Linux安全注意事项 -  AIDE文件完整性

Linux安全提示 - AIDE文件完整性

AIDE( 高级入侵检测环境 )是一种检查文件完整性的工具。 它是TRIPWIRE的开源替代品。 它允许拍摄所有主要配置文件,二进制文件以及库统计信息的快照。 并且有助于找出哪些二进制文件在系统受到损害的情况下已被更改。 这可以从http://sourceforge.net下载

同时下载二进制文件和签名文件。 导入并验证GPG密钥。

编译安装AIDE

阅读AIDE的源代码中的INSTALL文档,以获得包的要求。 在安装AIDE之前需要mhash实用程序。 下载运行AIDE所需的mhash实用程序。 从sourceforge.net下载。

解压缩包AIDE和MHASH。

安装MHASH:

# tar -zxvf mhash-0.9.2.tar.gz
# cd mhash-0.9.2
# ./configure
# make
# make install

这将将二进制文件和库放在/ usr / local中

安装AIDE:

# tar -zxvf aide-0.10.tar.gz
# cd aide-0.10
# ./configure
# make "this will create the aide binary"
# make install

这将将二进制文件复制到/ usr / local / bin

注意:记录已安装的二进制文件的md5sum是跟踪中间人攻击的好主意。

使用AIDE配置和监控文件

第1步.生成AIDE数据库(创建文件统计信息的快照)。

aide-0.10 / doc /目录编辑aide.conf配置文件,以定义哪个目录必须被监视的规则。

# 3 type of line are there
#    1. variables
#    2. Macros
#    3. types of file, which includes the directories, to monitor.
database=file:/home/kiran/aide/aide.db (this will define the aide database store location)
#Now define here the aide rules
#This will monitor all the subdirectories beneath /etc/
/etc R
# check the defnition for R in the aide.conf file.
#=/etc/ R (Only etc directory will be monitored)

现在创建AIDE数据库。

# aide  -c  aide.conf  --init

这将创建一个名为aide.db.new的新数据库。 该命令将扫描/ etc /目录中的所有文件,并将它们存储为名为aide.db.new的数据库。

注意:AIDE使用stat命令获取文件的详细信息,包括权限,inode,acess时间,修改时间等,并将它们存储在aide.db文件中。

比较AIDE与DB:

# aide -c aide.conf  --check

这将通过与aide.db (从上一个命令获取的快照)进行比较来显示当前/ etc /子目录的状态。

现在测试AIDE功能。

编辑/ etc /子目录中的任何文件。

现在再次使用命令检查:

# aide -c aide.conf  --check

这将显示文件从先前状态的更改。

注意: 助手 - 检查必须经常执行。 如果我们发现任何更改,请验证它们并再次更新助手DB。

检查aide db后更新助手DB:

# aide -c aide.conf --update

这将将数据库重置为/ etc /子目录的当前状态。

包括更多的目录来监控:

编辑aide.conf

/boot  R
/bin   R
/etc   R
/lib   R
/usr   R
/install   R
/sbin$   R #aide will not recurse in to the subdirectories

其他配置选项:

/ R
!/var  # This will make to monitor all the directories inside the "/" and will exclude the /var directory.
# aide -c aide.conf  --init

这将为aide.conf中定义的所有目录生成一个新的数据库。

注意:这将有助于我们查明哪个文件已经实现了,以防系统发生任何妥协,与之前的DB进行比较。 一旦我们创建了助手数据库,最好将辅助二进制配置文件和辅助数据库刻录到任何只读介质。 所以这将增加助手DB的完整性。

# mkisofs -V Aide_DB`date +%F` -J -R -o aide.iso /Aide/directory
# cdrecord -v -eject aide.iso

以后,如果有任何怀疑的漏洞,您可以加载这些二进制文件,助手DB和配置文件进行AIDE审核。

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏