aide监控系统文件

最新推荐文章于 2024-06-01 07:39:39 发布
最新推荐文章于 2024-06-01 07:39:39 发布
阅读量721 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunweimao/article/details/106687905
版权

在我们关于加强和保护CentOS 7的大型指南中,在“ 内部保护系统 ”一节中,我们列出的用于内部系统保护以防病毒,rootkit,恶意软件和检测未授权活动的有用安全工具之一是AIDE 。

AIDE ( 高级入侵检测环境 )是一个小而强大的免费开源入侵检测工具,它使用预定义的规则来检查类Unix操作系统(如Linux)中的文件和目录完整性。 它是用于简化客户端/服务器监视配置的独立静态二进制文件。

它功能丰富:使用纯文本配置文件和数据库使其易于使用; 支持多种消息摘要算法,例如但不限于md5,sha1,rmd160,tiger; 支持常用文件属性; 还支持强大的正则表达式来选择性地包含或排除要扫描的文件和目录。

它也可以编译,支持Gzip压缩,Posix ACL,SELinux,XAttrs和扩展文件系统属性。

Aide通过创建一个数据库(它只是文件系统的选定部分的一个快照),通过配置文件中定义的正则表达式规则来工作。一旦这个数据库被初始化,你可以验证系统文件的完整性。 本指南将介绍如何在Linux中安装和使用助手。

如何在Linux中安装AIDE

Aide被封装在主流Linux发行版的官方软件库中,安装它使用软件包管理器运行你的发行版命令。

# apt install aide            [On Debian/Ubuntu]

# yum install aide       [On RHEL/CentOS]     

# dnf install aide       [On Fedora 22+]

# zypper install aide    [On openSUSE]

# emerge aide                    [On Gentoo]

安装完成后,主配置文件是/etc/aide.conf 。 要查看安装的版本以及编译时间参数,请在终端上运行以下命令:

# aide -v

示例输出

Aide0.14

Compiledwiththe following options:

WITH_MMAP

WITH_POSIX_ACL

WITH_SELINUX

WITH_PRELINK

WITH_XATTR

WITH_LSTAT64

WITH_READDIR64

WITH_ZLIB

WITH_GCRYPT

WITH_AUDIT

CONFIG_FILE ="/etc/aide.conf"

您可以使用您最喜爱的编辑器打开配置。

# vi /etc/aide.conf

它具有定义数据库位置,报告位置,缺省规则,数据库中包含的目录/文件的指令。

了解默认助理规则


AIDE默认规则

使用上述默认规则,例如,您可以在aide.conf文件中定义新的自定义规则。

PERMS = p+u+g+acl+selinux+xattrs

PERMS规则仅用于访问控制,它将根据文件/目录权限,用户,组,访问控制权限,SELinux上下文和文件属性检测对文件或目录的任何更改。

这只会检查文件内容和文件类型。

CONTENT = sha256+ftype

这是以前规则的扩展版本,它检查扩展内容,文件类型和访问。

CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs

下面的DATAONLY规则将帮助检测所有文件/目录内数据的任何更改。

DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

配置助手规则

定义规则来观察文件和目录

一旦你定义了规则,你可以指定要观看的文件和目录。 考虑到上面的PERMS规则,这个定义将检查根目录中所有文件的权限。

/root/\..*  PERMS

这将检查/ root目录中的所有文件以进行任何更改。

/root/   CONTENT_EX

为了帮助您检测/ etc /下所有文件/目录内数据的任何更改,请使用此。

/etc/   DATAONLY


配置文件系统的辅助规则

使用AIDE在Linux中检查文件和目录完整性

首先构建一个数据库,对照将使用--init标志执行的检查。 预计将在系统连接到网络之前完成此操作。

下面的命令将创建一个数据库,其中包含您在配置文件中选择的所有文件。

# aide --init


初始化助手数据库

然后在继续之前使用此命令将数据库重命名为/var/lib/aide/aide.db.gz 。

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

建议将数据库移到安全的位置,可能位于只读介质或其他机器上,但要确保更新配置文件以便从那里读取。

在创建数据库之后,您现在可以使用--check标志来--check文件和目录的完整性。

# aide --check

它将读取数据库中的快照,并将其与系统磁盘中找到的文件/目录进行比较。 如果发现您可能不期望的地方发生了变化,则会生成一份报告,然后您可以查看。


运行文件完整性检查

由于没有对文件系统进行更改,因此只能得到类似于上面的输出。 现在尝试在配置文件中定义的区域中创建文件系统中的一些文件。

# vi /etc/script.sh

# touch all.txt

然后再运行一次检查,应该报告上面添加的文件。 这个命令的输出取决于你为检查而配置的文件系统的部分,可能是冗长的超时。

# aide --check


检查文件系统更改

您需要定期运行辅助检查,并且在已经选择的文件发生任何更改的情况下,或者在配置文件中添加新的文件定义时,请始终使用--update选项更新数据库:

# aide --update

运行数据库更新后,为了将来的扫描使用新数据库,请将其重命名为/var/lib/aide/aide.db.gz :

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

目前为止就这样了! 但请注意这些重要的一点:

  • 大多数入侵检测系统AIDE(包括AIDE)的一个特点是它们不会为系统上的大多数安全回路孔提供解决方案。 然而,他们通过帮助系统管理员检查对系统文件/目录的任何改变来帮助缓解入侵响应过程。 所以你应该时刻保持警惕,不断更新你目前的安全措施。

  • 强烈建议将新创建的数据库,配置文件和AIDE二进制文件保存在安全位置,如只读介质(如果从源代码安装,则可能)。

  • 为了提高安全性,请考虑签署配置和/或数据库。

IT运维大爆炸(运维开发)
关注
AIDE 是一个监控文件系统变化的工具_C语言_代码_下载
07-02
AIDE 是一个监控文件系统变化的工具。可以使用 检测未经授权的受监控文件和目录。助手是 编写为 Tripwire 的简单的替代方案。特征 目前包含在 AIDE 中的如下: o 监控文件属性:权限、inode、用户、组 文件...
AIDE
kanoeYuko的博客
02-08 452
文件完整性检查AIDE(dvanced Intrusion DetectionEnvironment) 当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这个木马(除了木马自身的一些隐 蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用 ps aux来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以 使用ps命令...
Linux安全之AIDE系统入侵检测工具安装和使用
最新发布
qq_53058639的博客
06-01 1002
AIDE,全称为Advanced Intrusion DetectionEnvironment,是一个主要用于检测文件完整性的入侵检测工具。它能够构建一个指定文件的数据库,并使用aide.conf作为其配置文件AIDE数据库能够保存文件的各种属性,包括权限、索引节点序号、所属用户、所属用户组、文件大小、最后修改时间、创建时间、最后访问时间、增加的大小以及连接数等。此外,AIDE还支持多种算法,如sha1、md5、rmd160、tiger等,以密文形式建立每个文件的校验码或散列号。
sha256校验工具_使用AIDE工具做入侵检测
weixin_39531594的博客
12-04 1381
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(gro...
在linux中如何检查一个目录,在Linux中,如何使用"AIDE"检查文件和目录的完整性...
weixin_36086032的博客
04-28 356
AIDE ( Advanced Intrusion Detection Environment )是一个小型但是功能强大的免费开源入侵检测工具,它使用预定义的规则来检查类Unix操作系统(如Linux )中的文件和目录完整性,它是一个独立的静态二进制文件,用于简化客户端/服务器监视配置。它功能丰富:使用纯文本配置文件和数据库,易于使用;支持几种消息摘要算法,包括但不限于md,sha,rmd160,...
CentOS7 系统安全加固实施方案介绍
热门推荐
重剑无锋,大巧不工。。。
09-23 2万+
CentOS7.0系统安全加固手册 目录 一、用户帐号和环境……………………………………………………………………………………. 2二、系统访问认证和授权……………………………………………………………………………… 3三、核心调整……………………………………………………………………………………………… 4四、需要关闭的一些服务……………………………………………………………………………… 5五、SSH
高级入侵检测环境AIDE
01-20
**高级入侵检测环境AIDE** 是一款用于网络安全的工具,主要功能是对系统文件的完整性进行检查,以便及时发现潜在的入侵或恶意修改。AIDE通过创建一个包含文件详细信息的数据库来实现这一目标,这些信息包括文件的...
Linux中AIDE入侵检测系统的应用.pdf
09-06
2. Monitoring 阶段:在这个阶段中,AIDE 会不断地监控文件系统的变化,检查文件的完整性,如果发现任何变化,AIDE 就会生成报告。 3. Reporting 阶段:在这个阶段中,AIDE 会生成报告,报告中包括文件的变化信息,...
linux aide使用方法,Linux AIDE(文件完整性检测)
weixin_34239718的博客
05-13 2308
一、AIDE的概念AIDE:Advanced Intrusion Detection Environment,是一款入侵检测工具,主要用途是检查文档的完整性。AIDE在本地构造了一个基准的数据库,一旦操作系统被入侵,可以通过对比基准数据库而获取文件变更记录,使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode nu...
AIDE学习手册
06-15
AIDE学习手册.apk
AIDE教程系列1
07-05
了解AIDE(3课) 本来以前做PyS60教程是没有介绍开发工具这一节的,由于AIDE专业名词很多,且无可用汉化版(其实汉化版在论坛上是有的,但汉化组们汉化的AIDE由于破坏了软件原有的签名,虽然安装之后可以打开,但写的程序无法run运行,这个大家可以去试试。。) 这里,我开始向大家介绍AIDE的使用和功能,有些截图是截的汉化版的,方便大家对照。 进入主界面如下图: 有的手机第一次打开AIDE时会提示新建一个android项目,可以点不。如上图,点击电脑图标后,会弹出出AIDE的工作区,如下图: 默认工作区弹出的内容是AIDE的项目文件管理器,值得一提是AIDE的项目文件管理器的默认文件目录是在sd卡下的AppProjects目录下的,新建安卓项目最好新建在这个目录下。 工作区里的内容或者说功能可以通过手机菜单键>More(更多)进行切换,More(更多)的内容如下图: 为了防止AIDE以后有更多功能,图片不好对照。下面我给出常用的英文翻译对照: 1、主菜单 Files-->文件夹 GoTo-->跳转 Forward-->前进 Save-->保存 Run-->运行 More-->更多 . 2、More(更多) Go Premium!-->无用的,不管 Show Errors -->显示错误 Show Search Results-->显示搜索结果 Show LogCat-->显示LogCat Show File Location-->显示文件位置 Show Open Files-->显示打开的文件夹 Search in Files-->在文件中搜索 GoTo Class-->跳转到类 GoTo Line-->跳转到行 Export APK-->导出APK Refresh Build-->刷新工程 Refresh Code Analysis-->刷新代码分析 Close Project-->关闭工程 Community-->社区(跳转网页)SDK Help-->社区(跳转到android官方开发帮助) Settings-->设置 Exit-->退出 . 我希望大家在编写第一程序之前先好好的了解一下的我们的开发工具AIDE,还好很多没翻译到的地方可以自己摸索一下,好了,这一节就到这里。
AIDE使用
侯海云
09-13 8540
AIDE简介当一个入侵者进入了你的系统并且种植了木马,通常会想法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业,也有可能替换掉cronta
网络系统管理Debian模块||StorageSrv的AIDE配置详解
Rin_CSDN
07-27 422
​ · 监控/webdata目录,当目录中文件发生变化时进行检查可以看到相关提示信息;​ · 监控/webdata目录,当目录中文件发生变化时进行检查可以看到相关提示信息;​ · 配置aide安全监控策略;​ · 配置aide安全监控策略;
aide文件安全审计工具的简单使用方法
数据库天地
08-21 399
tripwire曾是linux下的最为普遍使用的文件审计工具,但可能因为其版权方面的原因,现在的发行版大多已经放弃了使用,如CentOS 5就使用了aide来代替该软件。AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性。 具体特性在此就不作具体介绍了,大家可以google...
使用AIDE做Linux高级入侵检测文件监控
citelao的博客
03-21 2796
使用AIDE做Linux高级入侵检测文件监控 1、aide介绍 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索
使用AIDE检查完整性
allway2的博客
07-05 1224
Advanced Intrusion Detection Environment(AIDE)是一种实用程序,可在系统上创建文件数据库,然后使用该数据库来确保文件完整性并检测系统入侵。 1。安装AIDE 要安装助手包,请输入以下命令root: ~]#yum install aide 要生成初始数据库,请输入以下命令root: ~]#aide --init AIDE, version 0.15.1 ### AIDE database at /var/lib/a...
如何在Linux中使用AIDE监控文件的完整性
weixin_43226231的博客
01-08 366
AIDE(高级入qin检测环境)是文件完整性检查程序和入qin检测程序。 特性 主要用途是检查文件的完整性,审计计算机上哪些文件被更改过。 AIDE根据从/etc/aide.conf配置文件中找到的正则表达式规则创建数据库。初始化该数据库后,就可以用来验证文件的完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库。AIDE数据库能够保存文件的各种属性,包括:...
linux aide使用方法,如何在Linux中使用AIDE监控文件的完整性
weixin_34416909的博客
05-13 652
简介AIDE(高级入qin检测环境)是文件完整性检查程序和入qin检测程序。特性主要用途是检查文件的完整性,审计计算机上哪些文件被更改过。AIDE根据从/etc/aide.conf配置文件中找到的正则表达式规则创建数据库。初始化该数据库后,就可以用来验证文件的完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库。AIDE数据库能够保存文件的各种属性,包括:权限(p...
AIDE在Linux中的文件系统完整性检测与应用
AIDE的特点明显,例如支持多种消息摘要算法,便于精确监控不同类型的文件属性,如文件类型、权限、索引节点等,同时兼容POSIX ACL、SELinux、XAttrs等高级文件系统功能。AIDE配置文件是纯文本形式,易于管理和定制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值