您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    我们有最适合您的产品和最好的服务。登录  /  注册  /  旧平台入口

CentOS之aide文件美国服务器23.234.监控

 



介绍



AIDE(AdevancedIntrusionDetectionEnvironment)高级入侵检测环境)是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了。


AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括:权限(permission)、索引节点序号(inodenumber)、所属用户(user)、所属用户组(group)、文件大小、最后修改时间<b>62.212.18</b>(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小以及连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文件的校验码或散列号.


这个数据库不应该保存那些经常变动的文件信息,例如:日志文件、邮件、/proc文件系统、用户起始目录以及临时目录.



所有安装的包都会在rpm数据库生成对应的记录,可以使用rpm<b>62.212.18</b>-V来进行查询和比对,在记录发生变化时会出现相应的提示信息。aide和rpm数据库的区别就是aide能监控所有的文件,以及更全面的文件属性,rpm数据库之限定于rpm安装的包。





配置



程序文件/usr/sbin/aide


配置文件/etc/aide.conf


数据库文件/var/lib/aide


日志文件/var/log/aide


数据库读取时用到的文件aide.db.gz,用于校验文件


数据库被写入时生成的文件aide.db.new.gz,在使用时需要修改为aide.db.gz,便于校验数据时的读取



属性





设置监控





以监控/app文件夹为例,设置一条监控的属性信息mon,直接在/app后调用,/app/f3不需要监控,用叹号!指定







创建数据库,生成/var/lib/aide/aide.db.new.gz文件





因为没有aide.db.gz文件,此时还不能对文件进行监控





进入文件夹改名,再次查询





再次检查/app下文件,因为是第一次监控文件,在创建数据库时对文件进行了读取,文件的访问时间atiem变更为数据库读取的时间。因为跳过了f3文件,再次不做显示。由此就实施了对文件的监控。





修改所有者,查看文件的属性变化


修改f1文件的所有者为用户feng,用aide-C检查,会发现f1文件的所有者的ID从0变更为1000,文件的ctime显示了更改的时间





修改文件内容,查看文件的属性变化


修改f2文件的内容,用aide-<b>62.212.18</b>C检查,此时文件的mtime和ctime,以及哈希值都发生了改变,说明数据已经变化了





更新数据库


在数据变更之后,如果实在正常的情况下,需要保存下来以后使用,可以使用aide-u进行更新数据库,在数据库更新之后,会重新生成/var/lib/aide/aide.db.new.gz文件,因为数据库读取的文件是aide.db.gz,所以在更新数据库之后,我们要删除原aide.db.gz文件,把aide.db.new.gz重命名为aide.db.gz,再次检查文件的变化,会发现之前的改动在aide监控下已经变成了正常





修改文件权限并改回,查看属性的变化


f4文件的权限是644,把f4文件的权限修改为600,用aide-C检查是会提示文件的权限的变化和ctime的改变。当文件的权限再次更改为644时,文件的atime和ctime都发生了改变,没有提示权限上的错误






aide是一个很好的监控文件,可以用它监控一些重要的文件,比如不会经常变动的二进制文件,被入侵时串改文件,可以及时发现并解决问题,避免不必要的损失




您可能还会对下面的文章感兴趣: