AIDE_ZenDei技術網路在線

AIDE

-Advertisement-

AIDE ...

AIDE

    當一個入侵者進入了你的系統並且種植了木馬，通常會想辦法來隱蔽這個木馬（除了木馬自身的一些隱蔽特性外，他會儘量給你檢查系統的過程設置障礙）。
    通常入侵者會修改一些文件，比如管理員通常用ps -aux 來查看系統進程，那麼入侵者很可能用自己經過修改的ps 程式來替換掉你系統上的ps 程式，以使用ps 命令查不到正在運行的木馬程式。如果入侵者發現管理員正在運行crontab 作業，也有可能替換掉crontab程式等等。
    所以由此可以看出對於系統文件或是關鍵文件的檢查是很必要的。
    目前就系統完整性檢查的工具用的比較多的有兩款：Tripwire 和AIDE，前者是一款商業軟體，後者是一款免費的但功能也很強大的工具。
    
    AIDE(Adevanced Intrusion Detection Environment)，高級入侵檢測環境，是一個入侵檢測工具，主要用途是檢查文件的完整性，審計電腦上的那些文件被更改過了。
    AIDE 能夠構造一個指定文件的資料庫，它使用aide.conf 作為其配置文件。
    AIDE 資料庫能夠保存文件的各種屬性，包括：許可權(permission) 、索引節點序號(inode number) 、所屬用戶(user)、 所屬用戶組(group) 、文件大小、最後修改時間(mtime) 、創建時間(ctime) 、最後訪問時間(atime) 、增加的大小以及連接數。
    AIDE還能夠使用下列演算法：sha1 、md5 、rmd160 、tiger ，以密文形式建立每個文件的校驗碼或散列號。
    這個資料庫不應該保存那些經常變動的文件信息，例如：日誌文件、郵件、/proc 文件系統、用戶起始目錄以及臨時目錄.
    
    安裝
        yum install aide
    
    aide
        aide - Advanced Intrusion Detection Environment
        aide [parameters] command
        Commands:
            -i, --init          Initialize the database
            -C, --check         Check the database
            -u, --update            Check and update the database non-interactively
            --compare           Compare two databases
        Miscellaneous:
            -D, --config-check      Test the configuration file
            -v, --version           Show version of AIDE and compilation options
            -h, --help          Show this help message
        Options:
            -c [cfgfile]    --config=[cfgfile]      Get config options from [cfgfile]
            -B "OPTION" --before="OPTION"       Before configuration file is read define OPTION
            -A "OPTION" --after="OPTION"        After configuration file is read define OPTION
            -r [reporter]   --report=[reporter]     Write report output to [reporter] url
            -V[level]   --verbose=[level]       Set debug message level to [level]
            
    
    修改配置文件
        vim /etc/aide.conf ( 指定對哪些文件進行檢測)
            /test/chameleon     R
            /bin/ps     R+a
            /usr/bin/crontab    R+a
            /etc    PERMS
            !/etc/mtab  # “!” 表示忽略這個文件的檢查
            R=p+i+n+u+g+s+m+c+md5   許可權+ 索引節點+ 鏈接數+用戶+ 組+ 大小+ 最後一次修改時間+ 創建時間+md5 校驗值
            NORMAL = R+rmd60+sha256 
    初始化預設的AIDE 的庫：
        /usr/local/bin/aide --init
    生成檢查資料庫（建議初始資料庫存放到安全的地方）
        cd /var/lib/aide
        mv aide.db.new.gz aide.db.gz
    檢測：
        /usr/local/bin/aide --check
    更新資料庫
        aide --update

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

.net使用AsposeWord導出word table表格

本文為原創，轉載請註明出處 1.前言 .net平臺下導出word文件還可以使用Microsoft.Office.Interop和NPOI，但是這兩者都有缺點，微軟的Office.Interop組件需要程式運行的主機上安裝office，至於NPOI，由於長期無人維護，BUG眾多，各種對象和屬性名的命名 ...
Maven_04、項目構建和依賴管理

前言前幾篇博客筆者介紹了maven項目的入門程式，以及相關的命令的作用以及生命周期，接下來筆者就介紹一下如何使用eclipse構建maven項目，以便筆者之後的複習，也作為和大家交流的內容，有錯請指出，筆者經常博客線上，如果喜歡，請推薦！一、maven項目構建 1.1m2e插件的安裝 1.1.1 ...
Linux之NFS網路文件系統

NFS（Network File System）即網路文件系統，是FreeBSD支持的文件系統中的一種，它允許網路中的電腦之間通過TCP/IP網路資源共用。在NFS的應用中，本地NFS的客戶端應用可以透明地讀寫位於遠端NFS伺服器上的文件，就像訪問本地文件一樣。 1、好處（1）節省本地存儲空間， ...
Vim 字元串替換命令

命令模式下輸入如下命令可實現替換： ~~~~ s/str1/str2/ 替換當前行第一個 str1 為 str2 s/str1/str2/g 替換當前行中所有的 str1 為 str2 m,ns/str1/str2/ 替換第 m 行到第 n 行中每一行的第一個 str1 為 str2 m,ns/st ...
安裝Harbor1.4.0開源docker鏡像倉庫（含letsencrypt證書）

文檔版本號：20180216最近在Ubuntu Linux 14.04上和CentOS Linux 7.4上成功安裝了Harbor，現將過程整理如下，供大家參考：備註：使用非root用戶操作Docker，需要創建docker組 sudo groupadd docker 將當前用戶加入docker組 ...
wget命令的幾個常用選項和示例

wget命令用來從指定的URL下載文件。wget非常穩定，它在帶寬很窄的情況下和不穩定網路中有很強的適應性，如果是由於網路的原因下載失敗，wget會不斷的嘗試，直到整個文件下載完畢。如果是伺服器打斷下載過程，它會再次聯到伺服器上從停止的地方繼續下載。這對從那些限定了鏈接時間的伺服器上下載大文件非常有 ...
應用負載均衡之LVS(一)：基本概念和三種模式

本文目錄：1. LVS簡介2. LVS-ipvs三種模式的工作原理　2.1 VS/NAT模式　2.2 VS/TUN模式　2.3 VS/DR模式　2.4 lvs-ipvs的三種模式比較3. VS/TUN和VS/DR模式中的ARP問題4. LVS負載均衡的調度演算法網站架構中，負載均衡技術是實現網站架構 ...
PAM認證

PAM(Pluggable Authentication Modules) PAM架構 pam 認證原理 PAM 認證過程 PAM的配置文件 pam文檔限制的實現方式共有3種方式： 1）通過ulimit命令 2）在/etc/security/limits.d/目錄下創建限制文件來實現 3）修改/ ...