《LINUX入門(mén)：入侵檢測(cè)工具之RKHunter & AIDE》要點(diǎn)：
本文介紹了LINUX入門(mén)：入侵檢測(cè)工具之RKHunter & AIDE，希望對(duì)您有用。如果有疑問(wèn)，可以聯(lián)系我們。

一、AIDE

• AIDE全稱(chēng)為(Adevanced Intrusion Detection Environment)是一個(gè)入侵檢測(cè)工具,主要用于檢查文件的完整性,審計(jì)系統(tǒng)中的工具是否被更改過(guò).
• AIDE會(huì)構(gòu)造一個(gè)數(shù)據(jù)庫(kù)文件,當(dāng)系統(tǒng)在穩(wěn)定時(shí)將全部或指定的文件屬性以密文的形式保存至數(shù)據(jù)庫(kù)中.文件屬性包含：權(quán)限、索引節(jié)點(diǎn)號(hào)、所屬用戶(hù)、所屬用戶(hù)組、文件大小、mtime、atime、ctime以及連接數(shù).

安裝

[root@CentOS7 ~]$yum install -y aide

配置文件詳解

#定義了數(shù)據(jù)庫(kù)路徑的變量與日志路徑的變量
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
#開(kāi)啟壓縮
gzip_dbout=yes
# 將多個(gè)權(quán)限定義成規(guī)則賦給變量,便于后面引用
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
CONTENT = sha256+ftype
PERMS = p+u+g+acl+selinux+xattrs
# 采用哪種規(guī)則對(duì)哪些文件進(jìn)行監(jiān)控
/boot/   CONTENT_EX
/bin/    CONTENT_EX
/sbin/   CONTENT_EX
/lib/    CONTENT_EX
/lib64/  CONTENT_EX           #采用CONTENT_EX定義的規(guī)則進(jìn)行監(jiān)測(cè)
/opt/    CONTENT              #僅對(duì)opt目錄進(jìn)行校驗(yàn)碼與文件類(lèi)型監(jiān)測(cè)
/root/\..* PERMS              #PERMS并沒(méi)有hash校驗(yàn)值,因?yàn)?root下的數(shù)據(jù)會(huì)經(jīng)常變化
# 不監(jiān)控的文件
!/etc/.*~
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum

定義規(guī)則

編輯配置文件/etc/adie.conf,定義一個(gè)規(guī)則變量mon,監(jiān)控/app目錄下所有文件,不監(jiān)控/app/saomiao.log.

[root@centos7 aide]$ vim /etc/aide.conf
  mon = p+u+g+sha512+m+a+c
  /app mon
  !/app/juli.sh

創(chuàng)建數(shù)據(jù)庫(kù)

生成數(shù)據(jù)庫(kù)文件,在配置文件中定義各文件計(jì)算各校驗(yàn)碼放入數(shù)據(jù)庫(kù)中,用于以后比對(duì).從提示中看出生成了一個(gè)/var/lib/aide/aide.db.new.gz數(shù)據(jù)庫(kù)文件,這個(gè)數(shù)據(jù)庫(kù)文件為初始數(shù)據(jù)庫(kù),如果進(jìn)行入侵檢測(cè)將與/var/lib/aide/aide.db.gz數(shù)據(jù)庫(kù)文件作比對(duì),如果發(fā)現(xiàn)兩個(gè)數(shù)據(jù)庫(kù)紛歧致則提示被入侵.

[root@centos7 aide]$aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

模擬文件被入侵變動(dòng)

模擬文件被修改 ： 向saomiao.sh文件添加換行,促使變動(dòng)校驗(yàn)碼、Mtime、Ctime

[root@centos7 aide]$ echo >> /app/saomiao.sh

檢測(cè)：AIDE的檢測(cè)機(jī)制是計(jì)算呈現(xiàn)在的數(shù)據(jù)庫(kù)后與aide.db.gz比對(duì).aide.db.gz默認(rèn)又不存在,所以要將之前的創(chuàng)建的初始化數(shù)據(jù)庫(kù)aide.db.new.gz改名為aide.db.gz.

[root@centos7 aide]$mv aide.db.new.gz aide.db.gz 

入侵檢測(cè)

最后使用aide -C注意是大寫(xiě),將現(xiàn)在計(jì)算出的數(shù)據(jù)與aide.db.new.gz比對(duì),查看數(shù)saomiao.sh文件的Mtime、CtimeSHA512被變動(dòng)過(guò)

二、RKHunter

RKHunter工具時(shí)專(zhuān)門(mén)檢測(cè)系統(tǒng)是否遭受rootkit的一個(gè)工具,他通過(guò)自動(dòng)執(zhí)行一系列的腳原來(lái)全面的檢測(cè)服務(wù)器是否感染rootkit.

RKHunter的功能

檢測(cè)易受攻擊的文件；
檢測(cè)暗藏文件；
檢測(cè)重要文件的權(quán)限；
檢測(cè)系統(tǒng)端口號(hào)；

安裝

[root@centos7 aide]$yum install rkhunter

檢測(cè)

使用命令rkhunker -c對(duì)系統(tǒng)進(jìn)行檢測(cè).RKHunter檢測(cè)會(huì)分幾部分,第一部分主要檢測(cè)系統(tǒng)的二進(jìn)制工具,因?yàn)檫@些工具時(shí)rootkit的首要感染目標(biāo).每檢測(cè)完一部分必要Enter來(lái)確認(rèn)繼續(xù).

[ ok ] 表示沒(méi)有異常
[ no found ] 是沒(méi)有找到此工具,不用理會(huì)
[ warning ] 如果是紅色的Warnning那就必要進(jìn)一步確認(rèn)這些工具是否被感染或者被替換.

如果想讓程序自動(dòng)檢測(cè)而不是每檢測(cè)完一部門(mén)就讓用戶(hù)確認(rèn),可以使用

rkhunter --check --skip-keypress

同時(shí)如果要想達(dá)到每周或者每月自動(dòng)檢測(cè)就可以將他參加到計(jì)劃任務(wù)中自動(dòng)執(zhí)行

crontab -e
1 10 7 * * * root /usr/bin/rkhunter --check --cronjob

本文永遠(yuǎn)更新鏈接地址：

《LINUX入門(mén)：入侵檢測(cè)工具之RKHunter & AIDE》是否對(duì)您有啟發(fā)，歡迎查看更多與《LINUX入門(mén)：入侵檢測(cè)工具之RKHunter & AIDE》相關(guān)教程，學(xué)精學(xué)透。維易PHP學(xué)院為您提供精彩教程。

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/7023.html