AIDE(Advanced Intrusion Detection Environment,高級入侵檢測環(huán)境)是個入侵檢測工具，主要用途是檢查文檔的完整性。AIDE能夠構(gòu)造一個指定文檔的數(shù)據(jù)庫，他使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫能夠保存文檔的各種屬性，包括：權(quán)限(permission)、索引節(jié)點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創(chuàng)建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每個文檔的校驗碼或散列號。實驗?zāi)康?#xff1a;

Aide通過檢查數(shù)據(jù)文件的權(quán)限、時間、大小、哈希值等，校驗數(shù)據(jù)的完整性。

使用Aide需要在數(shù)據(jù)沒有被破壞前，對數(shù)據(jù)完成初始化校驗，生成校驗數(shù)據(jù)庫文件，在被攻擊后，可以使用數(shù)據(jù)庫文件，快速定位被人篡改的文件。

步驟

實現(xiàn)此案例需要按照如下步驟進(jìn)行。

步驟一：部署AIDE入侵檢測系統(tǒng)

1)安裝軟件包

[root@proxy ~]# yum -y install aide

2) 修改配置文件

確定對哪些數(shù)據(jù)進(jìn)行校驗，如何校驗數(shù)據(jù)

[root@proxy ~]# vim /etc/aide.conf

@@define DBDIR /var/lib/aide? ?? ?? ?? ?? ?? ?? ?? ?? ? //數(shù)據(jù)庫目錄

@@define LOGDIR /var/log/aide? ?? ?? ?? ?? ?? ?? ?? ?? ? //日志目錄

database_out=file:@@{DBDIR}/aide.db.new.gz? ?? ?? ?? ?? ? //數(shù)據(jù)庫文件名

//一下內(nèi)容為可以檢查的項目(權(quán)限，用戶，組，大小，哈希值等)

#p:? ?? ?permissions

#i:? ?? ?inode:

#n:? ?? ?number of links

#u:? ?? ?user

#g:? ?? ?group

#s:? ?? ?size

#md5:? ? md5 checksum

#sha1:? ?sha1 checksum

#sha256:? ?? ???sha256 checksum

DATAONLY =??p n u g s acl selinux xattrs sha256

//以下內(nèi)容設(shè)置需要對哪些數(shù)據(jù)進(jìn)行入侵校驗檢查

//注意：為了校驗的效率，這里將所有默認(rèn)的校驗?zāi)夸浥c文件都注釋

//僅保留/root目錄，其他目錄都注釋掉

/root? ?DATAONLY

#/boot? ?NORMAL? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?//對哪些目錄進(jìn)行什么校驗

#/bin? ? NORMAL

#/sbin? ?NORMAL

#/lib? ? NORMAL

#/lib64??NORMAL

#/opt? ? NORMAL

#/usr? ? NORMAL

#!/usr/src? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? //使用[!]，設(shè)置不校驗的目錄

#!/usr/tmp

步驟二：初始化數(shù)據(jù)庫，入侵后檢測

1)入侵前對數(shù)據(jù)進(jìn)行校驗，生成初始化數(shù)據(jù)庫

[root@proxy ~]# aide --init

AIDE, version 0.15.1

AIDE database at /var/lib/aide/aide.db.new.gz initialized.

//生成校驗數(shù)據(jù)庫，數(shù)據(jù)保存在/var/lib/aide/aide.db.new.gz

2)備份數(shù)據(jù)庫，將數(shù)據(jù)庫文件拷貝到U盤(非必須的操作)

[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz? ?/media/

3)入侵后檢測

[root@proxy ~]# cd /var/lib/aide/

[root@proxy ~]# mv aide.db.new.gz aide.db.gz

[root@proxy ~]# aide --check? ??//檢查哪些數(shù)據(jù)發(fā)生了變化

推薦文章++++

*pytbull - 入侵檢測/預(yù)防系統(tǒng)(IDS / IPS)測試框架

*入侵檢測學(xué)習(xí) Snort [一]

*Security Onion - 用于入侵檢測Linux版

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的sha256校验工具_使用AIDE工具做入侵检测的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。