)
بيراقب الملفات الحرجة على النظام، ويقارنها مع قاعدة بيانات محفوظة
لو أي ملف تم تعديله، حُذف أو انضاف فجأة… رح تعرف
: 🗂️ فئة التصنيف
الأمن السيبراني / Blue Team
حماية الملفات
كشف التهديدات الداخلية
: التثبيت
sudo apt update
sudo apt install aide
: الإعداد الأساسي
راح يعطيك تقرير فيه كل التغييرات الي صارت من وقت إنشاء القاعدة
: إنشاء قاعدة بيانات أولية
sudo aideinit
نسخ القاعدة الجديدة للمكان الفعلي
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
: تشغيل الفحص
sudo aide –check
: المميزات الرئيسية
| الوصف |
| يكتشف أي تعديل، حذف أو إضافة لملفات النظام المهمة |
| يخزن الحالة الأصلية للملفات للمقارنة لاحقًا |
| يكشف حتى هجمات داخلية أو تسلل محلي (insider threats) |
| أداء عالي وما بيستهلك موارد كتيرة |
| ممكن تضيف سكربتات لإرسال إيميلات بالتقارير |
| الميزة |
| كشف التغييرات |
| قاعدة بيانات مشفرة |
| حماية داخلية |
| سريع وخفيف |
| يدعم إرسال تنبيهات |
: مثال لتحديث القاعدة بعد التغييرات المسموحة
sudo aide –update
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
بتعمل هالخطوة فقط إذا التغييرات “مقصودة” مثل تحديث النظام
: ملاحظات مهمة
لازم تخزن نسخة من القاعدة الأصلية بمكان آمن (مثل USB أو offline system)
ممكن تدمجه مع cron لتشغيل فحص يومي تلقائي
مناسب للأنظمة المهمة زي السيرفرات أو أجهزة إدارة الشبكات