2案例2:使用AIDE做入侵检测
2.1问题
本案例要求熟悉Linux主机环境下的常用安全工具,完成以下任务操作:
- 安装aide软件
- 执行初始化校验操作,生成校验数据库文件
- 备份数据库文件到安全的地方
- 使用数据库执行入侵检测操作
2.2方案
Aide通过检查数据文件的权限、时间、大小、哈希值,校验数据的完整性。
使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被篡改的文件。
2.3步骤
实现此案例需要按照如下步骤进行。
步骤一:部署AIDE入侵检测系统
1)安装软件包
[root@proxy ~]# yum -y install aide
2)修改配置文件
确定对哪些数据进行校验,如何校验数据
[root@proxy ~]# vim /etc/aide.conf
@@define DBDIR /var/lib/aide //数据库目录
@@define LOGDIR /var/log/aide //日志目录
database_out=file:@@{DBDIR}/aide.db.new.gz //数据库文件名
//一下内容为可以检查的项目(权限,用户,组,大小,哈希值等)
#p: permissions
#i: inode:
#n: number of links
#u: user
#g: group
#s: size
#md5: md5 checksum
#sha1: sha1 checksum
#sha256: sha256 checksum
DATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256
//以下内容设置需要对哪些数据进行入侵校验检查
//注意:为了校验的效率,这里将所有默认的校验目录与文件都注释
//仅保留/root目录,其他目录都注释掉
/root DATAONLY
#/boot NORMAL //对哪些目录进行什么校验
#/bin NORMAL
#/sbin NORMAL
#/lib NORMAL
#/lib64 NORMAL
#/opt NORMAL
#/usr NORMAL
#!/usr/src //使用[!],设置不校验的目录
#!/usr/tmp
步骤二:初始化数据库,入侵后检测
1)入侵前对数据进行校验,生成初始化数据库
[root@proxy ~]# aide --init
AIDE, version 0.15.1
AIDE database at /var/lib/aide/aide.db.new.gz initialized.
//生成校验数据库,数据保存在/var/lib/aide/aide.db.new.gz
2)备份数据库,将数据库文件拷贝到U盘(非必须的操作)
[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz /media/
3)入侵后检测
[root@proxy ~]# cd /var/lib/aide/
[root@proxy ~]# mv aide.db.new.gz aide.db.gz
[root@proxy ~]# aide --check //检查哪些数据发生了变化