CentOS7下的AIDE入侵檢測配置

1、AIDE的簡單介紹

  AIDE通過掃描一台（未被篡改）的Linux伺服器的檔案系統來建構檔案屬性資料庫，以後将伺服器檔案屬性與資料庫中的進行校對，然後在伺服器運作時對被修改的索引了的檔案發出警告。出于這個原因，AIDE必須在系統更新後或其配置檔案進行合法修改後重新對受保護的檔案做索引。

2、安裝并簡單配置aide

<code>[root@LVS-DR01 ~]</code><code># yum -y install aide</code>

<code>[root@LVS-DR01 ~]</code><code># vim /etc/aide.conf </code>

<code># 添加下列行：</code>

<code>/molewan</code>        <code>NORMAL</code>

<code>[root@LVS-DR01 ~]</code><code># aide --init</code>

<code>AIDE, version 0.15.1</code>

<code>### AIDE database at /var/lib/aide/aide.db.new.gz initialized.</code>

<code>初始化的時間會比較長，耐心等待下</code>

<code>[root@LVS-DR01 ~]</code><code># mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz</code>

<code>說明：根據</code><code>/etc/aide</code><code>.conf生成的</code><code>/var/lib/aide/aide</code><code>.db.new.gz檔案需要重命名</code>

<code>為</code><code>/var/lib/aide/aide</code><code>.db.gz，以便讓AIDE能讀取它</code>

3、模拟在aide監管的目錄下，新添加一個檔案

<code>[root@LVS-DR01 ~]</code><code># cd /molewan/</code>

<code>[root@LVS-DR01 molewan]</code><code># cp /etc/passwd .</code>

<code>[root@LVS-DR01 molewan]</code><code># ls</code>

<code>passwd</code>

4、執行aide進行檢查

<code>[root@LVS-DR01 molewan]</code><code># aide --check</code>

<code>Entry </code><code>/root/</code><code>.mysql_history </code><code>in</code> <code>databases has different attributes: 20000001d 20020001d</code>

<code>AIDE 0.15.1 found differences between database and filesystem!!</code>

<code>Start timestamp: 2017-06-22 10:35:10</code>

<code>Summary:</code>

<code>  </code><code>Total number of files:272614</code>

<code>  </code><code>Added files:1</code>

<code>  </code><code>Removed files:0</code>

<code>  </code><code>Changed files:3</code>

<code>---------------------------------------------------</code>

<code>Added files:</code>

<code>added: </code><code>/molewan/passwd</code>

<code>Changed files:</code>

<code>changed: </code><code>/opt/gitlab/sv/logrotate/supervise/pid</code>

<code>changed: </code><code>/opt/gitlab/sv/logrotate/supervise/status</code>

<code>changed: </code><code>/root/</code><code>.mysql_history</code>

<code>Detailed information about changes:</code>

<code>File: </code><code>/opt/gitlab/sv/logrotate/supervise/pid</code>

<code>SHA256   : 1JSst6Quw</code><code>/tdtJftiGt/21jUIBRbzOcQ</code> <code>, NUB</code><code>/zWnJypaqQW2QQcC/Mx5e1QInQn</code><code>+0</code>

<code>File: </code><code>/opt/gitlab/sv/logrotate/supervise/status</code>

<code>SHA256   : A</code><code>/GkExLS7Y1JyYVE4N7/I1pUxRH/xj1P</code> <code>, BKuJ49lWHu2kprL</code><code>//4A</code><code>+AO</code><code>/lJZS7evFx</code>

<code>File: </code><code>/root/</code><code>.mysql_history</code>

<code>Perm     : lrwxrwxrwx                       , -rw-------</code>

<code>說明：可以發現，新添加哪些檔案，修改了哪些參數</code>

參考資料：http://os.51cto.com/art/201411/457358.htm

本文轉自 冰凍vs西瓜 51CTO部落格，原文連結：http://blog.51cto.com/molewan/1940878，如需轉載請自行聯系原作者