Linux最强免费入侵检测工具,只需3步随时监测数据安全!
互联网高速发展的今天,每天网络环境中都会产生数以亿计的攻击。严重的网络崩溃,亦或网页被篡改,使得企业互联网业务瘫痪。作为一名合格的Linux运维程序员,你是如何察觉互联网业务已遭受攻击的呢?今天就跟大家推荐一个能够随时检测Linux入侵的小工具~
AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,是Tripwire的一个替代品。
AIDE检测原理
AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。AIDE还可以配置为定时运行,利用cron等日程调度技术,每日对系统进行检测报告。 这个系统主要用于运维安全检测,AIDE会向管理员报告系统里所有的恶意更迭情况。
AIDE的特性
- 支持消息摘要算法:md5, sha1, rmd160, tiger, crc32, sha256, sha512, whirlpool
- 支持文件属性:文件类型,文件权限,索引节点,UID,GID,链接名称,文件大小,块大小,链接数量,Mtime,Ctime,Atime
- 支持Posix ACL,SELinux,XAttrs,扩展文件系统属性
- 纯文本的配置文件,精简型的数据库
- 强大的正则表达式,轻松筛选要监视的文件和目录
- 支持Gzip数据库压缩
- 独立二进制静态编译的客户端/服务器监控配置装
一、AIDE安装和配置
1.1 安装AIDE软件
[root@localhost ~]#yum install aide
1.2 修改配置文件
[root@localhost ~]#vim /etc/aide.conf
database=file:@@{DBDIR}/aide.db.gz #系统镜像库位置
database_out=file:@@{DBDIR}/aide.db.new.gz #新生成系统镜像库,默认在/var/lib/aide/下
# Next decide whatdirectories/files you want in the database.
/boot NORMAL
/bin NORMAL
/sbin NORMAL
/lib NORMAL
/lib64 NORMAL
#/opt NORMAL #注释不检查目录
/usr NORMAL
/root NORMAL
# These are too volatile ,排除掉个别不检查的目录
!/usr/src
!/usr/tmp
#根据需求在下面添加新的检测目录
/etc/exports NORMAL
/etc/fstab NORMAL
/etc/passwd NORMA
1.3 配置文件详解
二、AIDE使用
2.1 定义规则
编辑配置文件/etc/adie.conf,定义一个规则变量mon,监控/app目录下所有文件,不监控/app目录下的log文件。
[root@localhost ~]# vim /etc/aide.conf mon = p+u+g+sha512+m+a+c /app mon !/app/*.log
2.2 创建数据库
生成数据库文件,在配置文件中定义各文件计算各校验码放入数据库中,用于以后比对。从提示中看出生成了一个/var/lib/aide/aide.db.new.gz数据库文件,这个数据库文件为初始数据库,如果进行入侵检测将与/var/lib/aide/aide.db.gz数据库文件作比对,如果发现两个数据库不一致则提示被入侵。
[root@localhost ~]# aide --init AIDE, version 0.15.1 ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
2.3 模拟文件被入侵更改
模拟增加一个文件,向/app目录 下增加一个文件passwd
[root@localhost bin]# mkdir /app [root@localhost bin]# cp /etc/passwd /app/ [root@localhost bin]# cd /app/ [root@localhost app]# ls passwd
注意:
AIDE的检测机制是计算出现在的数据库后与aide.db.gz比对。aide.db.gz默认又不存在,所以要将之前的创建的初始化数据库aide.db.new.gz改名为aide.db.gz。
2.4 入侵检测
[root@localhost app]# aide -C
2.5 设置任务计划,定期检测
[root@localhost ~]#crontab –e 30 11 * * * /usr/sbin/aide --check--report=file:/tmp/aide-check-` date +%Y%m%d `.txt #每天早上08:30执行一次
也可以将信息发送到邮件
30 08 * * * /usr/sbin/aide --check| mail –s “AIDE report“ test@163.com