溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

安全入侵檢測之AIDE

發(fā)布時(shí)間:2020-08-17 06:50:02 來源:ITPUB博客 閱讀:207 作者:小范的學(xué)習(xí)小窩 欄目:建站服務(wù)器
正文


0x00 為何要用

入侵檢測,安全領(lǐng)域當(dāng)中最基本也是最好用的一種攻擊檢測方式。對于我們的服務(wù)器來講,假設(shè)被攻擊了,破壞數(shù)據(jù)并不是絕大多數(shù)攻擊者的本意,更多的是想要用我 們的服務(wù)器去做愛做的事。所以一旦服務(wù)器遭到入侵,很多的配置,可能是會(huì)被改變的。比如新安裝了一個(gè)軟件,比如突然多了一些數(shù)據(jù),或者說服務(wù)器的配置文件 發(fā)生了變化。那么,AIDE這款入侵檢測軟件就可以檢測我們系統(tǒng)的一些變動(dòng),而這些直接檢測出來的結(jié)果就可以作為我們服務(wù)器被攻破的依據(jù)。注意:我們這里 所說的入侵檢測,并非網(wǎng)絡(luò)的入侵檢測,而是系統(tǒng)的入侵檢測。

0x01 關(guān)于AIDE

AIDE 是(Advanced Intrusion Detection Environment) 高級(jí)入侵檢測的縮寫,實(shí)現(xiàn)的功能主要對文件完整性進(jìn)行檢測。

0x02 工作原理

AIDE 首先會(huì)初始化一個(gè)被監(jiān)測文件的數(shù)據(jù)庫,它會(huì)提前對文件進(jìn)行一個(gè)校驗(yàn)運(yùn)算,把校驗(yàn)值保存到數(shù)據(jù)庫中。最后根據(jù)管理員的配置進(jìn)行周期性檢查,比如說1天、1 周,或者手動(dòng)檢查。檢查的時(shí)候其實(shí)就是對被監(jiān)測文件再進(jìn)行一次校驗(yàn),把新校驗(yàn)值和原校驗(yàn)值進(jìn)行對比,如果不一樣證明有變動(dòng)。

0x03 校驗(yàn)算法


#md5
#sha1
#rmd160
#tiger
#crc32
#sha256
#sha512
#whirlpool
#gost
#haval
#crc32b

0x04 監(jiān)測屬性


#p:            permissions                    <==權(quán)限
#i:            inode                        <==innode號(hào)
#u:            uid                            <==用戶id
#g:            gid                            <==組id
#l:            link name                    <==鏈接名稱
#s:            size                        <==文件大小
#b:            block count                    <==block的總數(shù)
#n:            number of links                <==鏈接數(shù)量
#a:            atime                        <==最后訪問時(shí)間
#m:            mtime                        <==最后修改時(shí)間
#c:            ctime                        <==最后改變時(shí)間
#S:            growing size                <==數(shù)據(jù)增長大小    
#acl:        Access Control Lists        <==訪問控制列表
#selinux:    SELinux security context    <==SElinux上下文
#xattrs:    Extended file attributes    <==文件擴(kuò)展屬性

0x05 安裝/配置


# yum install -y aide     <==yum方式安裝aide
# cp /etc/aide.conf /etc/aide.conf.default         <==備份原配置文件
# vim /etc/aide.conf    <==修改配置文件

首先我們把默認(rèn)監(jiān)測對象通通干掉:


安全入侵檢測之AIDE

然后選擇監(jiān)測屬性/創(chuàng)建監(jiān)測規(guī)則:


安全入侵檢測之AIDE

設(shè)定監(jiān)測對象:


安全入侵檢測之AIDE

最不應(yīng)該變得就是配置文件和命令。

0x06 AIDE使用


# aide --init     <==初始化監(jiān)測數(shù)據(jù)庫
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz     <==把生成的監(jiān)測數(shù)據(jù)庫重命名
# aide --check    <==手動(dòng)檢測
# aide --update    <==更新數(shù)據(jù)庫
# echo "* 2 * * * /usr/sbin/aide --check | mail -s \"AIDE Report\" root@wooyun.org" >> /etc/crontab     <==周期性檢查,每2分鐘一次,并把檢測結(jié)果發(fā)到管理員郵箱


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI