实验Linux平台 CentOS 系统
应用背景:作为系统管理员,他们需要一种安全机制,比如检测文件篡改的机制
那它究竟检测什么呢? 文件内容 、文件的属性
AIDE:高级入侵检测系统的简称
那它如何实现呢:AIDE通过扫面一台为被篡改的linux服务器的文件系统来构建文件属性数据库
将服务器文件属性与数据库进行转换,对被修改的文件的索引发出警告!
从上面可以知道:ADIE的初始安装必须保持数据的‘干净’
系统安装后,并且没有任何服务暴漏在互联网上甚至局域网上
步骤:安装完系统-----断网------在终端安装AIDE服务------进行配置
安装服务器端软件 aide
# yum install aide
默认的配置文件 /etc/aide.conf
配置文件中主要的保护规则有:FIPSR NORMAL DIR DATAONLY
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
权限:p 索引节点:i 链接数:l 用户:u
组:g 大小:s 修改时间:m 创建时间:c
ACL:acl SELINUX:selinux xattrs:xattr
SHA256/SHA512监测和(sh256和sh 512)
条目之前的感叹号!告诉ADIE忽略子目录或目录文件
首次运行 AIDE
首先初始化ADIE数据库
aide --init
根据/etc/side.conf配置文件生成的/var/lib/aide/aidedb.new.gz文件需要被重命名为/var/lib/aide/aidedb.gz
第一次校对
# aide 直接运行这个命令,如果没有参数的话默认使用check选项
更新AIDE 数据库
# aide --update
谢谢~~~~~