Centos-7之aide入侵检测工具使用

后续会继续优化更新

---

前言:aide是目前比较流行的文件系统完整性的检测工具，核心技术:对每个目标文件产生一个数字签字，保存起来。如果目标文件被检查出有修过，经过核对后，若非法修改的话则被入侵了。

目录:

第一章:安装配置

1.1 安装

        yum install aide -y

1.2 配置

    1.2.1 备份

cp /etc/aide.conf /etc/aide.conf.bak

    1.2.2 修改

[root@mysql01 aide]# cat /etc/aide.conf

@@define DBDIR /var/lib/aide  #给/var/lib/aide目录定义一个变量DBDIR

@@define LOGDIR /var/log/aide  #同上

database=file:@@{DBDIR}/aide.db.gz  #指定老签名文件存放路径

database_out=file:@@{DBDIR}/aide.db.new.gz  #指定新签名文件存放路径

gzip_dbout=yes  #采用压缩

verbose=5

report_url=file:@@{LOGDIR}/aide.log  #日志文件路径

report_url=stdout  #对比结果采用标准输出到屏幕

#p:      permissions  #指定这些字母代表的含义，如权限，所有者，访问时间等

#i:      inode:

#n:      number of links

#u:      user

#g:      group

#s:      size

#b:      block count

#m:      mtime

#a:      atime

#c:      ctime

#S:      check for growing size

#acl:          Access Control Lists

#selinux        SELinux security context

#xattrs:        Extended file attributes

#md5:    md5 checksum

#sha1:  sha1 checksum

#sha256:        sha256 checksum

#sha512:        sha512 checksum

#rmd160: rmd160 checksum

#tiger:  tiger checksum

#haval:  haval checksum (MHASH only)

#gost:  gost checksum (MHASH only)

#crc32:  crc32 checksum (MHASH only)

#whirlpool:    whirlpool checksum (MHASH only)

#R:            p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5  #可以理解为定义了一个组，把上面单独的项加入到一个组里

#L:            p+i+n+u+g+acl+selinux+xattrs

#E:            Empty group

#>:            Growing logfile p+u+g+i+n+S+acl+selinux+xattrs

NORMAL = R+rmd160+sha256

#/boot  NORMAL  #定义要检测的目录以及检测哪些信息，NORMAL在上面已定义

#/bin    NORMAL

#/sbin  NORMAL

#/lib    NORMAL

#/lib64  NORMAL

#/opt    NORMAL

#/usr    NORMAL

#/root  NORMAL

/opt/demo/aide NORMAL

# These are too volatile

#!/usr/src  #感叹号表示不检测的内容

#!/usr/tmp

第二章:运行测试

2.1 运行

    [root@mysql01 aide]# aide -i

    AIDE, version 0.15.1

    ### AIDE database at /var/lib/aide/aide.db.new.gz initialized.

2.2 测试

    步骤1. 备份

[root@mysql01 aide]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

    步骤2. 修改前检查

    [root@mysql01 aide]# aide --check

    AIDE, version 0.15.1

    ### All files match AIDE database. Looks okay!

    步骤3.修改a

    [root@mysql01 aide]# echo "change a file" >> /opt/demo/aide/a

    步骤4.检查

[root@mysql01 aide]# aide --check

AIDE 0.15.1 found differences between database and filesystem!!

Start timestamp: 2018-02-28 03:14:16

Summary:

  Total number of files:        6

  Added files:                  0

  Removed files:                0

  Changed files:                1

---------------------------------------------------

Changed files:

---------------------------------------------------

changed: /opt/demo/aide/a

---------------------------------------------------

Detailed information about changes:

---------------------------------------------------

File: /opt/demo/aide/a

Size    : 7                                                   , 21#大小

Mtime    : 2018-02-28 03:08:11              , 2018-02-28 03:14:12#时间

Ctime    : 2018-02-28 03:08:11              , 2018-02-28 03:14:12#更改时间

MD5      : Q+kmuZxKwmvteSrbbRtwKA==        , 4xbPTc+7CBabgjgCeqymPQ==

RMD160  : P84UvdgV443+xdbF1++6SEYOtvY=    , Vgp+p6OV//FBn9pXo/kwB2H96zY=

SHA256  : 6bt8WRKGHbD1SiSJKr3WAl60yZRyUCzl , XmDfSTamPz5iys5r+Nb5GfLo20+DYKJJ

步骤5:核对是否合法

    确认合法

步骤6:重新生产数字签字

    [root@mysql01 aide]# aide -i

步骤7:更新最新数据库为对比数据库

    [root@mysql01 aide]# mv aide.db.new.gz aide.db2.gz

步骤8:检查

    [root@mysql01 aide]# aide --check

    AIDE, version 0.15.1

    ### All files match AIDE database. Looks okay!

第三章:企业使用方案

1. 把最新生成的数字认证数据库保存到其他机器

2.定期检测

3.若发现问题，采用文件比较工具核对

    a.vimdiff

    b.diff

    c.BCompare