网站首页 • 包含标签 AIDE 的所有文章
-
使用AIDE工具做入侵检测
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。 实验目的: Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。 使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。 步骤 实现此案例需要按照如下步骤进行。 步骤一:部署AIDE入侵检测系统 1)安装软件包 [root@proxy ~]# yum -y install aide 2) 修改配置文件 确定对哪些数据进行校验,如何校验数据 [root@proxy ~]# vim /etc/aide.conf @@define DBDIR /var/lib/aide //数据库目录 @@define LOGDIR /var/log/aide //日志目录 database_out=file:@@{DBDIR}/aide.db.new.gz //数据库文件名 //一下内容为可以检查的项目(权限,用户,组,大小,哈希值等) #p: permissions #i: inode: #n: number of links #u: user #g: group #s: size #md5: md5 checksum #sha1: sha1 checksum #sha256: sha256 checksum DATAONLY = p n u g s acl selinux xattrs sha256 //以下内容设置需要对哪些数据进行入侵校验检查 //注意:为了校验的效率,这里将所有默认的校验目录与文件都注释 //仅保留/root目录,其他目录都注释掉 /root DATAONLY #/boot NORMAL //对哪些目录进行什么校验 #/bin NORMAL #/sbin NORMAL #/lib NORMAL #/lib64 NORMAL #/opt NORMAL #/usr NORMAL #!/usr/src //使用[!],设置不校验的目录 #!/usr/tmp 步骤二:初始化数据库,入侵后检测 1)入侵前对数据进行校验,生成初始化数据库 [root@proxy ~]# aide --init AIDE, version 0.15.1 AIDE database at /var/lib/aide/aide.db.new.gz initialized. //生成校验数据库,数据保存在/var/lib/aide/aide.db.new.gz 2)备份数据库,将数据库文件拷贝到U盘(非必须的操作) [root@proxy ~]# cp /var/lib/aide/aide.db.new.gz /media/ 3)入侵后检测 [root@proxy ~]# cd /var/lib/aide/ [root@proxy ~]# mv aide.db.new.gz aide.db.gz [root@proxy ~]# aide --check //检查哪些数据发生了变化 QQ群号:979727860 点击链接加入群聊:https://jq.qq.com/?_wv=1027&k=FDmmUxxL CEKNoNimQH-f1Ra94?imageView/2/w/800" title="使用AIDE工具做入侵检测" alt="使用AIDE工具做入侵检测" border="0" width="750px" height="1344px" />...