如何为您的网站配置AIDE(高级入侵检测环境)文件完整性扫描器
文件完整性扫描器是您需要的。 想象一下,黑客在您的网站上放置一个后门,或者更改您的订单,以便向他发送每张信用卡的副本,同时保持其功能正常。
通过设置每日报告,这在任何文件被更改,添加或删除的时间内至少24小时内会通知您。 如果您的网站遭到入侵,还可以建立审核追踪。
这些指令是为最终用户设计的,您不需要root用户访问权限,实现并假定您的服务器已安装了辅助二进制文件。 大多数主机将已经安装,或者根据要求安装它。
第1步:下载AIDE配置文件示例
我们将从一个简单的开始,这将扫描您的Web根目录md5哈希更改。
要将SSH文件下载到您的帐户并运行:
$ wget securehostingdirectory.com/aide.conf
在此文件中您想要更改的内容是替换第一行中的“username”,并确认是根目录的路径。
然后在最后一行,确认public_html是您的Web根目录。 如果您的主机使用cPanel控制面板,则public_html是您的Web根目录。
第2步:初始化AIDE数据库
初始化AIDE数据库的命令是:
$ nice -19 aide --init --config=/home/username/aide.conf
AIDE不是世界上资源最少的软件,所以我们运行它的优先级是19。
现在将您的AIDE输出数据库文件复制到输入文件中:
$ cp aide.db.out aide.db.in
您可以通过以下方式测试助手:
$ nice -19 aide -C --config=/home/username/aide.conf
现在继续运行,它会说所有文件匹配,然后更改文件并添加一个文件,重新运行它,看看报告的内容。
第3步:每日报告
有几种方法来获得助手报告,一个常见的方法是通过电子邮件发送报告,为此您可以设置一个cronjob来管理助理,如果你愿意的话,甚至更频繁。
打开crontab编辑器并粘贴:
0 1 * * * nice -19 /usr/local/bin/aide --config=/home/username/aide.conf -C| mail you@domain -saide\ domain
这些报告可能会延长加班时间,所以如果要重置数据库,比如说每周一次,可以将它添加到crontab中:
0 2 * * 0 nice -19 /usr/local/bin/aide --config=/home/username/aide.conf --init;mv -f /home/username/aide.db.out /home/username/aide.db.in
第4步:其他
我们已经涵盖了基础知识,实际上只是你可以用AIDE做的冰山一角。
您可以在这里获得完整的AIDE配置文件: 全AIDE配置文件
而且您可能希望排除某些文件,例如,如果您有论坛或图库,并且定期添加大量图像,则可以从报表中排除这些文件。 例如,要排除图像中的所有jpg文件/您将在配置文件中放入以下内容:
!@@{TOPDIR}/public_html/images/.*\.jpg$
这将在上面的那一行:
@@{TOPDIR}/public_html MD
您可以做另外一件额外的安全措施是让您的主机将您的数据库文件和您的配置文件复制到另一个用户,这样一来,如果您的用户受到威胁,则黑客不会损害您的AIDE数据库,而不会访问第二个用户
为了更安全,您可以在创建AIDE数据库后下载,然后在运行扫描之前将其上传。
我希望这个Howto可以让您看到文件完整性检查器的需要,无论用户级别如何,都可以轻松设置。
