数据百科

您现在的位置是:首页 > 操作系统 > Linux

oracle

LINUX高级入侵检测-完整性检测工具AIDE安装及使用说明

2019-12-05 21:48:36数据百科
AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.c

  AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。
    AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。
常见的入侵检测软件:1、tripwire--操作比较复杂
2、aide--用以代替tripwire的一款新产品
文件系统入侵检测的原理:
1、当系统处于健康状态时,把系统所有的文件做各种指纹的检验,得出一个检验基准数据库。
2、不是所有的文件都需要保存指纹,临时文件(/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm...)
3、需要检验文件是否被更改,只需要把基准数据对应指纹值做对比,就可以得知哪些文件被更改过。
4、每天把检验的结果以邮件或者其它方式发送管理员。

AIDE工具安装,使用命令 yum install aide -y 
1.jpg


安装完毕后,设置监控目录,如下:
编辑配置文件vi /etc/aide.conf  设置如下图:(如/u01/grid  NORMAL 即是监控目录),保存。
1.jpg

初始化,生成数据库,命令 aide –i ,生成数据库会比较久,直到更新完毕,如下图:
1.jpg

把生成的数据库文件更新成正式数据库文件
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz  如下图:
1.jpg

合法性检测(无修改任何配置前)
   命令:aide –C  返回如下图所示:(监控目录没有任何的更新或改动)
1.jpg

合法性检测(增加文件或更新文件)
 
   增加目录、文件、修改配置
mkdir /usr/update     在usr目录下增加update目录
1.jpg
echo ‘oracle.cn’ /usr/oracle.update     在usr目录下增加oracle.update文件,并写入字oracle.cn到文件。
1.jpg
完整性检查,与之前生成的数据库文件进行对比,命令:aide –C  返回如下图所示:(对比文件25309个,增加2个文件,删除的文件0,更改的文件1个)
1.jpg