当一个入侵者进入了你的系统并且种植了木马,通常会想办法来隐蔽这个木马 (除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍), 通常入侵者会修改一些文件,比如管理员通常用ps -aux来查看系统进程,那 么入侵者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用 ps命令查不到正在运行的木马程序。如果入侵者发现管理员正在运行crontab 作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或 是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有 两款:Tripwire和AIDE,前者是一款商业软件,后者是一款免费的但功能也很 强大的工具
• AIDE(Advanced Intrusion Detection Environment高 级入侵检测环境)是一个入侵检测工具,主要用途是检查 文件的完整性,审计计算机上的那些文件被更改过了
• AIDE能够构造一个指定文件的数据库,它使用aide.conf 作为其配置文件。AIDE数据库能够保存文件的各种属性, 包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文件 大小、最后修改时间(mtime)、创建时间(ctime)、最后 访问时间(atime)、增加的大小以及连接数。AIDE还能够 使用下列算法:sha1、md5、rmd160、tiger,以密文 形式建立每个文件的校验码或散列号
• 这个数据库不应该保存那些经常变动的文件信息,例如: 日志文件、邮件、/proc文件系统、用户起始目录以及临 时目录
安装:
yum install aide -y
修改配置文件:
(指定对哪些文件进行检测)
vim /etc/aide.conf
/test/chameleon R /bin/ps R+a /usr/bin/crontab R+a /etc PERMS
!/etc/mtab #“!”表示忽略这个文件的检查
R=p+i+n+u+g+s+m+c+md5 权限+索引节点+链接数+用户+组+大小+ 最后一次修改时间+创建时间+md5校验值
NORMAL = R+rmd60+sha25
初始化默认的AIDE的库:
/usr/sbin/aide --init
生成检查数据库(建议初始数据库存放到安全的地方)
cd /var/lib/aide
mv aide.db.new.gz aide.db.gz
检测:
/usr/local/bin/aide --check
更新数据库
aide --update