本文主要是介绍Linux 入侵检测AIDE,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1、AIDE
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)和Tripwire都是目前unix下著名的文件系统完整性检查工具,采用的技术核心是对每个要监控的文件提前产生一个数字签名并保存在系统中,当文件当前数字签名与保留的数字签名不一致时,那么说明我们检测的文件已经发生了改动,需要核对了。
AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5/sha校验值在内的各种特征。
AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。
2、安装配置AIDE
[root@VM_0_11_centos etc]# yum install -y aide
默认配置文件是/etc/aide.conf,该文件介绍了几个示例保护规则(如FIPSR,NORMAL,DIR,DATAONLY),各个规则后面跟着一个等号以及要检查的文件属性列表,或者某些预定义的规则(由+分隔)。你也可以使用此种格式自定义规则。
# These are the default rules.
#
#p: permissions
#i: inode:
#n: number of links
#u: user
#g: group
#s: size
#b: block count
#m: mtime
#a: atime
#c: ctime
#S: check for growing size
#acl: Access Control Lists
#selinux SELinux security context
#xattrs: Extended file attributes
#md5: md5 checksum
#sha1: sha1 checksum
#sha256: sha256 checksum
#sha512: sha512 checksum
#rmd160: rmd160 checksum
#tiger: tiger checksum#haval: haval checksum (MHASH only)
#gost: gost checksum (MHASH only)
#crc32: crc32 checksum (MHASH only)
#whirlpool: whirlpool checksum (MHASH only)FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256#R: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
#L: p+i+n+u+g+acl+selinux+xattrs
# Extended content + file type + access.
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs# Some files get updated automatically, so the inode/ctime/mtime change
# but we want to know when the data inside them changes.
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256# Next decide what directories/files you want in the database. Aide
# uses a first match system. Put file specific instructions before generic
# matches. e.g. Put file matches before directories./boot/ CONTENT_EX
/bin/ CONTENT_EX
/sbin/ CONTENT_EX
/lib/ CONTENT_EX
/lib64/ CONTENT_EX
/opt/ CONTENT
3、测试
创建测试文件
[root@VM_0_11_centos tmp]# touch test.txt
[root@VM_0_11_centos tmp]#
修改/etc/aide.conf中的文件检查规则
#test aide
TEST=p+u+g+s
/tmp/test.txt TEST
初始化aide,生成一个文件检查数据库
[root@VM_0_11_centos tmp]# aide --initAIDE, version 0.15.1### AIDE database at /var/lib/aide/aide.db.new.gz initialized.[root@VM_0_11_centos tmp]#
修改生成的数据库文件名
[root@VM_0_11_centos ~]# aide
Couldn't open file /var/lib/aide/aide.db.gz for reading
[root@VM_0_11_centos ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
可以看到查询到test.txt文件更改了
[root@VM_0_11_centos ~]# aide
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-05 06:40:13Summary:Total number of files: 97752Added files: 0Removed files: 0Changed files: 5---------------------------------------------------
Changed files:
---------------------------------------------------changed: /tmp/test.txt
changed: /usr/local/qcloud/YunJing/log/ydservice.20200105.log
changed: /usr/local/qcloud/monitor/barad/log/dispatcher.log
changed: /usr/local/qcloud/monitor/barad/log/executor.log
changed: /usr/local/qcloud/stargate/logs/stargate.log
在构建了一个初始AIDE数据库后,作为不断进行的系统管理活动,你常常需要因为某些合法的理由更新受保护的服务器。每次服务器更新后,你必须重新构建AIDE数据库,以更新数据库内容。
[root@VM_0_11_centos ~]# aide --update
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2020-01-05 07:22:16
这篇关于Linux 入侵检测AIDE的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!