Linux下的入侵检测系统AIDE

至少,CentOS是自带了,安装非常简单,yum命令就可以安装了。安装之后还得配置才能使用,AIED为:Adevanced Intrusion Detection Environment,高级入侵检测环境)是Linux下的入侵检测工具,主要工作原理是检查文档的完整性。通过hash、md5等等进行校验,从而确定文件的完整性。

1.安装AIDE

yum install -y aide

2.为默认的AIDE配置生成一次数据(可有可无)

先来看下安装aide后默认的配置是什么样的,安装后,配置文件就在/etc/aide.conf里面 cat /etc/aide.conf |grep -v ^# |grep -v ^$ 进行查看有效配置,这里不列出全部配置:
@@define DBDIR /var/lib/aide @@define LOGDIR /var/log/aide database=file:@@{DBDIR}/aide.db.gz database_out=file:@@{DBDIR}/aide.db.new.gz gzip_dbout=yes verbose=5 report_url=file:@@{LOGDIR}/aide.log report_url=stdout ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger EVERYTHING = R+ALLXTRAHASHES NORMAL = R+rmd160+sha256 DIR = p+i+n+u+g+acl+selinux+xattrs PERMS = p+i+u+g+acl+selinux LOG = > LSPP = R+sha256 DATAONLY = p+n+u+g+s+acl+selinux+xattrs+md5+sha256+rmd160+tiger /boot NORMAL /bin NORMAL /sbin NORMAL /lib NORMAL /lib64 NORMAL /opt NORMAL /usr NORMAL /root NORMAL !/usr/src /etc/audit/ LSPP /etc/libaudit.conf LSPP /usr/sbin/stunnel LSPP
上面NORMAL是检测的规则,可以自行定义,下面是NORMAL之前是需要监控的文件,或者目录。同样,LSPP也是规则。你也可以自定义新的规则并随便为之取名。如: MyDetectionFile = R+rmd160+sha256+selinux 然后添加需要用这个规则进行监控: /boot MyDetectionFile 生成数据库文件(又叫初始化数据库):运行 aide --init 即可 会在目录 /var/lib/aide/ 生成一个叫 aide.db.new.gz 压缩包 默认监控的文件比较多,需要等待一段时间 生成后,重命名生成的数据库文件名 mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

3.配置自己需要监控的文件。

vi /etc/aide.conf 将原有已监控的文件目录删除,添加自己需要监控的文件或目录 重新初始化即可,当然,你需要删除或叫备份最初默认监控生成的数据库文件 mv /var/lib/aide/aide.db.gz /var/lib/aide/aide.db.gz.bak aide --init 添加监控周期 crontab -e 添加 * 3 * * * root /usr/sbin/aide --check  service crond restart 进行周期监控即可。下面是我的监控配置:

aide conf

下面是修改了/etc/crontab 文件监控的效果:

aide check

相关阅读RelatedRead

阅读、理解、执行

巧用Windows自带portproxy远程直接连接Hyper-V里Linux虚拟机

用linux系统格式化windows能识别的fat32分区

Windows Azure云基于CentOS的OpenLogic

Ubuntu 14.04允许root直接ssh远程服务器

Nginx编译安装之自定义google_perftools not found

关于MySQL通过localhost无法连接127.0.0.1可以连接的问题

12 条评论添加评论

对安全方面有所学习Good!

回复取消回复
@__三石鼎立__

嗯。算是学习。也算是了解。

回复取消回复

这个碰到修改的文件多了,详细表就要很长了。。。

回复取消回复
@tiandi

嗯。确实,倒是可以使用命令直接过滤保存自己需要的嘛。

回复取消回复

它认识我,我不认识它

回复取消回复
@飞絮落叶雪

这码事,貌似这东西用得也不是很多啊。

回复取消回复