使用AIDE做文件的完整性检测

目录:
一. 准备
二. 安装
三. 配置
四. 启动
五. 使用
六. 更多


AIDE, 英文(Advanced Intrusion Detection Environment)直译为
高级入侵检测环境, 是一个文件完整性检测工具, 一种类型的入侵
检测程序.

一旦一台计算机系统被攻击, 所有的信息都将暴露在攻击者的视野中.
如果攻击者能很好的隐藏痕迹, 那么入侵的事实是一下很难被发现的,
 随着时间的推移攻击者将会发现越来越多的有用信息. 这样系统管理员
需要安装入侵检测工具才能更好的提高信息的安全性.

AIDE, 高级入侵检测环境, 是一个文件完整性检测工具, 一种类型的
入侵检测程序. 使用AIDE, 系统中的重要文件和文件相关的属性如
权限, inode号, 用户, 用户组和链接数, 也包括创建每一个文件的
加密校验都会被创建到一个数据库中. 然后把这些信息放到一个可读
类型的媒体介质上, 如一个CD-R, U盘, 磁盘等, 那么攻击者想要覆盖
入侵痕迹将会变的极为困难.


一. 准备

说明:

 系统平台: Redhat Linux 9
系统内核: 2.4.20-8smp

[root@www /]# uname -r
2.4.20-8smp

[root@www /]# cat /etc/redhat-release
 Red Hat Linux release 9 (Shrike)

[root@www sbin]# rpm -qa|grep sysklogd
sysklogd-1.4.1-12

1. 下载和解压缩最新的aide和libmhash软件包.
建议从官方网站获得可靠的aide和libmhash软件包.

 下载网址:
 http://sourceforge.net/projects/aide/
http://freshmeat.net/projects/mhash/

1) 创建aide软件包存放的目录.
#mkdir -p /usr/local/src/id

2) 解压缩源代码包, 在id目录下会生成两个新的目录aide-0.10和mhash-0.9.2
#tar zpxf aide-0.10.tar.gz
#tar zpxf mhash-0.9.2.tar.gz

2. 配置预编译环境
在mhash-0.9.2和aide-0.10目录依次分别做如下的操作:

#cd mhash-0.9.2
#./configure
#cd aide-0.10
#./configure


二. 安装

安装的过程很简单, 依次运行:

#cd mhash-0.9.2
#make;make install
#cd aide-0.10
#make;make install


三. 配置

接下来的步骤是配置aide.conf. aide.conf配置文件的格式是非常简单的. 在设置该文件
之前, 建议阅读该配置. 或者阅读man帮助文件:

注意:

配置文件的缺省位置是: /usr/local/etc/aide.conf
如果你发现没有创建, 请执行下面的命令:
#cp /usr/local/src/id/aide-0.10/doc/aide.conf /usr/local/etc/
#cd /usr/local/src/id/aide-0.10/doc/
#cp aide.db.new aide.db

#man aide.conf

下面是一个简短的aide.conf事例:

Rule = p+i+u+g+n+s+md5

/etc p+i+u+g
/sbin Rule
/usr/local/apache/conf Rule
/var Rule
!/var/spool/.*
!/var/log/.*

在这个配置中, 我们可以看到一个规则Rule设置了检查的权限(p), inode号(i), 用户(u),
用户组(g), 链接数(n), md5校验(md5). 然后这些规则被应用到/bin, /sbin, /var, 和
/usr/local/apache/conf目录下的所有文件, 因为通常这些目录下的文件很少被修改.
/etc/中的文件仅使用了权限(p), inode号(i), 用户(u)和用户组(g), 因为文件的大小
可能改变, 而其它的很少改变. /var/spool和/var/log目录中的所有子目录和文件被设置
为不做检查, 因为这里面的文件经常性的改变.


四. 启动

提示下面成功信息:

AIDE, version 0.10

### AIDE database initialized.

一旦数据被初始化, 然后你可以把数据库和aide的binary文件拷贝到一个可读的cd-rom
或者磁盘(或者u盘)媒体上:

#mount /dev/hdb /mnt/u
#mv /usr/local/src/id/aide-0.10/doc/aide.db /mnt/u/aide.db
#umount /mnt/u

然后确定修改aide.conf配置文件:

#vi /usr/local/src/id/aide-0.10/doc/aide.conf

修改成下面的配置:

database=file:///mnt/u/aide.db
database_out=file:///mnt/u/aide.db.new
database_new=file:///mnt/u/aide.db.new

 五. 使用

无论什么时候你需要检查检查数据库, 运行:
#mount /dev/hdb /mnt/u
#aide --check

aide然后会向你报告任何的变化, 或者使用下面的命令仔细的比较最初的的数据库和
现在的数据库:
#aide --compare

如果你已经完成了检查和修复任务, 你需要重新更新一下数据库:

#aide --updaet

最后不要忘记移去u盘
#umount /mnt/u