服務(wù)器維護(hù)如何在Linux中使用AIDE監(jiān)控文件的完整性

2020-07-02 19:19 作者：admin

服務(wù)器維護(hù)如何在Linux中使用AIDE監(jiān)控文件的完整性

服務(wù)器維護(hù)小知識(shí)

簡介

AIDE（高級(jí)入qin檢測環(huán)境）是文件完整性檢查程序和入qin檢測程序。

服務(wù)器維護(hù)小知識(shí)

特性

 
· 主要用途是檢查文件的完整性，審計(jì)計(jì)算機(jī)上哪些文件被更改過。
· AIDE根據(jù)從/etc/aide.conf配置文件中找到的正則表達(dá)式規(guī)則創(chuàng)建數(shù)據(jù)庫。初始化該數(shù)據(jù)庫后，就可以用來驗(yàn)證文件的完整性。還可以檢查所有通常的文件屬性是否存在不一致。它可以讀取舊版本或更新版本的數(shù)據(jù)庫。AIDE數(shù)據(jù)庫能夠保存文件的各種屬性，包括：權(quán)限（permission）、索引節(jié)點(diǎn)序號(hào)(inode number)、所屬用戶(user)、所屬用戶組(group)、文件大小、最后修改時(shí)間(mtime)、創(chuàng)建時(shí)間(ctime)、最后訪問時(shí)間(atime)、增加的大小以及連接數(shù)。AIDE還能夠使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每個(gè)文件的校驗(yàn)碼或散列號(hào)。
· 這個(gè)數(shù)據(jù)庫不應(yīng)該保存那些經(jīng)常變動(dòng)的文件信息，例如：日志文件、郵件、/proc文件系統(tǒng)、用戶其實(shí)目錄以及臨時(shí)目錄。

服務(wù)器維護(hù)小知識(shí)

背景

當(dāng)一個(gè)入qin者進(jìn)入了你的系統(tǒng)并且種植了木ma，通常會(huì)想辦法來隱蔽這個(gè)木ma（除了木ma自身的一些隱蔽特性外，他會(huì)盡量給你檢查系統(tǒng)的過程設(shè)置障礙），通常入qin者會(huì)修改一些文件，比如管理員通常用ps aux來查看系統(tǒng)進(jìn)程，那么入qin者很可能用自己經(jīng)過修改的ps程序來替換掉你系統(tǒng)上的ps程序，以使用ps命令查不到正在運(yùn)行的木ma程序。如果入qin者發(fā)現(xiàn)管理員正在運(yùn)行crontab作業(yè)，也有可能替換掉crontab程序等等。所以由此可以看出對(duì)于系統(tǒng)文件或是關(guān)鍵文件的檢查是很必要的。目前就系統(tǒng)完整性檢查的工具用的比較多的有兩款：Tripwire和AIDE，前者是一款商業(yè)軟件，后者是一款免費(fèi)的但功能也很強(qiáng)大的工具。

服務(wù)器維護(hù)小知識(shí)

操作步驟

安裝

[root@CentOS7 ~]# yum -y install aide

修改配置文件

/etc/aide.conf
/etc/aide.conf 默認(rèn)配置文件路徑
/usr/sbin/aide 默認(rèn)二進(jìn)制可執(zhí)行文件路徑
/var/lib/aide  默認(rèn)數(shù)據(jù)庫文件路徑
/var/log/aide  默認(rèn)日志文件路徑

初始化默認(rèn)的AIDE的庫：

`which aide` --init
 
執(zhí)行完這步操作后會(huì)在默認(rèn)數(shù)據(jù)庫路徑/var/lib/aide下產(chǎn)生一個(gè)名為“aide.db.new.gz”的數(shù)據(jù)庫文件，/etc/aide.conf中定義的規(guī)則都寫入到了該數(shù)據(jù)庫文件中。

生成檢查數(shù)據(jù)庫（建議初始化數(shù)據(jù)庫存放到安全的地方）

mv /var/lib/aide/aide.db{.new,}.gz
 
因?yàn)閍ide默認(rèn)是從aide.db.gz數(shù)據(jù)庫文件中讀取/etc/aide.conf文件中定義的規(guī)則來檢測文件完整性的，所以需要重命名初始化的庫文件。

檢測

`which aide` --check

更新數(shù)據(jù)庫

`which aide` --update
 
檢測完需要更新文件數(shù)據(jù)庫，否則下次檢測還是從舊的文件數(shù)據(jù)庫中讀取規(guī)則來檢測文件的完整性。同時(shí)需要重命名數(shù)據(jù)庫文件

服務(wù)器維護(hù)小知識(shí)

AIDE默認(rèn)規(guī)則

#
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum
 
#haval:  haval checksum (MHASH only)
#gost:   gost checksum (MHASH only)
#crc32:  crc32 checksum (MHASH only)
#whirlpool:     whirlpool checksum (MHASH only)

AIDE規(guī)則定義及使用

規(guī)則定義格式：規(guī)則名 = 具體規(guī)則
【例】：TEST = a+m+c
 
規(guī)則使用格式：文件/目錄 規(guī)則名
【例】：/dir1  TEST
注：如果在文件或目錄前面加了“!”，則表示忽略檢測

AIDE規(guī)則驗(yàn)證

在/etc/aide.conf文件中定義如下規(guī)則，這里的/dir1目錄剛開始是空的。
TEST = a+c+m
/dir1 TES
測試1：
在該目錄下創(chuàng)建一個(gè)新的文件file1，并寫入"hello aide"
[root@CentOS7 ~]# aide --check
 
AIDE, version 0.15.1
 
### All files match AIDE database. Looks okay!
 
[root@CentOS7 ~]# echo "hello aide" > /dir1/file1
[root@CentOS7 ~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2019-11-10 19:12:57
 
Summary:
  Total number of files:    3
  Added files:          1
  Removed files:        0
  Changed files:        1
 
---------------------------------------------------
Added files:
---------------------------------------------------
 
added: /dir1/file1
 
---------------------------------------------------
Changed files:
---------------------------------------------------
 
changed: /dir1
 
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
 
Directory: /dir1
 Mtime    : 2019-11-10 19:12:00              , 2019-11-10 19:12:55
 Ctime    : 2019-11-10 19:12:00              , 2019-11-10 19:12:55
 
以上輸出表示在/dir1目錄下添加了file1文件，并且修改了/dir1目錄的Ctime和Mtime屬性
測試2：
將/dir1/file1文件的內(nèi)容由"hello aide"修改為"hello world"
[root@CentOS7 ~]# sed -i '/hello/c hello world' /dir1/file1 ; cat /dir1/file1
hello world
[root@CentOS7 ~]# aide --check
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2019-11-10 19:14:34
 
Summary:
  Total number of files:    3
  Added files:          1
  Removed files:        0
  Changed files:        1
 
---------------------------------------------------
Added files:
---------------------------------------------------
 
added: /dir1/file1
 
---------------------------------------------------
Changed files:
---------------------------------------------------
 
changed: /dir1
 
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
 
Directory: /dir1
 Atime    : 2019-11-10 19:12:02              , 2019-11-10 19:12:57
 Mtime    : 2019-11-10 19:12:00              , 2019-11-10 19:14:31
 Ctime    : 2019-11-10 19:12:00              , 2019-11-10 19:14:31
 
這時(shí)候/dir1目錄的Atime,Mtime,Ctime都被修改了。
 
IT運(yùn)維  我們選擇北京艾銻無限
以上文章由北京艾銻無限科技發(fā)展有限公司整理