汕头快速建站模板,现在标书都从哪个网站下载,1688平台,网站设计网页配色一、AIDE 系统入侵检测工具简介 AIDE#xff0c;全称为Advanced Intrusion Detection Environment#xff0c;是一个主要用于检测文件完整性的入侵检测工具。它能够构建一个指定文件的数据库#xff0c;并使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性全称为Advanced Intrusion Detection Environment是一个主要用于检测文件完整性的入侵检测工具。它能够构建一个指定文件的数据库并使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性包括权限、索引节点序号、所属用户、所属用户组、文件大小、最后修改时间、创建时间、最后访问时间、增加的大小以及连接数等。此外AIDE还支持多种算法如sha1、md5、rmd160、tiger等以密文形式建立每个文件的校验码或散列号。然而这个数据库不应保存经常变动的文件信息例如日志文件、邮件、/proc文件系统、用户起始目录以及临时目录等。当操作系统被入侵时可以通过对比基准数据库来获取文档的改变情况。这种方式能够帮助用户快速发现异常情况从而及时进行应对。博文以centos7环境安装和使用AIDE为例进行介绍环境说明
操作系统centos7.6aide版本0.15.1
二、AIDE安装及使用示例
1、yum安装aide aide工具 [roots166 ~]# yum install -y aide Running transaction 正在安装 : aide-0.15.1-13.el7_9.1.x86_64 1/1 验证中 : aide-0.15.1-13.el7_9.1.x86_64 1/1 已安装: aide.x86_64 0:0.15.1-13.el7_9.1 完毕 2、检查aide.conf配置文件 AIDE作为入侵检测工具本质上是一个文件完整性校验工具可以监测和校验配置文件指定的重要文件的完整性通过MD5、SHA值校验文档是否被更新修改如果发生变动则通过检测后确认是管理者主动修改还是入侵者执行的改动。 [roots166 ~]# cat /etc/aide.conf |grep -Ev “^#|^$” define DBDIR /var/lib/aide define LOGDIR /var/log/aide databasefile:{DBDIR}/aide.db.gz database_outfile:{DBDIR}/aide.db.new.gz gzip_dboutyes verbose5 report_urlfile:{LOGDIR}/aide.log report_urlstdout FIPSR pinugsmcaclselinuxxattrssha256 ALLXTRAHASHES sha1rmd160sha256sha512tiger EVERYTHING RALLXTRAHASHES NORMAL sha256 DIR pinugaclselinuxxattrs PERMS pugaclselinuxxattrs STATIC pugaclselinuxxattrsinbcftype LOG pugnaclselinuxftype CONTENT sha256ftype CONTENT_EX sha256ftypepugnaclselinuxxattrs DATAONLY pnugsaclselinuxxattrssha256 /boot/ CONTENT_EX /bin/ CONTENT_EX … /etc/hosts$ CONTENT_EX /etc/host.conf$ CONTENT_EX … 3、初始化配置数据库 为了获得系统入侵检测的初始数据我们需要先对aide数据库进行初始化使用i参数完成数据库初始化初始化生成的文件为aide.db.new.gz。使用-i或者–init初始化数据库。 [roots166 ~]# aide -i AIDE, version 0.15.1 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized. 4、检测配置数据库 使用-C或者–check参数检查数据库。 [roots166 aide]# aide --check 5、检测并更新配置数据库 更新数据库实际上是先检查然后更新即先检查文件变化然后更新输出到新的数据库文件。 [roots166 aide]# aide --update 6、对比配置数据库 比较数据库配置文件需要在配置文件中指定database和database_new参数。比较结果跟update和check是一样的。 [roots166 aide]# aide --compare 三、AIDE入侵检测使用简介 AIDE入侵检测工具的本质就是配置文件中指定文件的哈希值存储到数据库文件中在进行检测的时候进行再次计算并对比。只能发现有区别并不能告知区别明细。所以我们需要提前将待监控的文件进行备份在发现文件有改动更新之后进行对比以便修复还原。监控策略中包含权限、文件类型、ACL、时间属性等所以我们检测的内容不仅仅是文件大小的变化实际上也包括文件属性的相关参数。
1、修改hosts文件测试AIDE
修改/etc/hosts文件 [roots166 ~]# echo “192.168.0.1 gw” /etc/hosts [roots166 ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.0.166 s166 192.168.0.167 s167 192.168.0.168 s168 192.168.0.1 gw 重命名数据库初始化文件 [roots166 aide]# mv aide.db.new.gz aide.db.gz 执行aide数据库检查 [roots166 aide]# aide --check Entry /etc/hosts in databases has different attributes: b4020081d a4020081d … 2、增加一个用户测试比较配置数据库
修改配置文件指定数据库文件存储路径参数 [roots166 aide]# cat /etc/aide.conf |grep database … databasefile:{DBDIR}/aide.db.gz database_newfile:///var/lib/aide/aide.db.new database_outfile:///var/lib/aide/aide.db.new 增加一个用户 [roots166 aide]# useradd test 执行配置数据库更新 [roots166 aide]# aide --update 执行数据库对比
3、监控指定配置文件
编写一个针对指定文件监控的配置文件我可以复制aide.conf文件删除后面监控文件内容加入/home/test/a.conf CONTENT_EX这一行就是我们需要监控的配置文件及监控策略。测试后可以发现如果是初始化默认aide.conf配置文件还是需要一些时间的如果我们初始化自定义配置文件很快因为我们只自定义监控了1个文件而默认包含上百个文件。 [roots166 aide]# cat aidetest.conf |grep -Ev “^$|^#” define DBDIR /var/lib/aide define LOGDIR /var/log/aide databasefile:{DBDIR}/aide.db.gz database_outfile:{DBDIR}/aide.db.new.gz database_newfile:{DBDIR}/aide.db.new.gz gzip_dboutyes verbose5 report_urlfile:{LOGDIR}/aide.log report_urlstdout FIPSR pinugsmcaclselinuxxattrssha256 ALLXTRAHASHES sha1rmd160sha256sha512tiger EVERYTHING RALLXTRAHASHES NORMAL sha256 DIR pinugaclselinuxxattrs PERMS pugaclselinuxxattrs STATIC pugaclselinuxxattrsinbcftype LOG pugnaclselinuxftype CONTENT sha256ftype CONTENT_EX sha256ftypepugnaclselinuxxattrs DATAONLY pnugsaclselinuxxattrssha256 /home/test/a.conf CONTENT_EX 创建一个空配置文件 [roots166 test]# touch a.conf 初始化配置数据库 [roots166 aide]# aide -c aidetest.conf -i [roots166 aide]# mv aide.db.new.gz aide.db.gz 更新a.conf文件 [roots166 test]# echo “This is a change” a.conf 检查配置文件是否改动 [roots166 aide]# aide -c aidetest.conf -C 修改问权限 [roots166 test]# chmod -x a.conf 检查配置数据库 [roots166 aide]# aide -c aidetest.conf -C 将检查结果写入文件 [roots166 aide]# aide -c aidetest.conf -C -r file:/tmp/report #我们可以将检查结果写入文件这样我们就可以结合定时任务定期执行检查通过邮件见结果报告发送到管理者邮箱实现指定配置文件的监控。如果检查结果提示“### All files match AIDE database. Looks okay!”则表示配置文件没有改动如果包含其他哈希内容则表示文档有改动。 四、常用文件及策略参数说明
1、常用文件说明
/etc/aide.conf 服务默认配置文件/var/lib/aide.db.gz 默认aide数据库/var/lib/aide.db.new.gz 默认aide输出数据库
2、策略参数说明 配置文件中DIR pinugaclselinuxxattrs类似这样的参数配置均为定义的检查策略配置中默认定义了目录、静态文件、日志等文件类型的检测策略各参数说明如下我们参照选择即可。
策略参数参数说明p启用文件属性检查包括权限、所有者和组。u启用用户ID和组ID检查。g启用组ID检查。acl启用访问控制列表ACL检查。selinux启用SELinux上下文检查。xattrs启用扩展属性检查。i启用索引节点检查。n启用设备号和节点号检查。b启用块大小检查。c启用字符集检查。ftype启用文件类型检查。s启用大小检查包括文件大小和目录大小。m启用修改时间检查包括文件修改时间和目录修改时间。
