March 7, 2026

Intrusion Detection auf Linux: AIDE und Auditd als Setup-Bausteine

Intrusion Detection auf Linux-Systemen ist ein essenzieller Bestandteil der Systemsicherheit. Tools wie AIDE (Advanced Intrusion Detection Environment) und auditd ermöglichen die Überwachung von Dateiänderungen, Systemaufrufen und sicherheitsrelevanten Ereignissen. In diesem Tutorial lernen Sie, wie Sie AIDE und auditd installieren, konfigurieren und in den täglichen Betrieb integrieren.

AIDE: Dateiintegrität überwachen

AIDE erstellt eine Datenbank der Prüfsummen wichtiger Systemdateien und vergleicht diese regelmäßig, um unautorisierte Änderungen zu erkennen.

Installation

# Debian / Ubuntu
sudo apt update
sudo apt install aide

RHEL / CentOS / Rocky / AlmaLinux


sudo dnf install aide

Initiale Datenbank erstellen

Nach der Installation müssen Sie die AIDE-Datenbank initialisieren, die als Referenz für Integritätsprüfungen dient:

sudo aideinit
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Prüfen der Integrität

Regelmäßig können Sie die Integrität des Systems prüfen:

sudo aide --check

Konfiguration anpassen

Die Hauptkonfiguration befindet sich in /etc/aide/aide.conf. Hier definieren Sie zu überwachende Verzeichnisse, Dateitypen und Prüfsummenmethoden.

  • Verzeichnisse: /etc, /bin, /usr/bin
  • Prüfsummenmethoden: SHA256, RMD160
  • Optionale Filter: Dateien ignorieren, temporäre Dateien ausschließen

Auditd: Systemaufrufe und sicherheitsrelevante Ereignisse überwachen

Auditd ist das Linux Audit Framework, das Systemaufrufe, Login-Versuche und Berechtigungsänderungen protokolliert.

Installation

# Debian / Ubuntu
sudo apt install auditd audispd-plugins

RHEL / CentOS / Rocky / AlmaLinux


sudo dnf install audit

Auditd starten und aktivieren

sudo systemctl start auditd
sudo systemctl enable auditd
sudo systemctl status auditd

Regeln definieren

Audit-Regeln legen fest, welche Ereignisse protokolliert werden:

# Beispiel: Änderungen an /etc/passwd überwachen
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

Login-Versuche überwachen


sudo auditctl -w /var/log/auth.log -p wa -k auth_logs

Audit-Logs prüfen

Die Logs befinden sich in /var/log/audit/audit.log. Sie können sie mit ausearch oder aulast analysieren:

# Letzte Änderungen an /etc/passwd anzeigen
sudo ausearch -k passwd_changes

Login-Ereignisse filtern


sudo ausearch -k auth_logs

Best Practices

  • AIDE-Checks regelmäßig über cron oder systemd-timer automatisieren
  • Auditd-Regeln nur für relevante Dateien und Verzeichnisse setzen, um Log-Flut zu vermeiden
  • Logs rotieren und archivieren, z.B. via logrotate
  • Prüfen, dass Prüfsummenmethoden aktuell sind (SHA256 empfohlen)
  • Testumgebung nutzen, bevor Regeln auf Produktivsystemen angewendet werden
  • Alarmierung bei kritischen Änderungen via E-Mail oder SIEM integrieren
  • Dokumentation der Regeln und Ausnahmen führen

Integration von AIDE und Auditd

Für maximale Sicherheit empfiehlt sich eine Kombination beider Tools:

  • AIDE überwacht Dateiänderungen und Integrität
  • Auditd überwacht Systemaufrufe, Logins und Berechtigungsänderungen
  • Regelmäßige Reports und Alerts erlauben schnelles Eingreifen bei Vorfällen

Fazit für den täglichen Betrieb

Mit AIDE und auditd als Bausteine einer Intrusion Detection können Linux-Server proaktiv überwacht werden. Regelmäßige Prüfungen, Updates und angepasste Regeln gewährleisten, dass Änderungen erkannt werden, bevor sie Schaden anrichten. Zusammen mit zentralisiertem Logmanagement lässt sich so ein robustes Sicherheitsframework aufbauen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host