• AIDE入侵检测系统


    一、AIDE简介

    • AIDE(Advanced Intrusion Detection Environment)
    • 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
    • AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
    能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
    • 不应该对那些经常变动的文件进行检测,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

    二、安装配置

    1、安装

    yum install -y aide

    查看安装生成的文件

    1. [root@newhostname ~]# rpm -ql aide
    2. /etc/aide.conf #配置文件
    3. /etc/logrotate.d/aide
    4. /usr/sbin/aide #2进制文件
    5. /usr/share/doc/aide-0.15.1
    6. /usr/share/doc/aide-0.15.1/AUTHORS
    7. /usr/share/doc/aide-0.15.1/COPYING
    8. /usr/share/doc/aide-0.15.1/ChangeLog
    9. /usr/share/doc/aide-0.15.1/NEWS
    10. /usr/share/doc/aide-0.15.1/README
    11. /usr/share/doc/aide-0.15.1/README.quickstart
    12. /usr/share/doc/aide-0.15.1/contrib
    13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
    14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
    15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
    16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
    17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
    18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
    19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
    20. /usr/share/doc/aide-0.15.1/manual.html
    21. /usr/share/man/man1/aide.1.gz
    22. /usr/share/man/man5/aide.conf.5.gz
    23. /var/lib/aide #aide的数据库文件
    24. /var/log/aide #aide的日志

    2、配置aide

    首先我们先查看aide的配置文件 /etc/aide.conf

    1. @@define DBDIR /var/lib/aide
    2. @@define LOGDIR /var/log/aide
    3. 表示定义了两个变量,下面会直接引用这两个变量 DBDIR LOGDIR
    4. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
    5. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
    6. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
    7. report_url=stdout 表示输出到屏幕
    8. ---------------------------------------------------------------------
    9. 再往下的配置文件定义,需要检测的文件的权限,默认配置文件中就有说明,这里不再赘述
    10. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
    11. EVERYTHING = R+ALLXTRAHASHES
    12. DIR = p+i+n+u+g+acl+selinux+xattrs
    13. .
    14. .
    15. .
    16. 这些表示定义一些权限的集合
    17. /boot/ CONTENT_EX
    18. /bin/ CONTENT_EX
    19. /sbin/ CONTENT_EX
    20. /lib/ CONTENT_EX
    21. /lib64/ CONTENT_EX
    22. /opt/ CONTENT
    23. 这些是系统默认的检测的目录,其格式就是
    24. 目录 权限的集合 #这里应该明白是什么意思吧,就是,一个目录对应要检测的权限项目,而这个权限项目可以通过变量自己定义,或者直接引用系统默认的选项都行
    25. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了,就以/app为例
    26. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性,当DIR这些属性发生变化时会报警。

    现在我们来初始话aide的数据库

    1. [root@newhostname etc]# aide --init #初始化数据库
    2. AIDE, version 0.15.1
    3. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

    现在我们修改一下/app下的数据

    1. [root@newhostname etc]# cd /app/
    2. [root@newhostname app]# ll
    3. 总用量 28
    4. -rw-r--r--. 1 root root 57 17 21:21 fist.des3
    5. -rw-r--r--. 1 root root 16 16 19:44 fist_encrypt
    6. -rw-r--r--. 1 root root 16 17 21:21 new_file
    7. -rw-r--r--. 1 root root 1679 17 22:40 private_key
    8. -rw-------. 1 root root 1679 17 23:04 private_key.tmp
    9. -rw-r--r--. 1 root root 451 17 22:58 pub_key
    10. -rw-r--r--. 1 root root 1679 17 23:00 pub_key.tmp
    11. [root@newhostname app]# chown apache.apache /app/fist.des3

    我们修改了/app/fist.des3文件,现在我们使用aide来检测一下

    1. [root@newhostname app]# ls /var/lib/aide/
    2. aide.db.new.gz
    3. [root@newhostname app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名,为什么要改名,请看下上面配置文件的前两条
    4. aide的原理就是,将新老两个数据进行对比,属性不一致的条目就报警。
    1. [root@newhostname app]# aide --check
    2. AIDE 0.15.1 found differences between database and filesystem!!
    3. Start timestamp: 2018-01-10 21:30:42
    4. Summary:
    5. Total number of files: 239213
    6. Added files: 0
    7. Removed files: 0
    8. Changed files: 1
    9. ---------------------------------------------------
    10. Changed files:
    11. ---------------------------------------------------
    12. changed: /app/fist.des3
    13. ---------------------------------------------------
    14. Detailed information about changes:
    15. ---------------------------------------------------
    16. File: /app/fist.des3
    17. Uid : 0 , 48
    18. Gid : 0 , 48
    19. 已经检测除了我们改的那个文件的权限。

    下一步,我们更新是当前数据库为最新数据

    1. [root@newhostname app]# aide --update
    2. AIDE 0.15.1 found differences between database and filesystem!!
    3. Start timestamp: 2018-01-10 21:35:28
    4. Summary:
    5. Total number of files: 239213
    6. Added files: 0
    7. Removed files: 0
    8. Changed files: 1
    9. ---------------------------------------------------
    10. Changed files:
    11. ---------------------------------------------------
    12. changed: /app/fist.des3
    13. ---------------------------------------------------
    14. Detailed information about changes:
    15. ---------------------------------------------------
    16. File: /app/fist.des3
    17. Uid : 0 , 48
    18. Gid : 0 , 48
    19. update操作会生成一个新的aide.db.new.gz
    20. 现在我们需要将旧库删除,将新库改名
    21. -rw-------. 1 root root 9107067 110 21:10 aide.db.gz
    22. -rw-------. 1 root root 9107065 110 21:38 aide.db.new.gz
    23. [root@newhostname aide]# rm aide.db.gz
    24. rm:是否删除普通文件 "aide.db.gz"?y
    25. [root@newhostname aide]# mv aide.db.new.gz aide.db.gz

    aide简单的配置就完成了

    一、AIDE简介

    • AIDE(Advanced Intrusion Detection Environment)
    • 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
    • AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
    能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
    • 不应该对那些经常变动的文件进行检测,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

    二、安装配置

    1、安装

    yum install -y aide

    查看安装生成的文件

    1. [root@newhostname ~]# rpm -ql aide
    2. /etc/aide.conf #配置文件
    3. /etc/logrotate.d/aide
    4. /usr/sbin/aide #2进制文件
    5. /usr/share/doc/aide-0.15.1
    6. /usr/share/doc/aide-0.15.1/AUTHORS
    7. /usr/share/doc/aide-0.15.1/COPYING
    8. /usr/share/doc/aide-0.15.1/ChangeLog
    9. /usr/share/doc/aide-0.15.1/NEWS
    10. /usr/share/doc/aide-0.15.1/README
    11. /usr/share/doc/aide-0.15.1/README.quickstart
    12. /usr/share/doc/aide-0.15.1/contrib
    13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
    14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
    15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
    16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
    17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
    18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
    19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
    20. /usr/share/doc/aide-0.15.1/manual.html
    21. /usr/share/man/man1/aide.1.gz
    22. /usr/share/man/man5/aide.conf.5.gz
    23. /var/lib/aide #aide的数据库文件
    24. /var/log/aide #aide的日志

    2、配置aide

    首先我们先查看aide的配置文件 /etc/aide.conf

    1. @@define DBDIR /var/lib/aide
    2. @@define LOGDIR /var/log/aide
    3. 表示定义了两个变量,下面会直接引用这两个变量 DBDIR LOGDIR
    4. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
    5. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
    6. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
    7. report_url=stdout 表示输出到屏幕
    8. ---------------------------------------------------------------------
    9. 再往下的配置文件定义,需要检测的文件的权限,默认配置文件中就有说明,这里不再赘述
    10. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
    11. EVERYTHING = R+ALLXTRAHASHES
    12. DIR = p+i+n+u+g+acl+selinux+xattrs
    13. .
    14. .
    15. .
    16. 这些表示定义一些权限的集合
    17. /boot/ CONTENT_EX
    18. /bin/ CONTENT_EX
    19. /sbin/ CONTENT_EX
    20. /lib/ CONTENT_EX
    21. /lib64/ CONTENT_EX
    22. /opt/ CONTENT
    23. 这些是系统默认的检测的目录,其格式就是
    24. 目录 权限的集合 #这里应该明白是什么意思吧,就是,一个目录对应要检测的权限项目,而这个权限项目可以通过变量自己定义,或者直接引用系统默认的选项都行
    25. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了,就以/app为例
    26. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性,当DIR这些属性发生变化时会报警。

    现在我们来初始话aide的数据库

    1. [root@newhostname etc]# aide --init #初始化数据库
    2. AIDE, version 0.15.1
    3. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

    现在我们修改一下/app下的数据

    1. [root@newhostname etc]# cd /app/
    2. [root@newhostname app]# ll
    3. 总用量 28
    4. -rw-r--r--. 1 root root 57 17 21:21 fist.des3
    5. -rw-r--r--. 1 root root 16 16 19:44 fist_encrypt
    6. -rw-r--r--. 1 root root 16 17 21:21 new_file
    7. -rw-r--r--. 1 root root 1679 17 22:40 private_key
    8. -rw-------. 1 root root 1679 17 23:04 private_key.tmp
    9. -rw-r--r--. 1 root root 451 17 22:58 pub_key
    10. -rw-r--r--. 1 root root 1679 17 23:00 pub_key.tmp
    11. [root@newhostname app]# chown apache.apache /app/fist.des3

    我们修改了/app/fist.des3文件,现在我们使用aide来检测一下

    1. [root@newhostname app]# ls /var/lib/aide/
    2. aide.db.new.gz
    3. [root@newhostname app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名,为什么要改名,请看下上面配置文件的前两条
    4. aide的原理就是,将新老两个数据进行对比,属性不一致的条目就报警。
    1. [root@newhostname app]# aide --check
    2. AIDE 0.15.1 found differences between database and filesystem!!
    3. Start timestamp: 2018-01-10 21:30:42
    4. Summary:
    5. Total number of files: 239213
    6. Added files: 0
    7. Removed files: 0
    8. Changed files: 1
    9. ---------------------------------------------------
    10. Changed files:
    11. ---------------------------------------------------
    12. changed: /app/fist.des3
    13. ---------------------------------------------------
    14. Detailed information about changes:
    15. ---------------------------------------------------
    16. File: /app/fist.des3
    17. Uid : 0 , 48
    18. Gid : 0 , 48
    19. 已经检测除了我们改的那个文件的权限。

    下一步,我们更新是当前数据库为最新数据

    1. [root@newhostname app]# aide --update
    2. AIDE 0.15.1 found differences between database and filesystem!!
    3. Start timestamp: 2018-01-10 21:35:28
    4. Summary:
    5. Total number of files: 239213
    6. Added files: 0
    7. Removed files: 0
    8. Changed files: 1
    9. ---------------------------------------------------
    10. Changed files:
    11. ---------------------------------------------------
    12. changed: /app/fist.des3
    13. ---------------------------------------------------
    14. Detailed information about changes:
    15. ---------------------------------------------------
    16. File: /app/fist.des3
    17. Uid : 0 , 48
    18. Gid : 0 , 48
    19. update操作会生成一个新的aide.db.new.gz
    20. 现在我们需要将旧库删除,将新库改名
    21. -rw-------. 1 root root 9107067 110 21:10 aide.db.gz
    22. -rw-------. 1 root root 9107065 110 21:38 aide.db.new.gz
    23. [root@newhostname aide]# rm aide.db.gz
    24. rm:是否删除普通文件 "aide.db.gz"?y
    25. [root@newhostname aide]# mv aide.db.new.gz aide.db.gz

    aide简单的配置就完成了

    一、AIDE简介

    • AIDE(Advanced Intrusion Detection Environment)
    • 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
    • AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还
    能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
    • 不应该对那些经常变动的文件进行检测,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.

    二、安装配置

    1、安装

    yum install -y aide

    查看安装生成的文件

    1. [root@newhostname ~]# rpm -ql aide
    2. /etc/aide.conf #配置文件
    3. /etc/logrotate.d/aide
    4. /usr/sbin/aide #2进制文件
    5. /usr/share/doc/aide-0.15.1
    6. /usr/share/doc/aide-0.15.1/AUTHORS
    7. /usr/share/doc/aide-0.15.1/COPYING
    8. /usr/share/doc/aide-0.15.1/ChangeLog
    9. /usr/share/doc/aide-0.15.1/NEWS
    10. /usr/share/doc/aide-0.15.1/README
    11. /usr/share/doc/aide-0.15.1/README.quickstart
    12. /usr/share/doc/aide-0.15.1/contrib
    13. /usr/share/doc/aide-0.15.1/contrib/aide-attributes.sh
    14. /usr/share/doc/aide-0.15.1/contrib/bzip2.sh
    15. /usr/share/doc/aide-0.15.1/contrib/gpg2_check.sh
    16. /usr/share/doc/aide-0.15.1/contrib/gpg2_update.sh
    17. /usr/share/doc/aide-0.15.1/contrib/gpg_check.sh
    18. /usr/share/doc/aide-0.15.1/contrib/gpg_update.sh
    19. /usr/share/doc/aide-0.15.1/contrib/sshaide.sh
    20. /usr/share/doc/aide-0.15.1/manual.html
    21. /usr/share/man/man1/aide.1.gz
    22. /usr/share/man/man5/aide.conf.5.gz
    23. /var/lib/aide #aide的数据库文件
    24. /var/log/aide #aide的日志

    2、配置aide

    首先我们先查看aide的配置文件 /etc/aide.conf

    1. @@define DBDIR /var/lib/aide
    2. @@define LOGDIR /var/log/aide
    3. 表示定义了两个变量,下面会直接引用这两个变量 DBDIR LOGDIR
    4. database=file:@@{DBDIR}/aide.db.gz 表示数据库的位置
    5. database_out=file:@@{DBDIR}/aide.db.new.gz 表示检测的数据库的位置
    6. report_url=file:@@{LOGDIR}/aide.log aide的日志文件
    7. report_url=stdout 表示输出到屏幕
    8. ---------------------------------------------------------------------
    9. 再往下的配置文件定义,需要检测的文件的权限,默认配置文件中就有说明,这里不再赘述
    10. ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
    11. EVERYTHING = R+ALLXTRAHASHES
    12. DIR = p+i+n+u+g+acl+selinux+xattrs
    13. .
    14. .
    15. .
    16. 这些表示定义一些权限的集合
    17. /boot/ CONTENT_EX
    18. /bin/ CONTENT_EX
    19. /sbin/ CONTENT_EX
    20. /lib/ CONTENT_EX
    21. /lib64/ CONTENT_EX
    22. /opt/ CONTENT
    23. 这些是系统默认的检测的目录,其格式就是
    24. 目录 权限的集合 #这里应该明白是什么意思吧,就是,一个目录对应要检测的权限项目,而这个权限项目可以通过变量自己定义,或者直接引用系统默认的选项都行
    25. 在这个配置文件中我们只需要将我们需要特定的目录加以配置就可以了,就以/app为例
    26. /app DIR #表示我们检测 /app 这个目录的 DIR 这些属性,当DIR这些属性发生变化时会报警。

    现在我们来初始话aide的数据库

    1. [root@newhostname etc]# aide --init #初始化数据库
    2. AIDE, version 0.15.1
    3. ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

    现在我们修改一下/app下的数据

    1. [root@newhostname etc]# cd /app/
    2. [root@newhostname app]# ll
    3. 总用量 28
    4. -rw-r--r--. 1 root root 57 17 21:21 fist.des3
    5. -rw-r--r--. 1 root root 16 16 19:44 fist_encrypt
    6. -rw-r--r--. 1 root root 16 17 21:21 new_file
    7. -rw-r--r--. 1 root root 1679 17 22:40 private_key
    8. -rw-------. 1 root root 1679 17 23:04 private_key.tmp
    9. -rw-r--r--. 1 root root 451 17 22:58 pub_key
    10. -rw-r--r--. 1 root root 1679 17 23:00 pub_key.tmp
    11. [root@newhostname app]# chown apache.apache /app/fist.des3

    我们修改了/app/fist.des3文件,现在我们使用aide来检测一下

    1. [root@newhostname app]# ls /var/lib/aide/
    2. aide.db.new.gz
    3. [root@newhostname app]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 这里我们需要改名,为什么要改名,请看下上面配置文件的前两条
    4. aide的原理就是,将新老两个数据进行对比,属性不一致的条目就报警。
    1. [root@newhostname app]# aide --check
    2. AIDE 0.15.1 found differences between database and filesystem!!
    3. Start timestamp: 2018-01-10 21:30:42
    4. Summary:
    5. Total number of files: 239213
    6. Added files: 0
    7. Removed files: 0
    8. Changed files: 1
    9. ---------------------------------------------------
    10. Changed files:
    11. ---------------------------------------------------
    12. changed: /app/fist.des3
    13. ---------------------------------------------------
    14. Detailed information about changes:
    15. ---------------------------------------------------
    16. File: /app/fist.des3
    17. Uid : 0 , 48
    18. Gid : 0 , 48
    19. 已经检测除了我们改的那个文件的权限。

    下一步,我们更新是当前数据库为最新数据

    1. [root@newhostname app]# aide --update
    2. AIDE 0.15.1 found differences between database and filesystem!!
    3. Start timestamp: 2018-01-10 21:35:28
    4. Summary:
    5. Total number of files: 239213
    6. Added files: 0
    7. Removed files: 0
    8. Changed files: 1
    9. ---------------------------------------------------
    10. Changed files:
    11. ---------------------------------------------------
    12. changed: /app/fist.des3
    13. ---------------------------------------------------
    14. Detailed information about changes:
    15. ---------------------------------------------------
    16. File: /app/fist.des3
    17. Uid : 0 , 48
    18. Gid : 0 , 48
    19. update操作会生成一个新的aide.db.new.gz
    20. 现在我们需要将旧库删除,将新库改名
    21. -rw-------. 1 root root 9107067 110 21:10 aide.db.gz
    22. -rw-------. 1 root root 9107065 110 21:38 aide.db.new.gz
    23. [root@newhostname aide]# rm aide.db.gz
    24. rm:是否删除普通文件 "aide.db.gz"?y
    25. [root@newhostname aide]# mv aide.db.new.gz aide.db.gz

    aide简单的配置就完成了

  • 相关阅读:
    sql中not exists的用法
    jsp中target="_blank"的用法
    jsp 运用 session 登录输出
    jsp留言板
    编写JSP 实现用户登录并判断用户或密码
    jsp打印九九乘法表
    jsp输出当前时间
    jsp输出金字塔
    jsp输出5的阶乘
    jdbc练习3
  • 原文地址:https://www.cnblogs.com/momenglin/p/8486064.html
Copyright © 2020-2023  润新知