aide(advanced intrusion detection environment,高階入侵檢測環境)是個入侵檢測工具,主要用途是檢查文件的完整性。aide能夠構造乙個指定文件的資料庫,他使用aide.conf作為其配置文件。aide資料庫能夠儲存文件的各種屬性,包括:許可權(permission)、索引節點序號(inode number)、所屬使用者(user)、所屬使用者組(group)、文件大小、最後修改時間(mtime)、建立時間(ctime)、最後訪問時間(atime)、增加的大小連同連線數。aide還能夠使用下列演算法:sha1、md5、rmd160、tiger,以密文形式建立每個文件的校驗碼或雜湊號。實驗目的:
aide通過檢查資料檔案的許可權、時間、大小、雜湊值等,校驗資料的完整性。
使用aide需要在資料沒有被破壞前,對資料完成初始化校驗,生成校驗資料庫檔案,在被攻擊後,可以使用資料庫檔案,快速定位被人篡改的檔案。
步驟實現此案例需要按照如下步驟進行。
步驟一:部署aide入侵檢測系統
1)安裝軟體包
[root@proxy ~]# yum -y install aide
2) 修改配置檔案
確定對哪些資料進行校驗,如何校驗資料
[root@proxy ~]# vim /etc/aide.conf
@@define dbdir /var/lib/aide //資料庫目錄
@@define logdir /var/log/aide //日誌目錄
database_out=file:@@/aide.db.new.gz //資料庫檔名
//一下內容為可以檢查的專案(許可權,使用者,組,大小,雜湊值等)
#p: permissions
#i: inode:
#n: number of links
#u: user
#g: group
#s: size
#md5: md5 checksum
#sha1: sha1 checksum
#sha256: sha256 checksum
dataonly = p n u g s acl selinux xattrs sha256
//以下內容設定需要對哪些資料進行入侵校驗檢查
//注意:為了校驗的效率,這裡將所有預設的校驗目錄與檔案都注釋
//僅保留/root目錄,其他目錄都注釋掉
/root dataonly
#/boot normal //對哪些目錄進行什麼校驗
#/bin normal
#/sbin normal
#/lib normal
#/lib64 normal
#/opt normal
#/usr normal
#!/usr/src //使用[!],設定不校驗的目錄
#!/usr/tmp
步驟二:初始化資料庫,入侵後檢測
1)入侵前對資料進行校驗,生成初始化資料庫
[root@proxy ~]# aide --init
aide, version 0.15.1
aide database at /var/lib/aide/aide.db.new.gz initialized.
//生成校驗資料庫,資料儲存在/var/lib/aide/aide.db.new.gz
2)備份資料庫,將資料庫檔案拷貝到u盤(非必須的操作)
[root@proxy ~]# cp /var/lib/aide/aide.db.new.gz /media/
3)入侵後檢測
[root@proxy ~]# cd /var/lib/aide/
[root@proxy ~]# mv aide.db.new.gz aide.db.gz
[root@proxy ~]# aide --check //檢查哪些資料發生了變化
推薦文章++++
*入侵檢測學習 snort [一]
如何使用sha1方法
兩年前,也使用過sha1方法,但是隨著時間的遠去,遺忘了它的使用方法,這一次使用sha1,搞了半天sha1結果都是錯了,剛才被同事提醒了一下,才想起sha1的使用方法,趕緊記下來,進行sha1計算的資料長度,應該是可以無限大的,所以要使用迭代的思想。第一 每一次sha1計算的時候,都要重啟,所以每一...
如何使用java進行sha1加密
安全雜湊演算法 secure hash algorithm 主要適用於數字簽名 標準 digital signature standard dss 裡面定義的數字簽名演算法 digital signature algorithm dsa 在sha1演算法中,我們必須把原始訊息 字串,檔案等 轉換成位...
SHA1和md5的使用
sha1的全稱是secure hash algorithm 安全雜湊演算法 加密雜湊函式將任意長度的二進位制字串對映為固定長度的小型二進位制字串。加密雜湊函式有這樣乙個屬性 在計算上不大可能找到雜湊為相同的值的兩個不同的輸入 也就是說,兩組資料的雜湊值僅在對應的資料也匹配時才會匹配。資料的少量更改會...