Linux安全提示 - AIDE文件完整性
AIDE( 高级入侵检测环境 )是一种检查文件完整性的工具。 它是TRIPWIRE的开源替代品。 它允许拍摄所有主要配置文件,二进制文件以及库统计信息的快照。 并且有助于找出哪些二进制文件在系统受到损害的情况下已被更改。 这可以从http://sourceforge.net下载 。
同时下载二进制文件和签名文件。 导入并验证GPG密钥。
编译安装AIDE
阅读AIDE的源代码中的INSTALL文档,以获得包的要求。 在安装AIDE之前需要mhash实用程序。 下载运行AIDE所需的mhash实用程序。 从sourceforge.net下载。
解压缩包AIDE和MHASH。
安装MHASH:
# tar -zxvf mhash-0.9.2.tar.gz
# cd mhash-0.9.2
# ./configure
# make
# make install
这将将二进制文件和库放在/ usr / local中
。
安装AIDE:
# tar -zxvf aide-0.10.tar.gz
# cd aide-0.10
# ./configure
# make "this will create the aide binary"
# make install
这将将二进制文件复制到/ usr / local / bin
。
注意:记录已安装的二进制文件的md5sum是跟踪中间人攻击的好主意。
使用AIDE配置和监控文件
第1步.生成AIDE数据库(创建文件统计信息的快照)。
从aide-0.10 / doc /
目录编辑aide.conf
配置文件,以定义哪个目录必须被监视的规则。
# 3 type of line are there # 1. variables # 2. Macros # 3. types of file, which includes the directories, to monitor. database=file:/home/kiran/aide/aide.db (this will define the aide database store location) #Now define here the aide rules #This will monitor all the subdirectories beneath /etc/ /etc R # check the defnition for R in the aide.conf file. #=/etc/ R (Only etc directory will be monitored)
现在创建AIDE数据库。
# aide -c aide.conf --init
这将创建一个名为aide.db.new
的新数据库。 该命令将扫描/ etc /
目录中的所有文件,并将它们存储为名为aide.db.new
的数据库。
注意:AIDE使用stat命令获取文件的详细信息,包括权限,inode,acess时间,修改时间等,并将它们存储在aide.db
文件中。
比较AIDE与DB:
# aide -c aide.conf --check
这将通过与aide.db
(从上一个命令获取的快照)进行比较来显示当前/ etc /
子目录的状态。
现在测试AIDE功能。
编辑/ etc /
子目录中的任何文件。
现在再次使用命令检查:
# aide -c aide.conf --check
这将显示文件从先前状态的更改。
注意: 助手 - 检查
必须经常执行。 如果我们发现任何更改,请验证它们并再次更新助手DB。
检查aide db后更新助手DB:
# aide -c aide.conf --update
这将将数据库重置为/ etc /
子目录的当前状态。
包括更多的目录来监控:
编辑aide.conf
:
/boot R /bin R /etc R /lib R /usr R /install R /sbin$ R #aide will not recurse in to the subdirectories
其他配置选项:
/ R !/var # This will make to monitor all the directories inside the "/" and will exclude the /var directory.
# aide -c aide.conf --init
这将为aide.conf中定义的所有目录生成一个新的数据库。
注意:这将有助于我们查明哪个文件已经实现了,以防系统发生任何妥协,与之前的DB进行比较。 一旦我们创建了助手数据库,最好将辅助二进制配置文件和辅助数据库刻录到任何只读介质。 所以这将增加助手DB的完整性。
# mkisofs -V Aide_DB`date +%F` -J -R -o aide.iso /Aide/directory
# cdrecord -v -eject aide.iso
以后,如果有任何怀疑的漏洞,您可以加载这些二进制文件,助手DB和配置文件进行AIDE审核。