實驗Linux平台 CentOS 系統
應用背景:作為系統管理者,他們需要一種安全機制,比如檢測檔案篡改的機制
那它究竟檢測什麼呢? 檔案内容 、檔案的屬性
AIDE:進階入侵檢測系統的簡稱
那它如何實作呢:AIDE通過掃面一台為被篡改的linux伺服器的檔案系統來建構檔案屬性資料庫
将伺服器檔案屬性與資料庫進行轉換,對被修改的檔案的索引發出警告!
從上面可以知道:ADIE的初始安裝必須保持資料的‘幹淨’
系統安裝後,并且沒有任何服務暴漏在網際網路上甚至區域網路上
步驟:安裝完系統-----斷網------在終端安裝AIDE服務------進行配置
安裝伺服器端軟體 aide
# yum install aide
預設的配置檔案 /etc/aide.conf
配置檔案中主要的保護規則有:FIPSR NORMAL DIR DATAONLY
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
權限:p 索引節點:i 連結數:l 使用者:u
組:g 大小:s 修改時間:m 建立時間:c
ACL:acl SELINUX:selinux xattrs:xattr
SHA256/SHA512監測和(sh256和sh 512)
條目之前的感歎号!告訴ADIE忽略子目錄或目錄檔案
首次運作 AIDE
首先初始化ADIE資料庫
aide --init
根據/etc/side.conf配置檔案生成的/var/lib/aide/aidedb.new.gz檔案需要被重命名為/var/lib/aide/aidedb.gz
第一次校對
# aide 直接運作這個指令,如果沒有參數的話預設使用check選項
更新AIDE 資料庫
# aide --update
謝謝~~~~~