AIDE入侵检测系统
1 部署AIDE入侵检测系统1.1 安装软件1.2 修改配置文件2 初始化数据库,入侵后检测2.1 入侵前对数据进行校验,生成初始化数据库2.2 备份数据库2.3 入侵后检测Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。
使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。
1 部署AIDE入侵检测系统
1.1 安装软件
yum -y install aide
1.2 修改配置文件
vim /etc/aide.conf@@define DBDIR /var/lib/aide #数据库目录@@define LOGDIR /var/log/aide #日志目录database_out=file:@@{DBDIR}/aide.db.new.gz#数据库文件名#一下内容为可以检查的项目(权限,用户,组,大小,哈希值等)#p:permissions#i:inode:#n:number of links#u:user#g:group#s:size#md5: md5 checksum#sha1: sha1 checksum#sha256: sha256 checksumDATAONLY = p+n+u+g+s+acl+selinux+xattrs+sha256#以下内容设置需要对哪些数据进行入侵校验检查#注意:为了校验的效率,这里将所有默认的校验目录与文件都注释#仅保留/tmp目录,其他目录都注释掉/tmp DATAONLY#/boot NORMAL#对哪些目录进行什么校验#/bin NORMAL#/sbin NORMAL#/lib NORMAL#/lib64 NORMAL#/opt NORMAL#/usr NORMAL#!/usr/src#使用[!],设置不校验的目录#!/usr/tmp
2 初始化数据库,入侵后检测
2.1 入侵前对数据进行校验,生成初始化数据库
aide --initAIDE, version 0.15.1AIDE database at /var/lib/aide/aide.db.new.gz initialized.#生成校验数据库,数据保存在/var/lib/aide/aide.db.new.gz
2.2 备份数据库
cp /var/lib/aide/aide.db.new.gz /media/
2.3 入侵后检测
cd /var/lib/aide/mv aide.db.new.gz aide.db.gzaide --check #检查哪些数据发生了变化