使用AIDE做文件的完整性检测

目录:
一. 准备
二. 安装
三. 配置
四. 启动
五. 使用
六. 更多


AIDE, 英文(Advanced Intrusion Detection Environment)直译为
高级***检测环境, 是一个文件完整性检测工具, 一种类型的***
检测程序.

一旦一台计算机系统被***, 所有的信息都将暴露在***者的视野中.
如果***者能很好的隐藏痕迹, 那么***的事实是一下很难被发现的,
 随着时间的推移***者将会发现越来越多的有用信息. 这样系统管理员
需要安装***检测工具才能更好的提高信息的安全性.

AIDE, 高级***检测环境, 是一个文件完整性检测工具, 一种类型的
***检测程序. 使用AIDE, 系统中的重要文件和文件相关的属性如
权限, inode号, 用户, 用户组和链接数, 也包括创建每一个文件的
加密校验都会被创建到一个数据库中. 然后把这些信息放到一个可读
类型的媒体介质上, 如一个CD-R, U盘, 磁盘等, 那么***者想要覆盖
***痕迹将会变的极为困难.


一. 准备

说明:

 系统平台: Redhat Linux 9
系统内核: 2.4.20-8smp

[root@www /]# uname -r
2.4.20-8smp

[root@www /]# cat /etc/redhat-release
 Red Hat Linux release 9 (Shrike)

[root@www sbin]# rpm -qa|grep sysklogd
sysklogd-1.4.1-12

1. 下载和解压缩最新的aide和libmhash软件包.
建议从官方网站获得可靠的aide和libmhash软件包.

 下载网址:
 http://sourceforge.net/projects/aide/
http://freshmeat.net/projects/mhash/

1) 创建aide软件包存放的目录.
#mkdir -p /usr/local/src/id

2) 解压缩源代码包, 在id目录下会生成两个新的目录aide-0.10和mhash-0.9.2
#tar zpxf aide-0.10.tar.gz
#tar zpxf mhash-0.9.2.tar.gz

2. 配置预编译环境
在mhash-0.9.2和aide-0.10目录依次分别做如下的操作:

#cd mhash-0.9.2
#./configure
#cd aide-0.10
#./configure


二. 安装

安装的过程很简单, 依次运行:

#cd mhash-0.9.2
#make;make install
#cd aide-0.10
#make;make install


三. 配置

接下来的步骤是配置aide.conf. aide.conf配置文件的格式是非常简单的. 在设置该文件
之前, 建议阅读该配置. 或者阅读man帮助文件:

注意:

配置文件的缺省位置是: /usr/local/etc/aide.conf
如果你发现没有创建, 请执行下面的命令:
#cp /usr/local/src/id/aide-0.10/doc/aide.conf /usr/local/etc/
#cd /usr/local/src/id/aide-0.10/doc/
#cp aide.db.new aide.db

#man aide.conf

下面是一个简短的aide.conf事例:

Rule = p+i+u+g+n+s+md5

/etc p+i+u+g
/sbin Rule
/usr/local/apache/conf Rule
/var Rule
!/var/spool/.*
!/var/log/.*

在这个配置中, 我们可以看到一个规则Rule设置了检查的权限(p), inode号(i), 用户(u),
用户组(g), 链接数(n), md5校验(md5). 然后这些规则被应用到/bin, /sbin, /var, 和
/usr/local/apache/conf目录下的所有文件, 因为通常这些目录下的文件很少被修改.
/etc/中的文件仅使用了权限(p), inode号(i), 用户(u)和用户组(g), 因为文件的大小
可能改变, 而其它的很少改变. /var/spool和/var/log目录中的所有子目录和文件被设置
为不做检查, 因为这里面的文件经常性的改变.


四. 启动

提示下面成功信息:

AIDE, version 0.10

### AIDE database initialized.

一旦数据被初始化, 然后你可以把数据库和aide的binary文件拷贝到一个可读的cd-rom
或者磁盘(或者u盘)媒体上:

#mount /dev/hdb /mnt/u
#mv /usr/local/src/id/aide-0.10/doc/aide.db /mnt/u/aide.db
#umount /mnt/u

然后确定修改aide.conf配置文件:

#vi /usr/local/src/id/aide-0.10/doc/aide.conf

修改成下面的配置:

database=file:///mnt/u/aide.db
database_out=file:///mnt/u/aide.db.new
database_new=file:///mnt/u/aide.db.new

 五. 使用

无论什么时候你需要检查检查数据库, 运行:
#mount /dev/hdb /mnt/u
#aide --check

aide然后会向你报告任何的变化, 或者使用下面的命令仔细的比较最初的的数据库和
现在的数据库:
#aide --compare

如果你已经完成了检查和修复任务, 你需要重新更新一下数据库:

#aide --updaet

最后不要忘记移去u盘
#umount /mnt/u

 

转载于:https://blog.51cto.com/stdiv/575908