创新路
我们一直在努力

Linux之AIDE入侵检测

一、AIDE:AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。(以上摘选至百度百科)

二、安装部署

    1.装包 

        [root@lxy ~]# yum -y install aide        //一般的软件库都有

    2.修改配置文件

        配置文件:/etc/aide.conf        

        @@define DBDIR /var/lib/aide                                //校验后数据库存放位置

        @@define LOGDIR /var/log/aide                            //软件日志目录

        database=file:@@{DBDIR}/aide.db.gz                    //检校时参考的数据库文件名

        database_out=file:@@{DBDIR}/aide.db.new.gz      //校验结果数据库文件名称

        //需要校验检测的文件属性项目

        #p:      permissions             //文件权限

        #i:       inode:                      //文件i节点

        #n:      number of links      //文件链接数

        #u:      user                        //文件所属用户

        #g:      group                     //文件所属组

        #s:       size                        //文件大小

        #md5:    md5 checksum   //文件md5 值

        #sha1:    sha1 checksum   //文件sha1值

        #sha256:        sha256 checksum    //文件哈希值

        DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256  //把上面需要的校验的项目组成一个组,并且可以同时拥有更多的组

        /root   DATAONLY                  //对需要校验的目录校验,并使用什么校验组

        #!/usr/src                                //可以!,设置不校验的目录

 三、使用

    1.先初始化数据库,因为aide是根据对比数据库中的内容进行校验

        aide –init                            //先生成初始化数据库,以后面对比校验

        mv aide.db.new.gz aide.db.gz     //默认生成数据库为aide.db.new.gz,改名为aide.db.gz,后面aide默认对照数据库名为aide.db.gz

    2.修改文件

        echo 1 > /root/a.txt

    3.入侵检测

         aide –check                            //检测入侵,默认输出内容为屏幕

            –report=file:文件输出位置   //可以添加选项输出到文件

    4.更新数据库内容

        aide  –update

        mv aide.db.new.gz aide.db.gz 

    

未经允许不得转载:天府数据港官方信息博客 » Linux之AIDE入侵检测

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机