使用AIDE做Linux高级入侵检测文件监控
|
使用AIDE做Linux高级入侵检测文件监控
1、aide介绍AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。 常见的入侵检测软件: tripwire–操作比较复杂,aide–用以代替tripwire,比较简单. 2、aide安装 配置使用
#yum rpm二进制安装
yum -y install aide
我的配置文件
mv /etc/aide.conf /etc/aide.conf.bak
vim /etc/aide.conf
使用AIDE做Linux高级入侵检测文件监控
-C参数和 –check是一个意思
-V 报告的详细程度可以通过-V选项来调控,级别为0-255, -V0 最简略,-V255 最详细。
[root@dev ~]# aide –help
Aide 0.14
Usage: aide [options] command
Commands:
-i, –initInitialize the database
-C, –checkCheck the database
-u, –updateCheck and update the database non-interactively
–compareCompare two databases
Miscellaneous:
-D, –config-checkTest the configuration file
-v, –versionShow version of AIDE and compilation options
-h, –helpShow this help message
Options:
-c [cfgfile]–config=[cfgfile]Get config options from [cfgfile]
-B “OPTION”–before=”OPTION”Before configuration file is read define OPTION
-A “OPTION”–after=”OPTION”After configuration file is read define OPTION
-r [reporter]–report=[reporter]Write report output to [reporter] url
-V[level]–verbose=[level]Set debug message level to [level]
4、使用中遇到的问题 错误执行 /usr/sbin/aide -c /etc/aide.conf –init 或者 aide -i 后报错 lgetfilecon_raw failed for /var/log/yum.log:No data available 以下配置项改为如下.
#/etc/aide.conf
ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger EVERYTHING = p+i+n+u+g+s+m+c+acl+xattrs+md5+ALLXTRAHASHES NORMAL = p+i+n+u+g+s+m+c+acl+xattrs+md5+rmd160+sha256 DIR = p+i+n+u+g+acl+xattrs PERMS = p+i+u+g+acl LOG = p+u+g+i+n+S+acl+xattrs LSPP = p+i+n+u+g+s+m+c+acl+xattrs+md5+sha256 DATAONLY = p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger 参考来源:How to Fix Aide “lgetfilecon_raw failed for / : No data available” errors 5、参考
官网 http://aide.sourceforge.net/
AIDE –Linux高级入侵检测 http://gupt12.blog.51cto.com/7651206/1263183
|
发表评论
