入侵檢測工具之RKHunter & AIDE

来源:http://www.cnblogs.com/aubin/archive/2017/09/15/7528727.html
-Advertisement-
Play Games

一、AIDE AIDE全稱為(Adevanced Intrusion Detection Environment)是一個入侵檢測工具,主要用於檢查文件的完整性,審計系統中的工具是否被更改過。 AIDE會構造一個資料庫文件,當系統在穩定時將全部或指定的文件屬性以密文的形式保存至資料庫中。文件屬性包括: ...


一、AIDE

  • AIDE全稱為(Adevanced Intrusion Detection Environment)是一個入侵檢測工具,主要用於檢查文件的完整性,審計系統中的工具是否被更改過。
  • AIDE會構造一個資料庫文件,當系統在穩定時將全部或指定的文件屬性以密文的形式保存至資料庫中。文件屬性包括:許可權、索引節點號、所屬用戶、所屬用戶組、文件大小、mtime、atime、ctime以及連接數。

安裝

[root@centos7 ~]$yum install -y aide

配置文件詳解

#定義了資料庫路徑的變數與日誌路徑的變數
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide

#開啟壓縮
gzip_dbout=yes

# 將多個許可權定義成規則賦給變數,便於後面引用
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
CONTENT = sha256+ftype
PERMS = p+u+g+acl+selinux+xattrs

# 採用哪種規則對哪些文件進行監控
/boot/   CONTENT_EX
/bin/    CONTENT_EX
/sbin/   CONTENT_EX
/lib/    CONTENT_EX
/lib64/  CONTENT_EX           #採用CONTENT_EX定義的規則進行監測
/opt/    CONTENT              #僅對opt目錄進行校驗碼與文件類型監測
/root/\..* PERMS              #PERMS並沒有hash校驗值,因為/root下的數據會經常變化

# 不監控的文件

!/etc/.*~
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum

定義規則

編輯配置文件/etc/adie.conf,定義一個規則變數mon,監控/app目錄下所有文件,不監控/app/saomiao.log。

[root@centos7 aide]$ vim /etc/aide.conf
  mon = p+u+g+sha512+m+a+c
  /app mon
  !/app/juli.sh

創建資料庫

生成資料庫文件,在配置文件中定義各文件計算各校驗碼放入資料庫中,用於以後比對。從提示中看出生成了一個/var/lib/aide/aide.db.new.gz資料庫文件,這個資料庫文件為初始資料庫,如果進行入侵檢測將與/var/lib/aide/aide.db.gz資料庫文件作比對,如果發現兩個資料庫不一致則提示被入侵。

[root@centos7 aide]$aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

模擬文件被入侵更改

模擬文件被修改 : 向saomiao.sh文件添加換行,促使更改校驗碼、Mtime、Ctime

[root@centos7 aide]$ echo >> /app/saomiao.sh

檢測:AIDE的檢測機制是計算出現在的資料庫後與aide.db.gz比對。aide.db.gz預設又不存在,所以要將之前的創建的初始化資料庫aide.db.new.gz改名為aide.db.gz

[root@centos7 aide]$mv aide.db.new.gz aide.db.gz 

入侵檢測

最後使用aide -C註意是大寫,將現在計算出的數據與aide.db.new.gz比對,查看數saomiao.sh文件的Mtime、CtimeSHA512被更改過


二、RKHunter

RKHunter工具時專門檢測系統是否遭受rootkit的一個工具,他通過自動執行一系列的腳本來全面的檢測伺服器是否感染rootkit。

RKHunter的功能

檢測易受攻擊的文件;
檢測隱藏文件;
檢測重要文件的許可權;
檢測系統埠號;

安裝

[root@centos7 aide]$yum install rkhunter

檢測

使用命令rkhunker -c對系統進行檢測。RKHunter檢測會分幾部分,第一部分主要檢測系統的二進位工具,因為這些工具時rootkit的首要感染目標。每檢測完一部分需要Enter來確認繼續。

[ ok ] 表示沒有異常
[ no found ] 是沒有找到此工具,不用理會
[ warning ] 如果是紅色的Warnning那就需要進一步確認這些工具是否被感染或者被替換。

如果想讓程式自動檢測而不是每檢測完一部分就讓用戶確認,可以使用

rkhunter --check --skip-keypress

同時如果要想達到每周或者每月自動檢測就可以將他加入到計劃任務中自動執行

crontab -e
1 10 7 * * * root /usr/bin/rkhunter --check --cronjob

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 狀態名 作用域 詳細解釋 Aborted_clients Global 由於客戶端沒有正確關閉連接導致客戶端終止而中斷的連接數 Aborted_connects Global 試圖連接到MySQL伺服器而失敗的連接數 Binlog_cache_disk_use Global 使用臨時二進位日誌緩存但 ...
  • 需求: 如果表欄位的值為 0 則將其修改為1 ,如果表欄位的值為 1 則將其修改為 0。 方法一 方法二 方法三 ...
  • 一工廠的SQL Server資料庫伺服器上的YourSQLDba_LogBackups作業做事務日誌備份時,突然出現異常,異常的錯誤信息指向.NET Framework,出現這個問題時,一般我估計是該伺服器自動應用了.NET Framework的一些補丁導致,因為以前也碰到過這類錯誤,於是去檢查服務 ...
  • 通過servlet,jsp,mysql實現用戶顯示,功能模塊和後臺數據三個模塊分離 ...
  • 本文轉自:http://www.sqlines.com/oracle-to-sql-server/months_between In Oracle, MONTHS_BETWEEN(date1, date2) function returns the number of months between ...
  • 以Deepin為例,只需一條命令即可: sudo apt-get install curl libcurl3 libcurl3-dev php5-curl ...
  • ubantu下用qemu搭建arm+linux運行環境 概述 模擬的單板為vexpress a9,內核為cortex a9;安裝完qemu可用以下命令查看支持的機器: 或`qemu system arm M help` 沒有支持ST公司的板子,有支持arm9,arm11,cortex m3,cort ...
  • python版本:3.5.2 操作系統:ubuntu 16.04 LTS 這個練習小程式還沒有寫完,差最關鍵的更新代碼和備份代碼!(待續) 註意:本程式在windows下還無法正常運行,特別是列印內容的顏色,還有目錄的路徑分隔符的問題待解決! ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...