CentOS之aide文件美国服务器23.234.监控
介绍
AIDE(AdevancedIntrusionDetectionEnvironment)高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。
AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inodenumber)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间<b>62.212.18</b>(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.
这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.
所有安装的包都会在rpm数据库生成对应的记录,可以使用rpm<b>62.212.18</b>-V来进行查询和比对,在记录发生变化时会出现相应的提示信息。aide和rpm数据库的区别就是aide能监控所有的文件,以及更全面的文件属性,rpm数据库之限定于rpm安装的包。
配置
程序文件/usr/sbin/aide
配置文件/etc/aide.conf
数据库文件/var/lib/aide
日志文件/var/log/aide
数据库读取时用到的文件aide.db.gz,用于校验文件
数据库被写入时生成的文件aide.db.new.gz,在使用时需要修改为aide.db.gz,便于校验数据时的读取
属性
设置监控
以监控/app文件夹为例,设置一条监控的属性信息mon,直接在/app后调用,/app/f3不需要监控,用叹号!指定
创建数据库,生成/var/lib/aide/aide.db.new.gz文件
因为没有aide.db.gz文件,此时还不能对文件进行监控
进入文件夹改名,再次查询
再次检查/app下文件,因为是第一次监控文件,在创建数据库时对文件进行了读取,文件的访问时间atiem变更为数据库读取的时间。因为跳过了f3文件,再次不做显示。由此就实施了对文件的监控。
修改所有者,查看文件的属性变化
修改f1文件的所有者为用户feng,用aide-C检查,会发现f1文件的所有者的ID从0变更为1000,文件的ctime显示了更改的时间
修改文件内容,查看文件的属性变化
修改f2文件的内容,用aide-<b>62.212.18</b>C检查,此时文件的mtime和ctime,以及哈希值都发生了改变,说明数据已经变化了
更新数据库
在数据变更之后,如果实在正常的情况下,需要保存下来以后使用,可以使用aide-u进行更新数据库,在数据库更新之后,会重新生成/var/lib/aide/aide.db.new.gz文件,因为数据库读取的文件是aide.db.gz,所以在更新数据库之后,我们要删除原aide.db.gz文件,把aide.db.new.gz重命名为aide.db.gz,再次检查文件的变化,会发现之前的改动在aide监控下已经变成了正常
修改文件权限并改回,查看属性的变化
f4文件的权限是644,把f4文件的权限修改为600,用aide-C检查是会提示文件的权限的变化和ctime的改变。当文件的权限再次更改为644时,文件的atime和ctime都发生了改变,没有提示权限上的错误
aide是一个很好的监控文件,可以用它监控一些重要的文件,比如不会经常变动的二进制文件,被入侵时串改文件,可以及时发现并解决问题,避免不必要的损失