AIDE文件系统高级入侵检测

最新推荐文章于 2023-11-21 08:30:00 发布
最新推荐文章于 2023-11-21 08:30:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: Linux safety
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaqq3561/article/details/41785899
版权

AIDE --(文件系统)高级入侵检测

1、aide的概述
AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。 
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。

常见的入侵检测软件:
 1、tripwire  --操作比较复杂
 2、aide   --用以代替tripwire的一款新产品

文件系统入侵检测的原理:
1、当系统处于健康状态时,把系统所有的文件做各种指纹的检验,得出一个检验基准数据库。
2、不是所有的文件都需要保存指纹,临时文件(/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm...)
3、需要检验文件是否被更改,只需要把基准数据对应指纹值做对比,就可以得知哪些文件被更改过。
4、每天把检验的结果以邮件或者其它方式发送管理员。

 

vim /etc/aide.conf

@@define DBDIR /var/lib/aide             ----定义标准数据库的位置
@@define LOGDIR /var/log/aide     

database=file:@@{DBDIR}/aide.db.gz   --基准数据库文件
database_out=file:@@{DBDIR}/aide.db.new.gz --更新数据库文件


gzip_dbout=yes
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
R=p+i+n+u+g+s+m+c+acl+xattrs+md5
L=p+i+n+u+g+acl+xattrs
>=p+u+g+i+n+S+acl+xattrs
ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
EVERYTHING = R+ALLXTRAHASHES
NORMAL = R+rmd160+sha256
DIR = p+i+n+u+g+acl+xattrs
PERMS = p+i+u+g+acl
LOG = >
LSPP = R+sha256
DATAONLY =  p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger

/test        NORMAL           -----定义检测的目录和检查方式

 

]# cp /sbin/l* /test/     ---加入测试文件

]# cp /etc/host* /test/  ---加入测试文件
]# aide -i                       ---生成标准数据库 当配置文件不在默认路径时 用-c参数 指定默认配置文件的位置

然后在/test目录里随便修改增加点文件

]# aide -C                     ---检测文件更动

 

结果...

AIDE found differences between database and filesystem!!
Start timestamp: 2014-12-06 19:58:09

Summary:
  Total number of files: 34
  Added files:   1
  Removed files:  0
  Changed files:  3


---------------------------------------------------
Added files:
---------------------------------------------------

added: /test/host

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /test
changed: /test/host.conf
changed: /test/lvm

--------------------------------------------------
Detailed information about changes:
---------------------------------------------------


Directory: /test
  Mtime    : 2014-12-06 19:55:08              , 2014-12-06 19:57:42
  Ctime    : 2014-12-06 19:55:08              , 2014-12-06 19:57:42

File: /test/host.conf
  Size     : 9                                , 13
  Mtime    : 2014-12-06 19:54:40              , 2014-12-06 19:57:18
  Ctime    : 2014-12-06 19:54:40              , 2014-12-06 19:57:18
  Inode    : 1051098                          , 1051130
  MD5      : TrY3Mcn14wkDrE/Aen/j1g==         , L3uB2fsziV0tOf5ON1x7ng==
  RMD160   : MpMx3yNLQ/3hZVfm3UBbwFm/zz8=     , SOpa9V8OdZtEaDAZP9r5128Rz2k=
  SHA256   : OA9f4h11WSO0QgO1jKPIuWgcSF0VK9XX , HrxOiARLqQh9GmUrj/8mqT9st+125km5

File: /test/lvm
  Size     : 971464                           , 971466
  Mtime    : 2014-12-06 19:55:08              , 2014-12-06 19:57:42
  Ctime    : 2014-12-06 19:55:08              , 2014-12-06 19:57:42
  Inode    : 1051115                          , 1051131
  MD5      : /WApR3heWEEIfiIVQ2l6kg==         , ixhE8lhgAJpWscFLAPvygg==
  RMD160   : xSzG/lF7+h+xgt7k8h7O51eZ6q4=     , E8yk2T4TcXn6FBS/SglULY7VSLQ=
  SHA256   : gHn8u+4kf4iaF1amGDYF7T83/5nZtbE2 , WVaE5G+olL8DyekbiOEJDGKI9W3WMU6v

在生产坏境里,最好把标准数据做成移动的iso随身携带,每次检测完之后进行对aide目录进行删除。

 

把aide程序、配置文件和基准数据库写入只读设备中,防止被恶意操作:
# mkdir /tmp/aide
# cp /etc/aide.conf /var/lib/aide/aide* /usr/sbin/aide /tmp/aide
# yum -y install genisoimage
# cd /tmp/ && mkisofs -V aide_DBS -J -R -o aide.iso aide/  --把所有的文件制作成光盘
# rpm -e aide
# rm -rf /etc/aide.conf /var/lib/aide/aide* /usr/sbin/aide   --把系统中原来的文件删除

 

 

 

 

 

 

aaqq3561
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统完整性检查工具--Tripwire和AIDE
weixin_30760895的博客
09-08 1269
当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这 个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过 程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux 来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉 你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入 侵者发现管理员正在运行crontab作业,也有可...
使用AIDE工具做入侵检测
KHOST的博客
08-05 469
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。
Linux安全之AIDE系统入侵检测工具安装和使用
最新发布
月生的静心苑
11-21 1156
AIDE入侵检测工具的本质就是配置文件中指定文件的哈希值存储到数据库文件中,在进行检测的时候进行再次计算并对比。只能发现有区别,并不能告知区别明细。所以我们需要提前将待监控的文件进行备份,在发现文件有改动更新之后进行对比,以便修复还原。监控策略中包含权限、文件类型、ACL、时间属性等,所以我们检测的内容不仅仅是文件大小的变化,实际上也包括文件属性的相关参数。
13款入侵检测系统介绍(HIDS)
神棍之路
03-07 6651
入侵检测系统IDS是入侵检测系统,IPS是入侵防御系统。尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。入侵检测系统(IDS)仅需要识别对网络或数据的未授权访问即可获得标题。被动IDS将记录入侵事件并生成警报以引起操作员的注意。被动IDS还可以存储有关每个检测到的入侵和支持分析的信息。
入侵检测工具AIDE极简教程
sharesky的博客
03-22 2991
什么是AIDEAIDE(Advanced Intrusion Detection Environment)是个入侵检测工具,主要用途是检查文档的完整性。(摘自百度百科)一句话:AIDE在本地构造了一个基准的数据库,用来保存文档各种属性的原始状态,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录;安装AIDE我的操作系统是centos7.2,默认yum源中可以直接找到安装包,so:yum...
20170328-aide-tripwire等
03-28 104
文件入侵: yum install aide -y 1) Customize /etc/aide.conf to your liking. In particular, add 2 important directories and files which you would ...
高级入侵检测环境AIDE
01-20
AIDE(Advance Intrusion Detection Environment)高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的哪些文件被更改过了 AIDE能够构造一个指定文件的数据库,它使用aide.conf 作为其...
Linux如何基于AIDE检测文件系统完整性
09-14
主要介绍了Linux如何基于AIDE检测文件系统完整性,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用AIDE入侵检测
01-07
2案例2:使用AIDE入侵检测 2.1问题 本案例要求熟悉Linux主机环境下的常用安全工具,完成以下任务操作: 安装aide软件 ...步骤一:部署AIDE入侵检测系统 1)安装软件包 [root@proxy ~]# yum -y insta
AIDE: linux 高级入侵检测系统(保证文件完整性)
07-02
AIDE (Advanced intrusion detection environment) is an intrusion detection program. More specifically a file integrity checker.
AIDE原理(文件完整性校验)
weixin_40191420的博客
02-18 673
准备 AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文件的完整性。AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最
网上的aide教程
01-07
对一些帖子的汇总。aide是一款可以运行在我们安卓手机或者平板的一款很强大的开发工具。有着强大的代码补全功能以及布局可视化预览功能。
AIDE学习手册
06-15
AIDE学习手册.apk
aide安装及其简单应用
07-30
课程作业需要的自取,内有具体的aide安装的步骤和简单应用
完整性检验工具Aide
10-09
AIDE,是一个文件完整性检测工具,AIDE能够构造一个指定文件的数据库, 它使用aide.conf作为其配置文件。 AIDE生成的数据库能够保存文件的各种属性, 包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用 户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间 (atime)、 增加的大小以及连接数。 AIDE还能够使用下列算法: sha1、 md5、 rmd160、 tiger,以密文形式建立每个文件的校验码或散列。
aide
qq_38892538的博客
07-28 1561
1、aide的概述 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具, 主要用途是检查文本的完整性。  AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存 文档的各种属性,包括:权限(permission)、索引节点序号(inode number
AIDE入侵检测
sda1_hacker的博客
05-14 277
检测在某个时间段内某个目录下发生了哪些变化。 1、安装以及相关配置 yum -y install aide vim /etc/aide.conf @@define DBDIR /var/lib/aide #数据库目录 @@define LOGDIR /var/log/aide #日志目录 database=file:@@{DBDIR}/aide.db.gz #基本数据文件 database_ou...
AIDE --Linux高级***检测
weixin_33893473的博客
08-02 296
AIDE--(文件系统高级***检测1、aide的概述AIDE(Adevanced Intrusion Detection Environment,高级***检测环境)是个***检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节...
aide点击按钮跳转界面
05-30
1. 在res/layout目录下创建一个新的布局文件,例如"activity_second.xml",用于显示第二个界面的UI。 2. 在Java代码中定义一个Button对象,并在其setOnClickListener方法中添加Intent,从而实现跳转功能。 例如: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值