linux***检测工具之aide
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux***检测工具之aide相关的知识,希望对你有一定的参考价值。
- AIDE(Advanced Intrusion Detection Environment,高级检测环境)是个检测工具,主它通过系统的“缩影”来进行对比,将期间的操作记录清楚的继续下来。比如说一个×××在你的服务器里做了一些手脚,或者抓你的服务器去当矿工了,如果有了aide,进过对比就会知道操作记录,从而知道对方增、删、改、查了什么文件,这样修改回来就可以了。
下面来说aide的安装:
如果是centos系统的话,更新yum源后直接? yum install aide -y 就可以了;这样的安装,配置文件在/etc/aide.cconf;
当时公司使用的debian,其实apt-get install aide安装是可以的,但是在使用过程中多多少少出现了一些问题(其实是系统和安装包的问题),就使用安装包的方式安装了;
需要的包:flex、bison、mhash、zlib;
我这里下载了一个mhash包,其他的都是源直接安装的。
?? ??tar xzvf mhash-0.9.9.9.tar.gz? ? ? ? ? ? ? ? ? //解压安装包
? ? ?cd mhash-0.9.9.9/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//进入解压出来的目录
?? ?./configure? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//执行configure
?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make编译
?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //安装
ok,现在已经安装好mhash包了,再来安装其他的。
? ? ?apt-get install bison
如果install安装不成功的话就使用? ??aptitude install bison? ? 进行安装;
我在用install安装的时候就报错了,使用aptitude install bison可以进行智能安装,如果没有aptitude命令install安装一下就ok了;
? ? ?apt-get install flex -y
? ? ?apt-get install zlib*?? ?
安装zlib的时候包太多,解压下来大概有800+MB,所以事先看看好自己的硬盘容量;
?? ?tar xzvf aide-0.15.1.tar.gz? ? ? ? ? ? ? ? ? ? ?//解压下载的aide包
?? ?cd aide-0.15.1/? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?//进入解压的目录
?? ?./configure --prefix=/usr/local/aide --with-mhash? ? ? //指定安装目录和相关包
?? ?make? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //make 编译
?? ?make install? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //安装
我的是安装在/usr/local/aide下的;
?? ?在 /usr/local/aide/ 下新建etc文件夹:
?? ??? ?mkdir etc? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? //新建etc文件夹用于存放配置文件
进入 aide-0.15.1/? 解压包里的doc文件夹,将aide.conf配置文件拷贝到 /usr/local/aide/etc/下,
? ? cp aide-0.15.1/doc/aide.conf? ? ? /usr/local/aide/etc/
将aide的可执行文件复制到/bin下,方便命令的使用,不过这个好像还是不好用,不如用? /usr/local/aide/bin? ?下的aide:?
? ? ? ? ? ? ? ? ? ? ? ? ?cp /usr/local/aide? ? ?/bin? ? ? ? ? ? ? ? ? ? ? ??
?? ?
?? ?配置aide.conf文件,找到下面参数,修改如下:
?? ??? ?database=file:/usr/local/aide/aide.db.gz?? ??? ??? ??? ?#生成的系统镜像目录和格式
?? ??? ?database_out=file:/usr/local/aide/aide.db.new.gz?? ??? ?#新生成的系统镜像目录和格式
? ? ? 在最后添加如下(这些是要监控或者说是要生成系统镜像的目录):
?? ??? ??? ?/bin R
?? ??? ??? ?/sbin R
?? ??? ??? ?/usr R
?? ??? ??? ?/etc R
?? ??? ??? ?/tmp R
?? ??? ??? ?/root R
完成配置之后就可以使用了:
? 执行? ?/usr/local/aide/bin/aide? ? --init? 或者? ???/usr/local/aide/bin/aide? ? -i? 生成系统镜像
(总感觉这么说不对劲,镜像......(⊙o⊙)…)
这时??/usr/local/aide/下会有一个aide.db.new.gz文件,
需要修改一下:? mv??aide.db.new.gz? ?aide.db.gz? ? ?//这样就从新的系统镜像变成了系统镜像,哈哈......
aide.db.gz文件就相当于记录了系统当时的属性,如果配置文件里的那些文件夹有任何改动的话都会发现。
执行? ??usr/local/aide/bin/aide? ?-C? 就可以了,这个C是大写的!
等待输出结果就ok了,自己可以测试下;
以上是关于linux***检测工具之aide的主要内容,如果未能解决你的问题,请参考以下文章
一点一滴,成材之基! Linux后门Trojan Horse检测工具