sha256校验工具_使用AIDE工具做入侵检测
AIDE(Advanced Intrusion Detection Environment,高級入侵檢測環(huán)境)是個入侵檢測工具,主要用途是檢查文檔的完整性。AIDE能夠構(gòu)造一個指定文檔的數(shù)據(jù)庫,他使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫能夠保存文檔的各種屬性,包括:權(quán)限(permission)、索引節(jié)點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創(chuàng)建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每個文檔的校驗碼或散列號。實驗?zāi)康?#xff1a;
Aide通過檢查數(shù)據(jù)文件的權(quán)限、時間、大小、哈希值等,校驗數(shù)據(jù)的完整性。
使用Aide需要在數(shù)據(jù)沒有被破壞前,對數(shù)據(jù)完成初始化校驗,生成校驗數(shù)據(jù)庫文件,在被攻擊后,可以使用數(shù)據(jù)庫文件,快速定位被人篡改的文件。
步驟
實現(xiàn)此案例需要按照如下步驟進行。
步驟一:部署AIDE入侵檢測系統(tǒng)
1)安裝軟件包
[root@proxy ~]# yum -y install aide
2) 修改配置文件
確定對哪些數(shù)據(jù)進行校驗,如何校驗數(shù)據(jù)
[root@proxy ~]# vim /etc/aide.conf
@@define DBDIR /var/lib/aide? ?? ?? ?? ?? ?? ?? ?? ?? ? //數(shù)據(jù)庫目錄
@@define LOGDIR /var/log/aide? ?? ?? ?? ?? ?? ?? ?? ?? ? //日志目錄
database_out=file:@@{DBDIR}/aide.db.new.gz? ?? ?? ?? ?? ? //數(shù)據(jù)庫文件名
//一下內(nèi)容為可以檢查的項目(權(quán)限,用戶,組,大小,哈希值等)
#p:? ?? ?permissions
#i:? ?? ?inode:
#n:? ?? ?number of links
#u:? ?? ?user
#g:? ?? ?group
#s:? ?? ?size
#md5:? ? md5 checksum
#sha1:? ?sha1 checksum
#sha256:? ?? ???sha256 checksum
DATAONLY =??p n u g s acl selinux xattrs sha256
//以下內(nèi)容設(shè)置需要對哪些數(shù)據(jù)進行入侵校驗檢查
//注意:為了校驗的效率,這里將所有默認的校驗?zāi)夸浥c文件都注釋
//僅保留/root目錄,其他目錄都注釋掉
/root? ?DATAONLY
#/boot? ?NORMAL? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?//對哪些目錄進行什么校驗
#/bin? ? NORMAL
#/sbin? ?NORMAL
#/lib? ? NORMAL
#/lib64??NORMAL
#/opt? ? NORMAL
#/usr? ? NORMAL
#!/usr/src? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? //使用[!],設(shè)置不校驗的目錄
#!/usr/tmp
步驟二:初始化數(shù)據(jù)庫,入侵后檢測
1)入侵前對數(shù)據(jù)進行校驗,生成初始化數(shù)據(jù)庫
[root@proxy ~]# aide --init
AIDE, version 0.15.1
AIDE database at /var/lib/aide/aide.db.new.gz initialized.
//生成校驗數(shù)據(jù)庫,數(shù)據(jù)保存在/var/lib/aide/aide.db.new.gz
2)備份數(shù)據(jù)庫,將數(shù)據(jù)庫文件拷貝到U盤(非必須的操作)
[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz? ?/media/
3)入侵后檢測
[root@proxy ~]# cd /var/lib/aide/
[root@proxy ~]# mv aide.db.new.gz aide.db.gz
[root@proxy ~]# aide --check? ??//檢查哪些數(shù)據(jù)發(fā)生了變化
推薦文章++++
*pytbull - 入侵檢測/預(yù)防系統(tǒng)(IDS / IPS)測試框架
*入侵檢測學(xué)習 Snort [一]
*Security Onion - 用于入侵檢測Linux版
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯,堅持創(chuàng)作打卡瓜分現(xiàn)金大獎總結(jié)
以上是生活随笔為你收集整理的sha256校验工具_使用AIDE工具做入侵检测的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: telegraf输出MySQL_Graf
- 下一篇: Halcon算子学习:create_su