sha1校驗工具使用AIDE工具做入侵檢測

aide(advanced intrusion detection environment,高階入侵檢測環境)是個入侵檢測工具，主要用途是檢查文件的完整性。aide能夠構造乙個指定文件的資料庫，他使用aide.conf作為其配置文件。aide資料庫能夠儲存文件的各種屬性，包括：許可權(permission)、索引節點序號(inode number)、所屬使用者(user)、所屬使用者組(group)、文件大小、最後修改時間(mtime)、建立時間(ctime)、最後訪問時間(atime)、增加的大小連同連線數。aide還能夠使用下列演算法：sha1、md5、rmd160、tiger，以密文形式建立每個文件的校驗碼或雜湊號。實驗目的：

aide通過檢查資料檔案的許可權、時間、大小、雜湊值等，校驗資料的完整性。

使用aide需要在資料沒有被破壞前，對資料完成初始化校驗，生成校驗資料庫檔案，在被攻擊後，可以使用資料庫檔案，快速定位被人篡改的檔案。

步驟實現此案例需要按照如下步驟進行。

步驟一：部署aide入侵檢測系統

1)安裝軟體包

[root@proxy ~]# yum -y install aide

2) 修改配置檔案

確定對哪些資料進行校驗，如何校驗資料

[root@proxy ~]# vim /etc/aide.conf

@@define dbdir /var/lib/aide //資料庫目錄

@@define logdir /var/log/aide //日誌目錄

database_out=file:@@/aide.db.new.gz //資料庫檔名

//一下內容為可以檢查的專案(許可權，使用者，組，大小，雜湊值等)

#p: permissions

#i: inode:

#n: number of links

#u: user

#g: group

#s: size

#md5: md5 checksum

#sha1: sha1 checksum

#sha256: sha256 checksum

dataonly = p n u g s acl selinux xattrs sha256

//以下內容設定需要對哪些資料進行入侵校驗檢查

//注意：為了校驗的效率，這裡將所有預設的校驗目錄與檔案都注釋

//僅保留/root目錄，其他目錄都注釋掉

/root dataonly

#/boot normal //對哪些目錄進行什麼校驗

#/bin normal

#/sbin normal

#/lib normal

#/lib64 normal

#/opt normal

#/usr normal

#!/usr/src //使用[!]，設定不校驗的目錄

#!/usr/tmp

步驟二：初始化資料庫，入侵後檢測

1)入侵前對資料進行校驗，生成初始化資料庫

[root@proxy ~]# aide --init

aide, version 0.15.1

aide database at /var/lib/aide/aide.db.new.gz initialized.

//生成校驗資料庫，資料儲存在/var/lib/aide/aide.db.new.gz

2)備份資料庫，將資料庫檔案拷貝到u盤(非必須的操作)

[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz /media/

3)入侵後檢測

[root@proxy ~]# cd /var/lib/aide/

[root@proxy ~]# mv aide.db.new.gz aide.db.gz

[root@proxy ~]# aide --check //檢查哪些資料發生了變化

sha1校驗工具使用AIDE工具做入侵檢測

如何使用sha1方法

如何使用java進行sha1加密

SHA1和md5的使用

sha1校驗工具 使用AIDE工具做入侵檢測

如何使用sha1方法

如何使用java進行sha1加密

SHA1和md5的使用

相關推薦

sha1校驗工具使用AIDE工具做入侵檢測