入侵檢測工具之RKHunter & AIDE

一、AIDE

• AIDE全稱為(Adevanced Intrusion Detection Environment)是一個入侵檢測工具，主要用于檢查檔案的完整性，審計系統中的工具是否被更改過。
• AIDE會構造一個資料庫檔案，當系統在穩定時将全部或指定的檔案屬性以密文的形式儲存至資料庫中。檔案屬性包括：權限、索引節點号、所屬使用者、所屬使用者組、檔案大小、mtime、atime、ctime以及連接配接數。

安裝

[root@centos7 ~]$yum install -y aide           

配置檔案詳解

#定義了資料庫路徑的變量與日志路徑的變量
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide

#開啟壓縮
gzip_dbout=yes

# 将多個權限定義成規則賦給變量，便于後面引用
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
CONTENT = sha256+ftype
PERMS = p+u+g+acl+selinux+xattrs

# 采用哪種規則對哪些檔案進行監控
/boot/   CONTENT_EX
/bin/    CONTENT_EX
/sbin/   CONTENT_EX
/lib/    CONTENT_EX
/lib64/  CONTENT_EX           #采用CONTENT_EX定義的規則進行監測
/opt/    CONTENT              #僅對opt目錄進行校驗碼與檔案類型監測
/root/\..* PERMS              #PERMS并沒有hash校驗值，因為/root下的資料會經常變化

# 不監控的檔案

!/etc/.*~
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum           

定義規則

編輯配置檔案

/etc/adie.conf

,定義一個規則變量

mon

，監控/app目錄下所有檔案，不監控/app/saomiao.log。

[root@centos7 aide]$ vim /etc/aide.conf
  mon = p+u+g+sha512+m+a+c
  /app mon
  !/app/juli.sh           

建立資料庫

生成資料庫檔案，在配置檔案中定義各檔案計算各校驗碼放入資料庫中，用于以後比對。從提示中看出生成了一個

/var/lib/aide/aide.db.new.gz

資料庫檔案，這個資料庫檔案為初始資料庫，如果進行入侵檢測将與

/var/lib/aide/aide.db.gz

資料庫檔案作比對，如果發現兩個資料庫不一緻則提示被入侵。

[root@centos7 aide]$aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.           

模拟檔案被入侵更改

模拟檔案被修改 ： 向saomiao.sh檔案添加換行，促使更改校驗碼、Mtime、Ctime

[root@centos7 aide]$ echo >> /app/saomiao.sh           

檢測：AIDE的檢測機制是計算出現在的資料庫後與

aide.db.gz

比對。

aide.db.gz

預設又不存在，是以要将之前的建立的初始化資料庫

aide.db.new.gz

改名為

aide.db.gz

。

[root@centos7 aide]$mv aide.db.new.gz aide.db.gz            

入侵檢測

最後使用

aide -C

注意是大寫，将現在計算出的資料與

aide.db.new.gz

比對，檢視數saomiao.sh檔案的Mtime、CtimeSHA512被更改過

二、RKHunter

RKHunter工具時專門檢測系統是否遭受rootkit的一個工具，他通過自動執行一系列的腳本來全面的檢測伺服器是否感染rootkit。

RKHunter的功能

檢測易受攻擊的檔案；

檢測隐藏檔案；

檢測重要檔案的權限；

檢測系統端口号；

[root@centos7 aide]$yum install rkhunter           

檢測

使用指令

rkhunker -c

對系統進行檢測。RKHunter檢測會分幾部分，第一部分主要檢測系統的二進制工具，因為這些工具時rootkit的首要感染目标。每檢測完一部分需要Enter來确認繼續。

[ ok ] 表示沒有異常

[ no found ] 是沒有找到此工具，不用理會

[ warning ] 如果是紅色的Warnning那就需要進一步确認這些工具是否被感染或者被替換。

如果想讓程式自動檢測而不是每檢測完一部分就讓使用者确認，可以使用

rkhunter --check --skip-keypress           

同時如果要想達到每周或者每月自動檢測就可以将他加入到計劃任務中自動執行

crontab -e
1 10 7 * * * root /usr/bin/rkhunter --check --cronjob