AIDE入侵檢測系統

2021-10-24 02:03:41 字數 1807 閱讀 4007

aide通過檢查資料檔案的許可權、時間、大小、雜湊值等,校驗資料的完整性。

使用aide需要在資料沒有被破壞前,對資料完成初始化校驗,生成校驗資料庫檔案,在被攻擊後,可以使用資料庫檔案,快速定位被人篡改的檔案。

安裝軟體

[root@proxy ~]

# yum -y install aide

修改配置檔案

[root@proxy ~]

# vim /etc/aide.conf

@@define dbdir /var/lib/aide #資料庫目錄

@@define logdir /var/log/aide #日誌目錄

database_out=file:@@/aide.db.new.gz #資料庫檔名

#一下內容為可以檢查的專案(許可權,使用者,組,大小,雜湊值等)

#p: permissions

#i: inode:

#n: number of links

#u: user

#g: group

#s: size

#md5: md5 checksum

#sha1: sha1 checksum

#sha256: sha256 checksum

dataonly = p+n+u+g+s+acl+selinux+xattrs+sha256

#以下內容設定需要對哪些資料進行入侵校驗檢查

#注意:為了校驗的效率,這裡將所有預設的校驗目錄與檔案都注釋

#僅保留/tmp目錄,其他目錄都注釋掉

/tmp dataonly

#/boot normal #對哪些目錄進行什麼校驗

#/bin normal

#/sbin normal

#/lib normal

#/lib64 normal

#/opt normal

#/usr normal

#!/usr/src #使用[!],設定不校驗的目錄

#!/usr/tmp

入侵前對資料進行校驗,生成初始化資料庫

[root@proxy ~]

# aide --init

aide, version 0.15.1

aide database at /var/lib/aide/aide.db.new.gz initialized.

#生成校驗資料庫,資料儲存在/var/lib/aide/aide.db.new.gz

備份資料庫

[root@proxy ~]

# cp /var/lib/aide/aide.db.new.gz /media/

入侵後檢測

[root@proxy ~]

# cd /var/lib/aide/

[root@proxy aide]

# mv aide.db.new.gz aide.db.gz

[root@proxy aide]

# aide --check #檢查哪些資料發生了變化

使用AIDE工具做入侵檢測

aide advanced intrusion detection environment,高階入侵檢測環境 是個入侵檢測工具,主要用途是檢查文件的完整性。aide能夠構造乙個指定文件的資料庫,他使用aide.conf作為其配置文件。aide資料庫能夠儲存文件的各種屬性,包括 許可權 permiss...

AIDE入侵檢測和掃瞄抓包工具

目錄 1 aide入侵檢測系統 2 掃瞄與抓包 define dbdir var lib aide define logdir var log aide database out file aide.db.new.gz 備份資料狀態檔案 入侵檢查 典型掃瞄方式 常見工具 nmap掃瞄 一款強大的網路...

入侵檢測系統

網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...