使用AIDE工具做入侵检测 - Kirin博客

使用AIDE工具做入侵检测

作者: A.毒蜂

全网最全的网络资源分享网站

标签:

渗透AIDE

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。

AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。

实验目的:

Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。


使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。


步骤


实现此案例需要按照如下步骤进行。


步骤一:部署AIDE入侵检测系统


1)安装软件包

[[email protected] ~]# yum -y install aide


2) 修改配置文件


确定对哪些数据进行校验,如何校验数据


[[email protected] ~]# vim /etc/aide.conf

@@define DBDIR /var/lib/aide                            //数据库目录

@@define LOGDIR /var/log/aide                            //日志目录

database_out=file:@@{DBDIR}/aide.db.new.gz                //数据库文件名

//一下内容为可以检查的项目(权限,用户,组,大小,哈希值等)

#p:      permissions

#i:      inode:

#n:      number of links

#u:      user

#g:      group

#s:      size

#md5:    md5 checksum

#sha1:   sha1 checksum

#sha256:        sha256 checksum

DATAONLY =  p n u g s acl selinux xattrs sha256

//以下内容设置需要对哪些数据进行入侵校验检查

//注意:为了校验的效率,这里将所有默认的校验目录与文件都注释

//仅保留/root目录,其他目录都注释掉

/root   DATAONLY

#/boot   NORMAL                                    //对哪些目录进行什么校验

#/bin    NORMAL

#/sbin   NORMAL

#/lib    NORMAL

#/lib64  NORMAL

#/opt    NORMAL

#/usr    NORMAL

#!/usr/src                                        //使用[!],设置不校验的目录

#!/usr/tmp


步骤二:初始化数据库,入侵后检测


1)入侵前对数据进行校验,生成初始化数据库

[[email protected] ~]# aide --init

AIDE, version 0.15.1

AIDE database at /var/lib/aide/aide.db.new.gz initialized.

//生成校验数据库,数据保存在/var/lib/aide/aide.db.new.gz


2)备份数据库,将数据库文件拷贝到U盘(非必须的操作)

[[email protected] ~]# cp /var/lib/aide/aide.db.new.gz   /media/


3)入侵后检测

[[email protected] ~]# cd /var/lib/aide/

[[email protected] ~]# mv aide.db.new.gz aide.db.gz

[[email protected] ~]# aide --check    //检查哪些数据发生了变化

使用AIDE工具做入侵检测
分享到:
加入交流群
未经允许不得转载:

作者: A.毒蜂, 转载或复制请以 超链接形式 并注明出处 Kirin博客
原文地址: 《使用AIDE工具做入侵检测》 发布于2020-7-25

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就加入交流群吧

QQ扫一扫