|
互联网高速发展的今天,每天网络环境中都会产生数以亿计的攻击。严重的网络崩溃,亦或网页被篡改,使得企业互联网业务瘫痪。作为一名合格的Linux运维程序员,你是如何察觉互联网业务已遭受攻击的呢?今天就跟大家推荐一个能够随时检测Linux入侵的小工具~ AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,是Tripwire的一个替代品。 AIDE检测原理 AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。AIDE还可以配置为定时运行,利用cron等日程调度技术,每日对系统进行检测报告。 这个系统主要用于运维安全检测,AIDE会向管理员报告系统里所有的恶意更迭情况。 AIDE的特性
一、AIDE安装和配置1.1 安装AIDE软件 [root@localhost ~]#yum install aide 1.2 修改配置文件 [root@localhost ~]#vim /etc/aide.confdatabase=file:@@{DBDIR}/aide.db.gz #系统镜像库位置database_out=file:@@{DBDIR}/aide.db.new.gz #新生成系统镜像库,默认在/var/lib/aide/下# Next decide whatdirectories/files you want in the database./boot NORMAL/bin NORMAL/sbin NORMAL/lib NORMAL/lib64 NORMAL#/opt NORMAL #注释不检查目录/usr NORMAL/root NORMAL# These are too volatile ,排除掉个别不检查的目录!/usr/src!/usr/tmp#根据需求在下面添加新的检测目录/etc/exports NORMAL/etc/fstab NORMAL/etc/passwd NORMA1.3 配置文件详解 二、AIDE使用2.1 定义规则 编辑配置文件/etc/adie.conf,定义一个规则变量mon,监控/app目录下所有文件,不监控/app目录下的log文件。 [root@localhost ~]# vim /etc/aide.conf mon = p+u+g+sha512+m+a+c /app mon !/app/*.log 2.2 创建数据库 生成数据库文件,在配置文件中定义各文件计算各校验码放入数据库中,用于以后比对。从提示中看出生成了一个/var/lib/aide/aide.db.new.gz数据库文件,这个数据库文件为初始数据库,如果进行入侵检测将与/var/lib/aide/aide.db.gz数据库文件作比对,如果发现两个数据库不一致则提示被入侵。 [root@localhost ~]# aide --initAIDE, version 0.15.1### AIDE database at /var/lib/aide/aide.db.new.gz initialized. 2.3 模拟文件被入侵更改 模拟增加一个文件,向/app目录 下增加一个文件passwd [root@localhost bin]# mkdir /app[root@localhost bin]# cp /etc/passwd /app/[root@localhost bin]# cd /app/[root@localhost app]# lspasswd 注意: AIDE的检测机制是计算出现在的数据库后与aide.db.gz比对。aide.db.gz默认又不存在,所以要将之前的创建的初始化数据库aide.db.new.gz改名为aide.db.gz。 2.4 入侵检测 [root@localhost app]# aide -C 2.5 设置任务计划,定期检测 [root@localhost ~]#crontab –e30 11 * * * /usr/sbin/aide --check--report=file:/tmp/aide-check-` date +%Y%m%d `.txt#每天早上08:30执行一次 也可以将信息发送到邮件 30 08 * * * /usr/sbin/aide --check| mail –s “AIDE report“ test@163.com |
|
|
