安全运维工具，入侵检测利器AIDE

Posted 2021-04-26 运维帮

作者简介

irootme，自学成才的90后运维汪一枚

正文

0x00 为何要用

入侵检测，安全领域当中最基本也是最好用的一种攻击检测方式。对于我们的服务器来讲，假设被攻击了，破坏数据并不是绝大多数攻击者的本意，更多的是想要用我 们的服务器去做爱做的事。所以一旦服务器遭到入侵，很多的配置，可能是会被改变的。比如新安装了一个软件，比如突然多了一些数据，或者说服务器的配置文件 发生了变化。那么，AIDE这款入侵检测软件就可以检测我们系统的一些变动，而这些直接检测出来的结果就可以作为我们服务器被攻破的依据。注意：我们这里 所说的入侵检测，并非网络的入侵检测，而是系统的入侵检测。

0x01 关于AIDE

AIDE 是(Advanced Intrusion Detection Environment) 高级入侵检测的缩写，实现的功能主要对文件完整性进行检测。

0x02 工作原理

AIDE 首先会初始化一个被监测文件的数据库,它会提前对文件进行一个校验运算，把校验值保存到数据库中。最后根据管理员的配置进行周期性检查，比如说1天、1 周,或者手动检查。检查的时候其实就是对被监测文件再进行一次校验，把新校验值和原校验值进行对比，如果不一样证明有变动。

0x03 校验算法

#md5
#sha1
#rmd160
#tiger
#crc32
#sha256
#sha512
#whirlpool
#gost
#haval
#crc32b

0x04 监测属性

#p: permissions <==权限
#i: inode <==innode号
#u: uid <==用户id
#g: gid <==组id
#l: link name <==链接名称
#s: size <==文件大小
#b: block count <==block的总数
#n: number of links <==链接数量
#a: atime <==最后访问时间
#m: mtime <==最后修改时间
#c: ctime <==最后改变时间
#S: growing size <==数据增长大小
#acl: Access Control Lists <==访问控制列表
#selinux: SELinux security context <==SElinux上下文
#xattrs: Extended file attributes <==文件扩展属性

0x05 安装/配置

# yum install -y aide <==yum方式安装aide
# cp /etc/aide.conf /etc/aide.conf.default <==备份原配置文件
# vim /etc/aide.conf <==修改配置文件

首先我们把默认监测对象通通干掉：

然后选择监测属性/创建监测规则：

设定监测对象：

最不应该变得就是配置文件和命令。

0x06 AIDE使用

# aide --init <==初始化监测数据库
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz <==把生成的监测数据库重命名
# aide --check <==手动检测
# aide --update <==更新数据库
# echo "* 2 * * * /usr/sbin/aide --check | mail -s \"AIDE Report\" root@wooyun.org" >> /etc/crontab <==周期性检查，每2分钟一次，并把检测结果发到管理员邮箱

0x07 源码下载

稳定版：http://sourceforge.net/projects/aide/files/aide/0.15.1/aide-0.15.1.tar.gz
开发版：http://sourceforge.net/projects/aide/files/devel/0.16a2/aide-0.16a2.tar.gz

运维帮是一个互联网技术分享平台

南非蜘蛛微信

运维帮技术社区会定期举办技术沙龙，请关注订阅号获取最新沙龙信息。

运维帮已开通多个微信群供大家交流学习，需要先加南非蜘蛛 （yunweibang008）微信后拉你入群。

会员讨论群：总群1、总群2

地方讨论群：北京、上海、广州、深圳、杭州、成都

软件讨论群：nginx、Zabbix

同时也欢迎加入QQ技术讨论群186356564

新技能get√，好工具get√