1、aide的概述
AIDE(Adevanced Intrusion Detection Environment,高級文件監控檢測環境)是個文件監控檢測工具,主要用途是檢查文本的完整性。
AIDE能夠構造一個指定文檔的數據庫,他使用aide.conf作爲其配置文檔。AIDE數據庫能夠保存文檔的各種屬性,包括:權限(permission)、索引節點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最後修改時間(mtime)、創建時間(ctime)、最後訪問時間(atime)、增加的大小連同連接數。AIDE還能夠使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每個文檔的校驗碼或散列號。
常見的檢測軟件:
1)tripwire--操作比較複雜
2)aide--用以代替tripwire的一款新產品
文件系統監控檢測的原理:
1)當系統處於健康狀態時,把系統所有的文件做各種指紋的檢驗,得出一個檢驗基準數據庫。
2)不是所有的文件都需要保存指紋,臨時文件(/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm...)
3)需要檢驗文件是否被更改,只需要把基準數據對應指紋值做對比,就可以得知哪些文件被更改過。
4)每天把檢驗的結果以郵件或者其它方式發送管理員。
2、aide部署
從結帽官方獲取最新的src rpm包
# wget ftp://ftp.RedHat.com/redhat/linux/enterprise/5Server/en/os/SRPMS/aide-0.13.1-6.el5.src.rpm
# rpm -ivh aide-0.13.1-6.el5.src.rpm
# rpmbuild -bb /usr/src/redhat/SPEC/aide.spec
# rpm -ivh /usr/src/redhat/RPMS/i386/aide-0.13.1-6.el5.src.rpm
或者直接用yum來安裝
#yum -y install aide
3、aide的初級使用
1)新建一個目錄,裏邊放一些測試文件
# mkdir /aide_test_check
# cp /etc/hosts* /aide_test_check
# grep -v ^# /etc/aide.conf |grep -v ^$ > /etc/aide2.conf
# mv /etc/aide2.conf /etc/aide.conf
mv: overwrite `/etc/aide.conf'? y
2)定義配置文件,及被臨控的目錄
# cp /etc/aide.conf /etc/aide.conf.bak
# vim /etc/aide.conf
@@define DBDIR /var/lib/aide--基準數據庫目錄
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db.gz--基準數據庫文件
database_out=file:@@{DBDIR}/aide.db.new.gz--更新數據庫文件
gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
R=p+i+n+u+g+s+m+c+acl+xattrs+md5
L=p+i+n+u+g+acl+xattrs
>=p+u+g+i+n+S+acl+xattrs
ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
EVERYTHING = R+ALLXTRAHASHES
NORMAL = R+rmd160+sha256
DIR = p+i+n+u+g+acl+xattrs
PERMS = p+i+u+g+acl
LOG = >
LSPP = R+sha256
DATAONLY = p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger
/aide_check_test NORMAL
3)初始化數據庫:
# /usr/sbin/aide -c /etc/aide.conf --init
AIDE, version 0.13.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.