文件完整性安全检查AIDE(Advanced Intrusion Detection Environment)

最新推荐文章于 2023-11-21 08:30:00 发布
最新推荐文章于 2023-11-21 08:30:00 发布
阅读量642 收藏 3
点赞数 1
分类专栏: Linux运维 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingdom_xu/article/details/108471414
版权

AIDE(Advanced Intrusion Detection Environment高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了

AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号

在这里插入图片描述
包:aide
安装AIDE
yum -y install aide

配置文件指定对那些文件进行检测
vim /etc/aide.conf
示例:

#定义监控项权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
R=p+i+n+u+g+s+m+c+md5
NORMAL = R+rmd60+sha256
/data/test.txt R
/bin/ps R+a
/usr/bin/crontab R+a
/etc PERMS
!/etc/mtab #“!”表示忽略这个文件的检查

初始化默认的AIDE的库

/usr/local/bin/aide -i|--init

生成检查数据库

cd /var/lib/aide
mv aide.db.new.gz aide.db.gz

检测

/usr/local/bin/aide -C|--check

aide -u | --update

范例:

[root@centos8 ~]#yum -y install aide
[root@centos8 ~]#rpm -ql aide
[root@centos8 ~]#cd /data/
[root@centos8 data]#cp /etc/passwd f1
[root@centos8 data]#cp /etc/fstab f2
[root@centos8 data]#cp /etc/centos-release f3
[root@centos8 ~]#vim /etc/aide.conf 
#在NORMAL = FIPSR+sha512下添加内容:
m42 = p+u+s+sha512

将# Next decide what directories/files you want in the database.注释内容后的所有行删除,添加下面内容:
/data m42
!/data/f1
保存退出

[root@centos8 ~]#aide --init
Start timestamp: 2020-09-08 16:36:13 +0800 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	3

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : 9cab032NkKPKdauvxBrWww==
  SHA1     : s45eCIQbJliJfEY32Hl/cbdgfVo=
  RMD160   : qLQsGwsbBVfaX7YBcGpm1cG/hLM=
  TIGER    : IWoARQ1npzdLoAheeIzK1EYxF6ELd+NQ
  SHA256   : yshxS7AHCE/+OdPDc022RfREWtfKcuSD
             5cy7FGUxM3M=
  SHA512   : hXPssHkXERh1nGBExCWCBGtWkSHZFAg9
             GGq7RX/9iVosML6y0yBC/+2E1e0k3ePJ
             uiPY1jTfV7i3cXGMd02bKQ==


End timestamp: 2020-09-08 16:36:13 +0800 (run time: 0m 0s)

[root@centos8 data]#ll
total 12
-rw-r--r-- 1 root root 1122 Sep  8 16:41 f1
-rw-r--r-- 1 root root  655 Sep  8 16:49 f2
-rw-r--r-- 1 root root   38 Sep  8 16:35 f3

[root@centos8 data]#aide -C
Start timestamp: 2020-09-08 16:51:34 +0800 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Number of entries:	3

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.gz
  MD5      : crGvNmhXmIyUhnL6+/7RGg==
  SHA1     : s0XNVm7cWIdt1lyrjpAn9u1nVvg=
  RMD160   : IvIQwH1qI2wG/D6pg/8pvfkjCS4=
  TIGER    : n6wJ2Tt6Y6lkoeblRUU0Aw2mgwEOkdG0
  SHA256   : PsUh/smr86wBD5J4lAGevuWSp0WSeFgu
             FBUAY8zjX8o=
  SHA512   : mZAodaKSoOCOO4CS3eKVHCrd1tUp4I/1
             AMOFQ++tJsNpSqoy9Np2ghtq7SLbVXsg
             wXZJfZr2rrZwMe0JSUHkfQ==


End timestamp: 2020-09-08 16:51:34 +0800 (run time: 0m 0s)


[root@centos8 ~]#vim /data/f1 
#删除一行内容
[root@centos8 ~]#vim /data/f2
#修改一些内容
[root@centos8 ~]#chown kobe /data/f3
[root@centos8 ~]#ll /data/
total 12
-rw-r--r-- 1 root root 1122 Sep  8 16:41 f1
-rw-r--r-- 1 root root   26 Sep  8 16:41 f2
-rw-r--r-- 1 kobe root   38 Sep  8 16:35 f3
[root@centos8 ~]#
[root@centos8 ~]#mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz 
[root@centos8 ~]#aide --check
Start timestamp: 2020-09-08 16:44:20 +0800 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	3
  Added entries:		0
  Removed entries:		0
  Changed entries:		2

---------------------------------------------------
Changed entries:
---------------------------------------------------

f > ..      C    : /data/f2
f = .u      .    : /data/f3

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /data/f2
  Size     : 23                               | 26
  SHA512   : iMk0LkwqI+Ya8hi5tmgIkl3p0rC9bus0 | EJo0mS+mWj20W6ybDTCJ3Nq+sQNNBcsr
             E/+YKdgpWynFiK7UutUOJiX7GrYQsbF0 | gqSDAPBmH2acV/qFCBWil+puK3IhY+Jf
             VoSjpj8OwdQdSXpbBmi0cg==         | iY6tpzwYzW1gfeyF3yMO5A==

File: /data/f3
  Uid      : 0                                | 1000


---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.gz
  MD5      : 9cab032NkKPKdauvxBrWww==
  SHA1     : s45eCIQbJliJfEY32Hl/cbdgfVo=
  RMD160   : qLQsGwsbBVfaX7YBcGpm1cG/hLM=
  TIGER    : IWoARQ1npzdLoAheeIzK1EYxF6ELd+NQ
  SHA256   : yshxS7AHCE/+OdPDc022RfREWtfKcuSD
             5cy7FGUxM3M=
  SHA512   : hXPssHkXERh1nGBExCWCBGtWkSHZFAg9
             GGq7RX/9iVosML6y0yBC/+2E1e0k3ePJ
             uiPY1jTfV7i3cXGMd02bKQ==


End timestamp: 2020-09-08 16:44:20 +0800 (run time: 0m 0s)

[root@centos8 data]#cd /var/lib/aide/
[root@centos8 aide]#aide -u
Start timestamp: 2020-09-08 16:53:53 +0800 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Number of entries:	3

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.gz
  MD5      : crGvNmhXmIyUhnL6+/7RGg==
  SHA1     : s0XNVm7cWIdt1lyrjpAn9u1nVvg=
  RMD160   : IvIQwH1qI2wG/D6pg/8pvfkjCS4=
  TIGER    : n6wJ2Tt6Y6lkoeblRUU0Aw2mgwEOkdG0
  SHA256   : PsUh/smr86wBD5J4lAGevuWSp0WSeFgu
             FBUAY8zjX8o=
  SHA512   : mZAodaKSoOCOO4CS3eKVHCrd1tUp4I/1
             AMOFQ++tJsNpSqoy9Np2ghtq7SLbVXsg
             wXZJfZr2rrZwMe0JSUHkfQ==

/var/lib/aide/aide.db.new.gz
  MD5      : mO11YzB/S3XBvPvy2Wfy7A==
  SHA1     : VxxnqJgcvO2+pQGQNUmOtZboaZk=
  RMD160   : TGvEssctBmR+zhBBtdwPZqE8X+o=
  TIGER    : 2Lltm0TRwUrADVv+k9jTTjDLtmE1voPj
  SHA256   : B32Gv7eX+kQG2JeUHpoUgXsOrl8h5Oxl
             Vq3u4s8bImo=
  SHA512   : iFzz0p7+JUx2iaZJZNPWUJ7A+1QezznW
             QvIx/6ddiquYDmVzsDuqpfxqflxq/d5+
             /COn3ggd4UgDMPtJV0d2iw==


End timestamp: 2020-09-08 16:53:53 +0800 (run time: 0m 0s)
[root@centos8 aide]#ls
aide.db.gz  aide.db.new.gz
[root@centos8 aide]#mv aide.db.new.gz aide.db.gz 
mv: overwrite 'aide.db.gz'? y
[root@centos8 aide]#
[root@centos8 aide]#aide -C
Start timestamp: 2020-09-08 16:55:15 +0800 (AIDE 0.16)
AIDE found NO differences between database and filesystem. Looks okay!!

Number of entries:	3

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.gz
  MD5      : mO11YzB/S3XBvPvy2Wfy7A==
  SHA1     : VxxnqJgcvO2+pQGQNUmOtZboaZk=
  RMD160   : TGvEssctBmR+zhBBtdwPZqE8X+o=
  TIGER    : 2Lltm0TRwUrADVv+k9jTTjDLtmE1voPj
  SHA256   : B32Gv7eX+kQG2JeUHpoUgXsOrl8h5Oxl
             Vq3u4s8bImo=
  SHA512   : iFzz0p7+JUx2iaZJZNPWUJ7A+1QezznW
             QvIx/6ddiquYDmVzsDuqpfxqflxq/d5+
             /COn3ggd4UgDMPtJV0d2iw==


End timestamp: 2020-09-08 16:55:15 +0800 (run time: 0m 0s)
kingdom_xu
关注
专栏目录
高级入侵检测环境AIDE
studywinwin的博客
02-19 378
AIDE 概述 AIDE(Advance Intrusion Detection Environment)高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件完整性,审计计算机上的哪些文件被更改过了 AIDE能够构造一个指定文件的数据库,它使用aide.conf 作为其配置文件AIDE数据库能够保存文件的各种属性,包括 :permisstion、inode number、user、gro...
Linux中的AIDE(高级入侵检测环境)
孤的博客
07-30 1236
AIDE:Advanced Intrusion Detection Environment,高级入侵检测环境 功能:是目前unix下著名的文件系统完整性检查工具,采用的技术核心是对每个要监控的文件提前产生一个数字签名并保存在系统中,当文件当前数字签名与保留的数字签名不一致时,那么说明我们检测的文件已经发生了改动。 1)安装AIDE:yum install aide -y 2)配置文件所在路径:...
AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)
atzqtzq的博客
05-01 219
说明 是个入侵检测工具,主要用途是检查文本的完整性AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的...
AIDE --Linux高级***检测
weixin_33893473的博客
08-02 314
AIDE--(文件系统)高级***检测1、aide的概述AIDE(Adevanced Intrusion Detection Environment,高级***检测环境)是个***检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节...
Linux文件完整性校验检查方案AIDE
12-13
AIDE(Advanced Intrusion Detection Environment)是一种免费且开源的工具,专门设计用于检测Linux系统中文件的任何未经授权的更改。这款强大的工具通过创建一个基准数据库来监控文件系统,一旦检测到文件属性的...
AIDElinux 高级入侵检测系统(保证文件完整性)
07-02
AIDE (Advanced intrusion detection environment) is an intrusion detection program. More specifically a file integrity checker.
Linux AIDE(文件完整性检测)
WY92139010的博客
03-23 273
一、AIDE的概念 AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文档的完整性AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(i...
使用AIDE检查完整性
allway2的博客
07-05 1213
Advanced Intrusion Detection EnvironmentAIDE)是一种实用程序,可在系统上创建文件数据库,然后使用该数据库来确保文件完整性并检测系统入侵。 1。安装AIDE 要安装助手包,请输入以下命令root: ~]#yum install aide 要生成初始数据库,请输入以下命令root: ~]#aide --init AIDE, version 0.15.1 ### AIDE database at /var/lib/a...
安全测试:文件上传漏洞检测
MXB_1220的博客
09-19 1091
如果应用程序存在文件上传漏洞,并且未对上传的文件进行适当的验证和处理,那么上传的文件可能会被接受,并且恶意代码会被存储在服务器上。如果应用程序未正确处理上传的文件,那么上传的文件将存储在服务器上,并且恶意代码会被执行。文件上传攻击请求与正常上传请求的主要区别在于攻击请求试图绕过文件类型验证、文件大小限制以及目录遍历等安全措施,以执行恶意代码或获取未授权的访问权限。你怀疑应用程序可能存在文件上传漏洞,攻击者可以上传包含恶意代码的文件。:将上传的文件重新命名为随机的名称,以防止攻击者识别和执行上传的文件
使用AIDE文件完整性检测
weixin_34194551的博客
05-27 389
目录: 一.准备 二.安装 三.配置 四.启动 五.使用 六.更多 AIDE,英文(AdvancedIntrusionDetectionEnvironment)直译为 高级***检测环境,是一个文件完整性检测工具,一种类型的*** 检测程序. 一旦一台计算机系统被***,所有的信息都将暴露在***者的视野中. 如...
linux系统mysql入侵_Linux高级入侵检测-文件系统完整性
weixin_35600779的博客
02-07 140
一、AIDEAIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。AIDE如何工作AIDE通过构造指定文件完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属...
文件安全检测--持续更新
煜铭2011
04-01 7593
0x00前言 在企业安全事件应急处置和异常行为分析的时候,往往需要对文件(windows/linux/android等平台的文件)进行安全检测,确认该文件是否为恶意文件(病毒、木马、后门、webshell、恶意广告软件、流氓软件等),以便确认文件的安全性,了解安全事件的攻击来源。 0x01文件安全在线检测 virustotal 多引擎查杀:https://www.virustot...
入侵检测概览(Dive Into Intrusion Detection
葉落堂
11-03 925
原文作者:IT Security译文作者:冰血封情 [E.S.T] 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 什么是入侵检测? 如果您翻阅最近的一些关于入侵检测的文档,你就会发现很多核心理论都是上溯到公共因特网之前的八十年代。当时,大多数入侵者可能都是一些发泄不满的高中或者大学的学
linux aide使用方法,如何在Linux中使用“AIDE”检查文件和目录的完整性
weixin_29585753的博客
05-13 1190
在我们关于加强和保护CentOS 7的大型指南中,在“ 内部保护系统 ”一节中,我们列出的用于内部系统保护以防病毒,rootkit,恶意软件和检测未授权活动的有用安全工具之一是AIDEAIDE ( 高级入侵检测环境 )是一个小而强大的免费开源入侵检测工具,它使用预定义的规则来检查类Unix操作系统(如Linux)中的文件和目录完整性。 它是用于简化客户端/服务器监视配置的独立静态二进制文件。它...
Linux安全之AIDE系统入侵检测工具安装和使用
最新发布
月生的静心苑
11-21 2155
AIDE入侵检测工具的本质就是配置文件中指定文件的哈希值存储到数据库文件中,在进行检测的时候进行再次计算并对比。只能发现有区别,并不能告知区别明细。所以我们需要提前将待监控的文件进行备份,在发现文件有改动更新之后进行对比,以便修复还原。监控策略中包含权限、文件类型、ACL、时间属性等,所以我们检测的内容不仅仅是文件大小的变化,实际上也包括文件属性的相关参数。
web安全第七天:文件内容检测及绕过方法
cc777777777的博客
02-28 716
web安全第七天:文件内容检测及绕过方法
保护篇-文件完整性检查
08-25 8458
在软件保护中,增加对自身的完整性检查,以防止解密者修改程序达到破解的目的。完整性检查又包括磁盘文件检查和内存映像的检查。完整性检查的实现原理是用散列函数计算文件的散列值,并将该值放在某处,以后文件每次运行时,重新计算文件的散列值,并与原散列值比较,以判断文件是否被修改。 1.磁
如何在线判断一个文件是否安全? 在线沙箱 / 文件分析系统 / 在线查毒 / 云运行截图
九九六.爱吸油
04-08 3138
多年不涉及软件行业,本来想打开曾经的火眼查查文件行为😊 发现怎么在2017年都停止运营了😅 遂找寻替代品: 微步云沙箱 地址:https://s.threatbook.cn/ 与传统的反恶意软件检测不同,微步云沙箱提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据,结合微步威胁情报云,分钟级发现未知威胁。 还可以分析URL安全性,点开链接前查一查😋 腾讯哈勃 腾讯哈勃分析系统是由腾讯安全实验室推出的在线文件分析系统 支持文件格式: APK、EXE、BAT、JS、VBS、
AIDELinux中的文件系统完整性检测与应用
本文主要讲解如何利用AIDE(Advanced Intrusion Detection Environment)这款强大的工具来实现文件系统完整性检测。AIDE是一款开源的文件和目录完整性监控工具,最初由Tripwire的开发者开发,提供了替代方案。 AIDE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值