温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

安全入侵检测之AIDE

发布时间:2020-08-17 06:50:02 来源:ITPUB博客 阅读:208 作者:小范的学习小窝 栏目:建站服务器
正文


0x00 为何要用

入侵检测,安全领域当中最基本也是最好用的一种攻击检测方式。对于我们的服务器来讲,假设被攻击了,破坏数据并不是绝大多数攻击者的本意,更多的是想要用我 们的服务器去做爱做的事。所以一旦服务器遭到入侵,很多的配置,可能是会被改变的。比如新安装了一个软件,比如突然多了一些数据,或者说服务器的配置文件 发生了变化。那么,AIDE这款入侵检测软件就可以检测我们系统的一些变动,而这些直接检测出来的结果就可以作为我们服务器被攻破的依据。注意:我们这里 所说的入侵检测,并非网络的入侵检测,而是系统的入侵检测。

0x01 关于AIDE

AIDE 是(Advanced Intrusion Detection Environment) 高级入侵检测的缩写,实现的功能主要对文件完整性进行检测。

0x02 工作原理

AIDE 首先会初始化一个被监测文件的数据库,它会提前对文件进行一个校验运算,把校验值保存到数据库中。最后根据管理员的配置进行周期性检查,比如说1天、1 周,或者手动检查。检查的时候其实就是对被监测文件再进行一次校验,把新校验值和原校验值进行对比,如果不一样证明有变动。

0x03 校验算法


#md5
#sha1
#rmd160
#tiger
#crc32
#sha256
#sha512
#whirlpool
#gost
#haval
#crc32b


0x04 监测属性


#p:            permissions                    <==权限
#i:            inode                        <==innode号
#u:            uid                            <==用户id
#g:            gid                            <==组id
#l:            link name                    <==链接名称
#s:            size                        <==文件大小
#b:            block count                    <==block的总数
#n:            number of links                <==链接数量
#a:            atime                        <==最后访问时间
#m:            mtime                        <==最后修改时间
#c:            ctime                        <==最后改变时间
#S:            growing size                <==数据增长大小    
#acl:        Access Control Lists        <==访问控制列表
#selinux:    SELinux security context    <==SElinux上下文
#xattrs:    Extended file attributes    <==文件扩展属性

0x05 安装/配置


# yum install -y aide     <==yum方式安装aide
# cp /etc/aide.conf /etc/aide.conf.default         <==备份原配置文件
# vim /etc/aide.conf    <==修改配置文件

首先我们把默认监测对象通通干掉:


安全入侵检测之AIDE

然后选择监测属性/创建监测规则:


安全入侵检测之AIDE

设定监测对象:


安全入侵检测之AIDE

最不应该变得就是配置文件和命令。

0x06 AIDE使用


# aide --init     <==初始化监测数据库
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz     <==把生成的监测数据库重命名
# aide --check    <==手动检测
# aide --update    <==更新数据库
# echo "* 2 * * * /usr/sbin/aide --check | mail -s \"AIDE Report\" root@wooyun.org" >> /etc/crontab     <==周期性检查,每2分钟一次,并把检测结果发到管理员邮箱


向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI