AIDE原理(文件完整性校验)

最新推荐文章于 2021-05-13 15:38:34 发布
最新推荐文章于 2021-05-13 15:38:34 发布
阅读量777 收藏 1
点赞数
分类专栏: 操作系统
原文链接:https://www.cnblogs.com/yuzly/p/10582034.html
版权

准备

AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文件的完整性。AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。

安装aide

sudo yum install aide -y

测试

sudo aide -c /etc/aide.conf -i  # 按照aide.conf配置文件初始化
#输出的结果,时间很久
Start timestamp: 2021-02-18 21:01:53 +0800 (AIDE 0.16)
AIDE initialized database at /var/lib/aide/aide.db.new.gz

Number of entries:	139897

---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.new.gz
  MD5      : ch1chDvEcQPzwNJhC8Chzw==
  SHA1     : IZFt4fDvYdfQDrAOA1zQmrmv3z4=
  RMD160   : cuT0spyPggygjlf4d8nrWx1gq24=
  TIGER    : ywAmKOrqyysx+/i0HywRXj9kj36ovLfZ
  SHA256   : 9ERjvX9YQb8o0YbqrUyVNcgwVJI17W7a
             qQv5pLjubD4=
  SHA512   : eIioEjfVjT6jD6BStNkicGDv+zvyMR8w
             ojtUd13ba2mdQitJ5fy11F/jUpwURjsH
             jHd3xQgsFAjD+Q/hGvEgeg==


End timestamp: 2021-02-18 21:13:39 +0800 (run time: 11m 46s)

# 修改某一个文件,然后执行aide --check
root@localhost mywork]#  aide --check
Start timestamp: 2021-02-18 21:19:27 +0800 (AIDE 0.16)
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:	139897
  Added entries:		0
  Removed entries:		0
  Changed entries:		2

---------------------------------------------------
Changed entries:
---------------------------------------------------

f   ...    .C... : /etc/cups/subscriptions.conf
f   ...    .C... : /etc/cups/subscriptions.conf.O

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /etc/cups/subscriptions.conf
  SHA512   : c9HK7SWwyNt0blwrqVIUlfR7j+2u5OJ0 | h7zYo0az+l8IZho8/jUzFlojeYGzczDr
             01gdmpaJ2gNA8ND92wPa5k1NfCy4b+d4 | PoE0azd7kykN+/aqm8u4EBQ17kiauE2p
             sq25GKl0Zq5epDDrzu5hOw==         | 9TCiebeGQcQilq0e1SXb6Q==

File: /etc/cups/subscriptions.conf.O
  SHA512   : rE7ihF3k4HvRgMbKCqj/4ATA6PQnXNMs | c9HK7SWwyNt0blwrqVIUlfR7j+2u5OJ0
             CEag5UCAAsLW7U7patnTlDP/z75h+IwF | 01gdmpaJ2gNA8ND92wPa5k1NfCy4b+d4
             kKA0b6g0R8ves0fjWa6Wnw==         | sq25GKl0Zq5epDDrzu5hOw==


---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.gz
  MD5      : ch1chDvEcQPzwNJhC8Chzw==
  SHA1     : IZFt4fDvYdfQDrAOA1zQmrmv3z4=
  RMD160   : cuT0spyPggygjlf4d8nrWx1gq24=
  TIGER    : ywAmKOrqyysx+/i0HywRXj9kj36ovLfZ
  SHA256   : 9ERjvX9YQb8o0YbqrUyVNcgwVJI17W7a
             qQv5pLjubD4=
  SHA512   : eIioEjfVjT6jD6BStNkicGDv+zvyMR8w
             ojtUd13ba2mdQitJ5fy11F/jUpwURjsH
             jHd3xQgsFAjD+Q/hGvEgeg==


End timestamp: 2021-02-18 21:20:06 +0800 (run time: 0m 39s)
# 如果需要修改文件,需要对AIDE数据库进行更新aide   --update

root@localhost mywork]# aide --update
Start timestamp: 2021-02-18 21:21:29 +0800 (AIDE 0.16)
AIDE found differences between database and filesystem!!
New AIDE database written to /var/lib/aide/aide.db.new.gz

Summary:
  Total number of entries:	139897
  Added entries:		0
  Removed entries:		0
  Changed entries:		2

---------------------------------------------------
Changed entries:
---------------------------------------------------

f   ...    .C... : /etc/cups/subscriptions.conf
f   ...    .C... : /etc/cups/subscriptions.conf.O

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

File: /etc/cups/subscriptions.conf
  SHA512   : c9HK7SWwyNt0blwrqVIUlfR7j+2u5OJ0 | h7zYo0az+l8IZho8/jUzFlojeYGzczDr
             01gdmpaJ2gNA8ND92wPa5k1NfCy4b+d4 | PoE0azd7kykN+/aqm8u4EBQ17kiauE2p
             sq25GKl0Zq5epDDrzu5hOw==         | 9TCiebeGQcQilq0e1SXb6Q==

File: /etc/cups/subscriptions.conf.O
  SHA512   : rE7ihF3k4HvRgMbKCqj/4ATA6PQnXNMs | c9HK7SWwyNt0blwrqVIUlfR7j+2u5OJ0
             CEag5UCAAsLW7U7patnTlDP/z75h+IwF | 01gdmpaJ2gNA8ND92wPa5k1NfCy4b+d4
             kKA0b6g0R8ves0fjWa6Wnw==         | sq25GKl0Zq5epDDrzu5hOw==


---------------------------------------------------
The attributes of the (uncompressed) database(s):
---------------------------------------------------

/var/lib/aide/aide.db.gz
  MD5      : ch1chDvEcQPzwNJhC8Chzw==
  SHA1     : IZFt4fDvYdfQDrAOA1zQmrmv3z4=
  RMD160   : cuT0spyPggygjlf4d8nrWx1gq24=
  TIGER    : ywAmKOrqyysx+/i0HywRXj9kj36ovLfZ
  SHA256   : 9ERjvX9YQb8o0YbqrUyVNcgwVJI17W7a
             qQv5pLjubD4=
  SHA512   : eIioEjfVjT6jD6BStNkicGDv+zvyMR8w
             ojtUd13ba2mdQitJ5fy11F/jUpwURjsH
             jHd3xQgsFAjD+Q/hGvEgeg==

/var/lib/aide/aide.db.new.gz
  MD5      : H8wggkixschKJUDUi7MJbA==
  SHA1     : n8Q2ehTG57zP3Eyh1N7BGpXfa6k=
  RMD160   : rK/7BvOPgbBpNyz5ct9GDXJwoO4=
  TIGER    : 13+Q08fK4nfJFX5eyUkuqQTAFin+L4Ts
  SHA256   : qK7b0jYHLjX4+OszBxYahNhJkPTxXchA
             t3sCgJUY0r4=
  SHA512   : a3nrdBFIe5XvcdZJpZZhaUWfpnz1YUCy
             zmTg79Cg816WyPko7/BgDB6moGL2Rw15
             qOd3SMEAF5yKBw4mEpK7Nw==


End timestamp: 2021-02-18 21:22:12 +0800 (run time: 0m 43s)
Robert_Y_Zhang
关注
专栏目录
AIDE 系统入侵检测
Ghostwang2020的博客
07-03 752
AIDE 系统入侵检测 Advanced Intrusion Detection Environment 是系统自带的一个入侵检测工具,主要目的是检查文件的一致性,包括文件是否被更改,文件属性是否发生变化, 文件被修改的时间等。一旦出现AIDE监控的文件被篡改的情况,就会发出警告,通知系统管理员。 6.1 配置AIDE 6.1.1安装包:]# yum -y install aide 6.1.2 查看配置文件/etc/aide.conf 里的默认规则 ]# cat /etc/aide.conf | grep
文件完整性校验
Niche的博客
11-23 1986
文件完整性校验 散列算法 概念 散列算法可以把【任意尺寸】的数据(原始数据)转变为一个【固定尺寸】的“小”数据(叫“散列值”或“摘要”)。 摘要长度 对于某个具体的散列算法,得到的散列值长度总是固定的。散列值的长度又称“摘要长度”。 特色 不可逆性:不同于压缩算法和加密算法,散列算法不可逆 确定性:通过某种散列算法,分别对两个原始数据计算散列值。如果算出来的散列值不同,那...
使用AIDE检查完整性
allway2的博客
07-05 1211
Advanced Intrusion Detection Environment(AIDE)是一种实用程序,可在系统上创建文件数据库,然后使用该数据库来确保文件完整性并检测系统入侵。 1。安装AIDE 要安装助手包,请输入以下命令root: ~]#yum install aide 要生成初始数据库,请输入以下命令root: ~]#aide --init AIDE, version 0.15.1 ### AIDE database at /var/lib/a...
使用AIDE文件完整性检测
weixin_34194551的博客
05-27 387
目录: 一.准备 二.安装 三.配置 四.启动 五.使用 六.更多 AIDE,英文(AdvancedIntrusionDetectionEnvironment)直译为 高级***检测环境,是一个文件完整性检测工具,一种类型的*** 检测程序. 一旦一台计算机系统被***,所有的信息都将暴露在***者的视野中. 如...
AIDE文件完整性功能校验工具
FlamencaH的博客
06-02 868
AIDE文件完整性功能校验工具 黑客可能会通过修改ps命令,来替换管理员通常使用的ps -aux命令,使管理员无法查到正在运行的木马程序,或者黑客替换掉crontab程序等等,由此可见检查系统的完整性很重要,目前市面上有两款检查文件完整性程序:Tripwire和AIDE,前者是一款商业软件,后者是一款免费软件。 安装AIDE工具: yum install aide # 通过光盘安装 [root@localhost yum.repos.d]#mount /dev/sr0 /mnt mount: /de
Linux如何基于AIDE检测文件系统完整性
01-20
AIDE通过计算并记录文件的多种属性,如权限、属主、属组、文件大小、创建时间、修改时间、访问时间、链接数等,以及使用如SHA1、MD5等散列算法生成的校验码,形成文件完整性指纹。当文件或目录的任何属性发生变化...
Linux文件完整性校验检查方案AIDE
12-13
5. **安全强化**:除了常规的文件完整性检查,AIDE还可以作为系统加固的一部分,帮助确保系统符合最佳实践和安全策略。 安装AIDE: 在大多数Linux发行版中,AIDE可以通过包管理器轻松安装。例如,在Debian或Ubuntu...
高级入侵检测环境AIDE
01-20
**高级入侵检测环境AIDE** 是一款用于网络安全的工具,主要功能是对系统文件完整性进行检查,以便及时发现潜在的入侵或恶意修改。AIDE通过创建一个包含文件详细信息的数据库来实现这一目标,这些信息包括文件的...
linux aide使用方法,如何在Linux中使用“AIDE”检查文件和目录的完整性
weixin_29585753的博客
05-13 1187
在我们关于加强和保护CentOS 7的大型指南中,在“ 内部保护系统 ”一节中,我们列出的用于内部系统保护以防病毒,rootkit,恶意软件和检测未授权活动的有用安全工具之一是AIDEAIDE ( 高级入侵检测环境 )是一个小而强大的免费开源入侵检测工具,它使用预定义的规则来检查类Unix操作系统(如Linux)中的文件和目录完整性。 它是用于简化客户端/服务器监视配置的独立静态二进制文件。它...
文件完整性校验工具.exe
06-27
拖动文件即可计算crc,md5值。。体积小巧,操作简单方便快捷,是个用来查询软件是否正确的好工具。。
文件校验工具.exe
03-21
到Maven仓库中找到疑似下载失败的jar包使用文件校验工具文件校验打开工具将要验证的jar包拖拽进工具界面比较SHA1值一致:确定jar包下载成功,内部正确没问题不一致:确定jar包内部损坏。
基于QT的MD5加密实例
yangzijiangtou
10-30 1130
MD5在QT4中已有实现: MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准...
保护篇-文件完整性检查
08-25 8449
在软件保护中,增加对自身的完整性检查,以防止解密者修改程序达到破解的目的。完整性检查又包括磁盘文件检查和内存映像的检查。完整性检查的实现原理是用散列函数计算文件的散列值,并将该值放在某处,以后文件每次运行时,重新计算文件的散列值,并与原散列值比较,以判断文件是否被修改。 1.磁
md5验证数据完整性原理
qq_45837591的博客
05-12 2296
如何验证数据完整性 利用md5算法进行验证数据完整性 md5sum -c 指纹文件命令执行原理 第一个历程: 打开一个指纹文件,将信息记录到缓存中 第二个历程: 根据指纹文件的路径信息,生成md5数值信息 第三个历程: 将新生成md5数值和原有指纹文件中的数值进行比较 第四个历程: 如果相同显示结果为ok,如果不同显示failed ...
Linux AIDE(文件完整性检测)
WY92139010的博客
03-23 272
一、AIDE的概念 AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文档的完整性AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(i...
AIDE使用
侯海云
09-13 8526
AIDE简介当一个入侵者进入了你的系统并且种植了木马,通常会想法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业,也有可能替换掉cronta
文件完整性校验及实例说明
LU_ZHAO的博客
03-08 3661
文件完整性校验 所谓文件完整性校验就是对文件“验明正身”。攻击者会将恶意代码添加到某个受大众欢迎的软件中,然后发布到网络上。当用户下载并使用这种被篡改过的软件时,计算机病毒或者木马程序就会悄然进入用户的计算机。检验文件完整性,就是检查下载到的软件是否被篡改过。 例子 以Mysql的下载包来说明: 首先进入网页: https://dev.mysql.com/downloads/mysql/ 如图...
安全入侵检测之AIDE
09-18 268
正文 0x00 为何要用 入侵检测,安全领域当中最基本也是最好用的一种攻击检测方式。对于我们的服务器来讲,假设被攻击了,...
考研复习-英语二真题考试题集-带答案
最新发布
09-14
英语二考研真题复习资料,带答案版
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值