AIDE(Advanced Intrusion Detection
Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。
AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode
number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
在系统安装完毕,要连接到网络上之前,系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息:关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息,例如:日志文档、邮件、/proc文档系统、用户起始目录连同临时目录
安装方法:
#yum -y install aide
注:如果主机不能联网安装AIDE,那么也可以从安装光盘拷贝至目标主机。
检验系统文件完整性的要求:
因为AIDE可执行程序的二进制文档本身可能被修改了或数据库也被修改了。因此,应该把AIDE的数据库放到安全的地方,而且进行检查时要使用确保没有被修改过的程序,最好是事先为AIDE执行程序生成一份MD5信息。再次使用AIDE可执行程序时,需要先验证该程序没有被篡改过。
配置说明:
| 序号 | 参数 | 注释 |
|---|---|---|
| 1 | /etc/aide.conf | 配置文件 |
| 2 | database | Aide读取文档数据库的位置,默认为/var/lib/aide,默认文件名为aide.db.gz |
| 3 | database_out | Aide生成文档数据库的存放位置,默认为/var/lib/aide,默认文件名为aide.db.new.gz |
| database_new | 在使用aide –compare命令时,需要在aide.conf中事先设置好database_new并指向需要比较的库文件 | |
| 4 | report_url | /var/log/aide,入侵检测报告的存放位置 |
| 5 | 其它参数继续使用默认值即可。 |
建立、更新样本库:
1)执行初始化,建立第一份样本库
# aide –init
# cd /var/lib/aide/
# mv aide.db.new.gz aide.db.gz //替换旧的样本库
- 更新到样本库
#aide –update
# cd /var/lib/aide/
# mv aide.db.new.gz aide.db.gz //替换旧的样本库
执行aide入侵检测:
- 查看入侵检测报告
#aide –check
报告的详细程度可以通过-V选项来调控,级别为0-255,-V0 最简略,-V255 最详细。
或
#aide –compare
这个命令要求在配置文件中已经同时指定好了新、旧两个库文件。
- 保存入侵检测报告(将检查结果保存到其他文件)
aide –check –report=file:/tmp/aide-report-20120426.txt
- 定期执行入侵检测,并发送报告
# crontab -e
45 17 * * * /usr/sbin/aide -C -V4 | /bin/mail -s “AIDE REPORT $(date
+%Y%m%d)” abcdefg#163.com
或
45 23 * * * aide -C >> /var/log/aide/‘date +%Y%m%d’_aide.log
记录aide可执行文件的md5 checksum:
#md5sum /usr/sbin/aide
