Linux加密安全—AIDE工具
AIDE介绍
当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入侵者会修改一些文件,比如管理员通常用ps -aux来查看系统进程,那么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有两款: Tripwire和AIDE,前者是一款商业软件,后者是一款免费的但功能也很强大的工具。
AIDE(Advanced Intrusion Detection Environment)
- 高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
- AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。 AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。 AIDE还能够使用下列算法:sha1、 md5、 rmd160、 tiger,以密文形式建立每个文件的校验码或散列号。
- 这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、 /proc文件系统、用户起始目录以及临时目录
安装aide工具
yum install aide
[[email protected] ~]# rpm -ql aide
/etc/aide.conf ###配置文件
/usr/sbin/aide ##主程序
/var/lib/aide ##aide数据库
/var/log/aide ##日志
修改配置文件
[[email protected] ~]# vim /etc/aide.conf (指定对哪些文件进行检测)
@@define DBDIR /var/lib/aide ###数据库存放路径
@@define LOGDIR /var/log/aide ####日志存放路径
# The location of the database to be read.
database=file:@@{DBDIR}/aide.db.gz ###数据库文件名 aide.db.gz
# The location of the database to be written.
database_out=file:@@{DBDIR}/aide.db.new.gz ###收集当前系统中需要监控程序到属性存放路径
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256 ###监控的例子
/test/chameleon R
/bin/ps R+a
/usr/bin/crontab R+a
/etc PERMS
!/etc/mtab #“!” 表示忽略这个文件的检查
R=p+i+n+u+g+s+m+c+md5 权限+索引节点+链接数+用户+组+大小+最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha256
初始化默认的AIDE的库:
- /usr/local/bin/aide --init
生成检查数据库(建议初始数据库存放到安全的地方)
- cd /var/lib/aide
- mv aide.db.new.gz aide.db.gz
检测:
- /usr/local/bin/aide --check
案例:
第一步:
yum install aide
[r[email protected] cd]# rpm -ql aide
/usr/sbin/aide 主程序
/etc/aide.conf 配置文件(定义监控文件的信息、属性、所有者、所属组、大小等)
/var/log/aide 日志
/var/lib/aide 数据库
cat /etc/aide.conf 文件重要例子说明
# The location of the database to be read.
database=file:@@{DBDIR}/aide.db.gz
————————————————————————————
# The location of the database to be written.
#database_out=sql:host:port:database:login_name:passwd:table
#database_out=file:aide.db.new
database_out=file:@@{DBDIR}/aide.db.new.gz
—————————————————————————————
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
—————————————————————————————
修改主配置文件 vim /etc/aide.conf
例子:TEXT=p+u+g+s+md5 定义监控规则
监控data下的file1 file2 file3
/data/ TEXT
!/data/ file3 不监控data下的fie3文件
>:wq
>aide --init 保存新定义的监控规则到aide的数据库中(/var/lib/adie)
或者aide --updata
>cd /var/lib/aide
>mv aide.db.new.gz adie.db.gz 修改文件名称和数据库中的做对比
>aide --check 比较
结果会显示f1文件的大小和哈希值有了变化。