AIDE(Advanced Intrusion Detection Environment,高级***检测环境)是基于文件完整性检查的开源***其官方网站位于检测工具中http://aide.sourceforge.net/,最新的稳定版本是0.15.1。 AIDE通过构建指定文件的完整性样本库(快照)作为比较标准,当这些文件发生变化时,相应的验证值必然会发生变化,AIDE可以识别这些变化并提出它们 醒管理员。AIDE监控的属性变化主要包括:权限、主、组、文件大小、创建时间、最终修改时间、最终访问时间、增加的大小和链接数,并可使用 SHA1、MD5等算法为每个文件生成验码。 根据AIDE系统的***检测方式,正确的做法是选择在系统处于“干净”状态时建立(或者更新)样本库,如果在一个已经受感染的系统中建立样本库,则***检 测试结果将不可信。另外,***检测的保护对象最好是不经常更改的文件,如账户列表、服务配置、系统文件等,否则将确定哪些更改***增加难度。 ######################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################## 系统环境: RHEL 6.2 [2.6.32-220.el6.i686] 软件环境: aide-0.14-3.el6.i686 ######################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################################## 一、安装、配置aide程序 1. 安装aide软件包 [root@localhost ~]# yum -y install aide 2. 调整aide.conf配置文件,指定要检测的对象 [root@localhost ~]# vim /etc/aide.conf ... ... # Next decide what directories/files you want in database. /boot NORMAL /bin NORMAL /sbin NORMAL ... ... #/opt NORMAL #//注释不想检查的目录树 #/root NORMAL /usr NORMAL !/usr/src NORMAL #//排除个别不想检查的目录 !/usr/tmp NORMAL !/etc/.*~ NORMAL /etc/exports NORMAL /etc/fstab NORMAL /etc/passwd NORMAL #//根据需要添加新的检测对象 /etc/shadow NORMAL ... ... 配置检查属性时,NORMAL等同于 R rmd160 sha256,而PERMS等同于 p i u g acl selinux,也可根据需要单独设置,具体可参考文件中的说明。man aide.conf手册页,找 到 DEFAULT GROUPS 下面将详细说明栏目。 # These are the default rules # #p: permissions #i: inode: #n: number of links #u: user #g: group #s: size #b: block count #m: mtime #a: atime #c: ctime #S: check for growing size #acl: Access Control Lists ... ... 二、建立和更新样本库 1. 实施初始化,建立第一个样本库 [root@localhost ~]# aide --init ... ... ### AIDE database at /var/lib/aide/aide.db.new.gz initialized. [root@localhost ~]# cd /var/lib/aide/ [root@localhost aide]# mv aide.db.new.gz aide.db.gz #//www.it165.net改名后才能正常使用 2. 对于正常的文件编号,可以更新到样本库(必要时首先执行aide --check确认无异常) [root@localhost ~]# aide --update [root@localhost ~]# cd /var/lib/aide/ [root@localhost aide]# mv aide.db.new.gz aide.db.gz #///替换旧样本库 mv: 是否覆盖"aide.db.gz"? y 三、执行aide***检测 1. 查看***检测报告(重新检查,比较样本库,哪些项目有哪些变化) [root@localhost ~]# usermod -s /bin/sh tsengyia #//稍作修改,作为测试 [root@localhost ~]# aide --check ... ... AIDE found differences between database and filesystem!! Start timestamp: 2012-04-26 18:01:52 Summary: Total number of files: 7333 Added files: 0 Removed files: 0 Changed files: 3 ------------------------------------------------------- Changed files: ------------------------------------------------------- changed: /etc/passwd- changed: /etc/passwd changed: /var/log/aide/aide.log 检测结果同时保存在本日志文件中 ------------------------------------------------------- Detailed infomation about changes: ------------------------------------------------------- File: /etc/passwd- Ctime : 2012-04-27 01.11:38 , 2012-0426 18:00:59 File: /etc/passwd Size : 2421 , 2419 Mtime : 2012-04-27 01:11:38 , 2012-04-26 18:00:59 Ctime : 2012-04-27 01:11:38 , 2012-04-26 18:00:59 Inode : 414101 , 414101 MD5 : /srt2iAEqiNW4VieOTE1hw== , XEiXNNHvXVB4Ef//ju78Rg== RMD160 : J 8BbxEV1VXpAw3AeJxb H6rm/U= , 4sTs/S7iL24UR11KhL 7Byko51E= SHA256 : QZBnzUX46arSCGmpkSNGAmKpEYyKylIH , 0/5E4n9HZoilGkichPj9loUtRQ6/yAl5 File: /var/log/aide/aide.log Size : 258048 , 245760 通过-V调节选项,级别为0-255, -V0 最简略,-V255 最详细。 2. 保存***检测报告(将检测结果保存在其他文件中)www.it165.net [root@localhost ~]# aide --check --report=file:/tmp/aide-repot-20120426.txt 四、定期执行***检测,并发送报告 [root@localhost ~]# crontab -e 45 23 * * * /usr/sbin/aide -C -V4 | /bin/mail -s "AIDE REPORT $(date +%Y%m%d)" tsengyia#126.com