AIDE --Linux高级入侵检测
AIDE--(文件系统)高级入侵检测
1、aide的概述
AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
常见的入侵检测软件:
1、tripwire--操作比较复杂
2、aide--用以代替tripwire的一款新产品
文件系统入侵检测的原理:
1、当系统处于健康状态时,把系统所有的文件做各种指纹的检验,得出一个检验基准数据库。
2、不是所有的文件都需要保存指纹,临时文件(/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm...)
3、需要检验文件是否被更改,只需要把基准数据对应指纹值做对比,就可以得知哪些文件被更改过。
4、每天把检验的结果以邮件或者其它方式发送管理员。
2、aide部署
1.从结帽官方获取最新的src rpm包
# wget ftp://ftp.redhat.com/redhat/linux/enterprise/5Server/en/os/SRPMS/aide-0.13.1-6.el5.src.rpm
# rpm -ivh aide-0.13.1-6.el5.src.rpm
# rpmbuild -bb /usr/src/redhat/SPEC/aide.spec
# rpm -ivh /usr/src/redhat/RPMS/i386/aide-0.13.1-6.el5.src.rpm
或者直接用yum来安装
#yum -y install aide
3、aide的初级使用
1)新建一个目录,里边放一些测试文件
# mkdir /aide_test_check
# cp /etc/hosts* /aide_test_check
# grep -v ^# /etc/aide.conf |grep -v ^$ > /etc/aide2.conf
# mv /etc/aide2.conf /etc/aide.conf
mv: overwrite `/etc/aide.conf'? y
2)定义配置文件,及被临控的目录
# cp /etc/aide.conf /etc/aide.conf.bak
# vim /etc/aide.conf
@@define DBDIR /var/lib/aide--基准数据库目录
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz--基准数据库文件
database_out=file:@@{DBDIR}/aide.db.new.gz--更新数据库文件
gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
R=p+i+n+u+g+s+m+c+acl+xattrs+md5
L=p+i+n+u+g+acl+xattrs
>=p+u+g+i+n+S+acl+xattrs
ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
EVERYTHING = R+ALLXTRAHASHES
NORMAL = R+rmd160+sha256
DIR = p+i+n+u+g+acl+xattrs
PERMS = p+i+u+g+acl
LOG = >
LSPP = R+sha256
DATAONLY = p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger
/aide_check_test NORMAL
3)初始化数据库:
# /usr/sbin/aide -c /etc/aide.conf --init
AIDE, version 0.13.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
4)把初始化的数据库当做基准数据库
# cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
5)测试AIDE能否发现文件更改
# cp /etc/passwd /aide_test_check/
# rm -rf /aide_test_check/hosts
# echo hello > /aide_test_check/hosts.allow
# /usr/sbin/aide -c /etc/aide.conf --check
# /usr/sbin/aide -c /etc/aide.conf --check
AIDE found differences between database and filesystem!!
Start timestamp: 2012-07-10 15:03:17
Summary:
Total number of files: 6
Added files: 1
Removed files: 1
Changed files: 2
---------------------------------------------------
Added files:
---------------------------------------------------
added: /aide_test_check/passwd
---------------------------------------------------
Removed files:
---------------------------------------------------
removed: /aide_test_check/hosts
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /aide_test_check
changed: /aide_test_check/hosts.allow
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
Directory: /aide_test_check
Mtime : 2012-07-10 14:43:18 , 2012-07-10 14:54:40
Ctime : 2012-07-10 14:43:18 , 2012-07-10 14:54:40
File: /aide_test_check/hosts.allow
Size : 161 , 166
Mtime : 2012-07-10 14:43:18 , 2012-07-10 14:54:40
Ctime : 2012-07-10 14:43:18 , 2012-07-10 14:54:40
Inode : 1678982 , 1678985
MD5 : Jf16ip7EeUlg7xmKYPZtIg== , fbZt8P2s5dOjQHh3Wer2UQ==
RMD160 : sZxwc595gS7oA92r3vt/0bf6IvE= , XIEY/gh5Xl+ucwrwLkbk8DFr0Mo=
SHA256 : 2xfzPtX0u7LS231etvkgOCGqrDK0ViKj , M5Gh2f/I2GwR4fF6eNhF+5LM3gob226S
6)如果上面的更改合法的操作,需要更新基准数据库:
# /usr/sbin/aide -c /etc/aide.conf --update
# cd /var/lib/aide
# cp aide.db.new.gz aide.db.gz
cp: overwrite `aide.db.gz'? y
7)把报告发往邮箱:
# /usr/sbin/aide -c /etc/aide.conf --check |mail -s "test aide" root@localhost
转自:http://blog.51cto.com/gupt12/1263183
AIDE --Linux高级入侵检测相关推荐
- sha256校验工具_使用AIDE工具做入侵检测
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性.AIDE能够构造一个指定文档的数据库,他使用 ...
- libnet、libnids、libpcap轻松搭建Linux网络入侵检测系统
利用三个源码包libnet.libnids.libpcap轻松搭建Linux网络入侵检测系统 如果要搭建基于Linux的网络入侵检测系统,必须要安装libnet.libnids.libpcap这三个源 ...
- 安全运维之:Linux后门入侵检测工具的使用
推荐:10年技术力作:<高性能Linux服务器构建实战Ⅱ>全网发行,附试读章节和全书实例源码下载! 一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要 ...
- Linux后门入侵检测工具 rkhunter 安装使用
一.简介: Rkhunter的中文名叫"Rootkit猎手", 目前可以发现大多数已知的rootkits和一些嗅探器以及后门程序.它通过执行一系列的测试脚本来确认服务器是否已经感染 ...
- linux后门入侵检测工具RKHUnter和ClamAV的使用
一.关于rootkit rookit是linux平台下最常见的一种木马后门工具,他主要通过替换系统文件来达到攻击和隐藏的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种 ...
- Linux网络入侵检测系统
Linux网络入侵检测系统 http://www.ifind.cc/view/195
- Linux系统之AIDE(入侵检测工具)
AIDE简介: AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性.能够使用下列算法: sha1 ...
- OSSEC-hids 主机入侵检测系统概述
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外.作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的.及时反制入侵行 ...
- OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测
<OpenShift / RHEL / DevSecOps 汇总目录> 说明:本文已经在OpenShift 4.9环境中验证 文章目录 File Integrity Operator 功能 ...
最新文章
- Redis初学:4(Redis的常用命令)
- matlab 斐波那契数列Fibonacci Sequence
- dev 点击子控件触发panelcontrol事件_LINUX IIO子系统分析之二 IIO子系统数据结构分析...
- maven中pom.xml中依赖包代码的查询地址
- 在linux上实现DllMain + 共享库创建方法
- 4固定在底部_有线鼠标之灵魂伴侣,火线竞技4号RGB鼠标线夹
- 操作excel方便么_【Excel好推荐】专业仪表板
- nim3取石子游戏 (威佐夫博弈)
- 电视机关机特效——android
- C++:缺省参数是怎样设置的?
- 公众号文章写作学习|《写作,是最好的自我投资》干货整理
- 【Si24R2F+ Demo板】介绍说明与使用建议
- BLE - 连接时触发配对
- 实现对光网络的监控和光路切换 - MEMS 光开关
- 如何打开扩展名为.DB 文件. 使用sqlite3 很方便
- 4位数码管显示模块TM1637芯片C语言驱动程序
- 大学生必备的十大网站有哪些?
- MySQL SQL语句 生成32位 UUID
- 使用Swagger自动生成接口文档
- 数学建模——种群竞争模型