sha256校验工具_使用AIDE工具做入侵检测
AIDE(Advanced Intrusion Detection Environment,高級(jí)入侵檢測(cè)環(huán)境)是個(gè)入侵檢測(cè)工具,主要用途是檢查文檔的完整性。AIDE能夠構(gòu)造一個(gè)指定文檔的數(shù)據(jù)庫(kù),他使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫(kù)能夠保存文檔的各種屬性,包括:權(quán)限(permission)、索引節(jié)點(diǎn)序號(hào)(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時(shí)間(mtime)、創(chuàng)建時(shí)間(ctime)、最后訪問(wèn)時(shí)間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每個(gè)文檔的校驗(yàn)碼或散列號(hào)。實(shí)驗(yàn)?zāi)康?#xff1a;
Aide通過(guò)檢查數(shù)據(jù)文件的權(quán)限、時(shí)間、大小、哈希值等,校驗(yàn)數(shù)據(jù)的完整性。
使用Aide需要在數(shù)據(jù)沒(méi)有被破壞前,對(duì)數(shù)據(jù)完成初始化校驗(yàn),生成校驗(yàn)數(shù)據(jù)庫(kù)文件,在被攻擊后,可以使用數(shù)據(jù)庫(kù)文件,快速定位被人篡改的文件。
步驟
實(shí)現(xiàn)此案例需要按照如下步驟進(jìn)行。
步驟一:部署AIDE入侵檢測(cè)系統(tǒng)
1)安裝軟件包
[root@proxy ~]# yum -y install aide
2) 修改配置文件
確定對(duì)哪些數(shù)據(jù)進(jìn)行校驗(yàn),如何校驗(yàn)數(shù)據(jù)
[root@proxy ~]# vim /etc/aide.conf
@@define DBDIR /var/lib/aide? ?? ?? ?? ?? ?? ?? ?? ?? ? //數(shù)據(jù)庫(kù)目錄
@@define LOGDIR /var/log/aide? ?? ?? ?? ?? ?? ?? ?? ?? ? //日志目錄
database_out=file:@@{DBDIR}/aide.db.new.gz? ?? ?? ?? ?? ? //數(shù)據(jù)庫(kù)文件名
//一下內(nèi)容為可以檢查的項(xiàng)目(權(quán)限,用戶,組,大小,哈希值等)
#p:? ?? ?permissions
#i:? ?? ?inode:
#n:? ?? ?number of links
#u:? ?? ?user
#g:? ?? ?group
#s:? ?? ?size
#md5:? ? md5 checksum
#sha1:? ?sha1 checksum
#sha256:? ?? ???sha256 checksum
DATAONLY =??p n u g s acl selinux xattrs sha256
//以下內(nèi)容設(shè)置需要對(duì)哪些數(shù)據(jù)進(jìn)行入侵校驗(yàn)檢查
//注意:為了校驗(yàn)的效率,這里將所有默認(rèn)的校驗(yàn)?zāi)夸浥c文件都注釋
//僅保留/root目錄,其他目錄都注釋掉
/root? ?DATAONLY
#/boot? ?NORMAL? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?//對(duì)哪些目錄進(jìn)行什么校驗(yàn)
#/bin? ? NORMAL
#/sbin? ?NORMAL
#/lib? ? NORMAL
#/lib64??NORMAL
#/opt? ? NORMAL
#/usr? ? NORMAL
#!/usr/src? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? //使用[!],設(shè)置不校驗(yàn)的目錄
#!/usr/tmp
步驟二:初始化數(shù)據(jù)庫(kù),入侵后檢測(cè)
1)入侵前對(duì)數(shù)據(jù)進(jìn)行校驗(yàn),生成初始化數(shù)據(jù)庫(kù)
[root@proxy ~]# aide --init
AIDE, version 0.15.1
AIDE database at /var/lib/aide/aide.db.new.gz initialized.
//生成校驗(yàn)數(shù)據(jù)庫(kù),數(shù)據(jù)保存在/var/lib/aide/aide.db.new.gz
2)備份數(shù)據(jù)庫(kù),將數(shù)據(jù)庫(kù)文件拷貝到U盤(非必須的操作)
[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz? ?/media/
3)入侵后檢測(cè)
[root@proxy ~]# cd /var/lib/aide/
[root@proxy ~]# mv aide.db.new.gz aide.db.gz
[root@proxy ~]# aide --check? ??//檢查哪些數(shù)據(jù)發(fā)生了變化
推薦文章++++
*pytbull - 入侵檢測(cè)/預(yù)防系統(tǒng)(IDS / IPS)測(cè)試框架
*入侵檢測(cè)學(xué)習(xí) Snort [一]
*Security Onion - 用于入侵檢測(cè)Linux版
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的sha256校验工具_使用AIDE工具做入侵检测的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: telegraf输出MySQL_Graf
- 下一篇: AI 趋势