日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Linux下通過AIDE檢測(cè)文件的完整性

AIDE是目前unix下著名的文件系統(tǒng)完整性檢查工具,采用的技術(shù)核心是對(duì)每個(gè)要監(jiān)控的文件提前產(chǎn)生一個(gè)數(shù)字簽名并保存在系統(tǒng)中,當(dāng)文件當(dāng)前數(shù)字簽名與保留的數(shù)字簽名不一致時(shí),那么說明我們檢測(cè)的文件已經(jīng)發(fā)生了改動(dòng)。

創(chuàng)新互聯(lián)建站自2013年起,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、成都外貿(mào)網(wǎng)站建設(shè)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元豐順做網(wǎng)站,已為上家服務(wù),為豐順各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:028-86922220

特性

主要用途是檢查文件的完整性,審計(jì)計(jì)算機(jī)上哪些文件被更改過。 AIDE根據(jù)從/etc/aide.conf配置文件中找到的正則表達(dá)式規(guī)則創(chuàng)建數(shù)據(jù)庫。初始化該數(shù)據(jù)庫后,就可以用來驗(yàn)證文件的完整性。還可以檢查所有通常的文件屬性是否存在不一致。它可以讀取舊版本或更新版本的數(shù)據(jù)庫。AIDE數(shù)據(jù)庫能夠保存文件的各種屬性,包括:權(quán)限(permission)、索引節(jié)點(diǎn)序號(hào)(inode number)、所屬用戶(user)、所屬用戶組(group)、文件大小、最后修改時(shí)間(mtime)、創(chuàng)建時(shí)間(ctime)、最后訪問時(shí)間(atime)、增加的大小以及連接數(shù)。AIDE還能夠使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每個(gè)文件的校驗(yàn)碼或散列號(hào)。 這個(gè)數(shù)據(jù)庫不應(yīng)該保存那些經(jīng)常變動(dòng)的文件信息,例如:日志文件、郵件、/proc文件系統(tǒng)、用戶其實(shí)目錄以及臨時(shí)目錄。

背景

當(dāng)一個(gè)入qin者進(jìn)入了你的系統(tǒng)并且種植了木ma,通常會(huì)想辦法來隱蔽這個(gè)木ma(除了木ma自身的一些隱蔽特性外,他會(huì)盡量給你檢查系統(tǒng)的過程設(shè)置障礙),通常入qin者會(huì)修改一些文件,比如管理員通常用ps aux來查看系統(tǒng)進(jìn)程,那么入qin者很可能用自己經(jīng)過修改的ps程序來替換掉你系統(tǒng)上的ps程序,以使用ps命令查不到正在運(yùn)行的木ma程序。如果入qin者發(fā)現(xiàn)管理員正在運(yùn)行crontab作業(yè),也有可能替換掉crontab程序等等。所以由此可以看出對(duì)于系統(tǒng)文件或是關(guān)鍵文件的檢查是很必要的。目前就系統(tǒng)完整性檢查的工具用的比較多的有兩款:Tripwire和AIDE,前者是一款商業(yè)軟件,后者是一款免費(fèi)的但功能也很強(qiáng)大的工具。

操作步驟

安裝

[root@CentOS7 ~]# yum -y install aide

修改配置文件

/etc/aide.conf

/etc/aide.conf 默認(rèn)配置文件路徑 /usr/sbin/aide 默認(rèn)二進(jìn)制可執(zhí)行文件路徑 /var/lib/aide 默認(rèn)數(shù)據(jù)庫文件路徑 /var/log/aide 默認(rèn)日志文件路徑 初始化默認(rèn)的AIDE的庫:

`which aide` --init

執(zhí)行完這步操作后會(huì)在默認(rèn)數(shù)據(jù)庫路徑/var/lib/aide下產(chǎn)生一個(gè)名為“aide.db.new.gz”的數(shù)據(jù)庫文件,/etc/aide.conf中定義的規(guī)則都寫入到了該數(shù)據(jù)庫文件中。 生成檢查數(shù)據(jù)庫(建議初始化數(shù)據(jù)庫存放到安全的地方)

mv /var/lib/aide/aide.db{.new,}.gz

因?yàn)閍ide默認(rèn)是從aide.db.gz數(shù)據(jù)庫文件中讀取/etc/aide.conf文件中定義的規(guī)則來檢測(cè)文件完整性的,所以需要重命名初始化的庫文件。 檢測(cè)

`which aide` --check

更新數(shù)據(jù)庫

`which aide` --update

檢測(cè)完需要更新文件數(shù)據(jù)庫,否則下次檢測(cè)還是從舊的文件數(shù)據(jù)庫中讀取規(guī)則來檢測(cè)文件的完整性。同時(shí)需要重命名數(shù)據(jù)庫文件 AIDE默認(rèn)規(guī)則

#
#p: permissions
#i: inode:
#n: number of links
#u: user
#g: group
#s: size
#b: block count
#m: mtime
#a: atime
#c: ctime
#S: check for growing size
#acl: Access Control Lists
#selinux SELinux security context
#xattrs: Extended file attributes
#md5: md5 checksum
#sha1: sha1 checksum
#sha256: sha256 checksum
#sha512: sha512 checksum
#rmd160: rmd160 checksum
#tiger: tiger checksum

#haval: haval checksum (MHASH only)
#gost: gost checksum (MHASH only)
#crc32: crc32 checksum (MHASH only)
#whirlpool: whirlpool checksum (MHASH only)

AIDE規(guī)則定義及使用 規(guī)則定義格式:規(guī)則名 = 具體規(guī)則 【例】:TEST = a+m+c

規(guī)則使用格式:文件/目錄 規(guī)則名 【例】:/dir1 TEST 注:如果在文件或目錄前面加了“!”,則表示忽略檢測(cè) AIDE規(guī)則驗(yàn)證 在/etc/aide.conf文件中定義如下規(guī)則,這里的/dir1目錄剛開始是空的。

TEST = a+c+m /dir1 TES 測(cè)試1:

在該目錄下創(chuàng)建一個(gè)新的文件file1,并寫入”hello aide”

[root@CentOS7 ~]# aide --check

AIDE, version 0.15.1

### All files match AIDE database. Looks okay!

[root@CentOS7 ~]# echo "hello aide" > /dir1/file1
[root@CentOS7 ~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2019-11-10 19:12:57

Summary:
Total number of files: 3
Added files: 1
Removed files: 0
Changed files: 1

---------------------------------------------------
Added files:
---------------------------------------------------

added: /dir1/file1

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /dir1

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /dir1
Mtime : 2019-11-10 19:12:00 , 2019-11-10 19:12:55
Ctime : 2019-11-10 19:12:00 , 2019-11-10 19:12:55

以上輸出表示在/dir1目錄下添加了file1文件,并且修改了/dir1目錄的Ctime和Mtime屬性 測(cè)試2:

將/dir1/file1文件的內(nèi)容由”hello aide”修改為”hello world”

[root@CentOS7 ~]# sed -i '/hello/c hello world' /dir1/file1 ; cat /dir1/file1
hello world
[root@CentOS7 ~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2019-11-10 19:14:34

Summary:
Total number of files: 3
Added files: 1
Removed files: 0
Changed files: 1

---------------------------------------------------
Added files:
---------------------------------------------------

added: /dir1/file1

---------------------------------------------------
Changed files:
---------------------------------------------------

changed: /dir1

---------------------------------------------------
Detailed information about changes:
---------------------------------------------------

Directory: /dir1
Atime : 2019-11-10 19:12:02 , 2019-11-10 19:12:57
Mtime : 2019-11-10 19:12:00 , 2019-11-10 19:14:31
Ctime : 2019-11-10 19:12:00 , 2019-11-10 19:14:31

這時(shí)候/dir1目錄的Atime,Mtime,Ctime都被修改了。


分享名稱:Linux下通過AIDE檢測(cè)文件的完整性
瀏覽路徑:http://www.dlmjj.cn/article/dpdjges.html