AIDE的概述與實踐應(yīng)用

1、AIDE的概述與實踐應(yīng)用一、AIDE概述AIDE(Advanced Intrusion Detection Environment，高級入侵檢測環(huán)境)是個入侵檢測工具，主要用途是檢查文本的完整性。AIDE能夠構(gòu)造一個指定文檔的數(shù)據(jù)庫，它使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫能夠保存文檔的各種屬性，包括：權(quán)限(permission)、索引節(jié)點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創(chuàng)建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法：sha1、md5、rm

2、d160、tiger，以密文形式建立每個文檔的校驗碼或散列號。文件系統(tǒng)入侵檢測的原理：1.當(dāng)系統(tǒng)處于健康狀態(tài)時，把系統(tǒng)所有的文件做各種指紋的檢驗，得出一個檢驗基準(zhǔn)數(shù)據(jù)庫。2.不是所有的文件都需要保存指紋，如臨時文件（/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm.）。3.需要檢驗文件是否被更改，只需要把基準(zhǔn)數(shù)據(jù)對應(yīng)指紋值做對比，就可以得知哪些文件被更改過。4.每天把檢驗的結(jié)果以郵件或者其它方式發(fā)送管理員。AIDE入侵檢測工具的優(yōu)點在系統(tǒng)安裝完畢，要連接到網(wǎng)絡(luò)上之前，系統(tǒng)管理員應(yīng)該建立新系統(tǒng)的 AIDE 數(shù)據(jù)庫。 這第一個AIDE數(shù)據(jù)庫是

3、系統(tǒng)的一個快照和以后系統(tǒng)升級的參照。數(shù)據(jù)庫應(yīng)該包含這些信息：關(guān)鍵的系統(tǒng)二進制可執(zhí)行程序、動態(tài)鏈接庫、頭文件以及其它總是保持不變的文件。 這個數(shù)據(jù)庫不應(yīng)該保存那些經(jīng)常變動的文件信息，例如日志文件、郵件、/proc文件系統(tǒng)、用戶起始目錄以及臨時目錄。一旦發(fā)現(xiàn)系統(tǒng)被入侵，系統(tǒng)管理員可能會使用 ls、ps、netstat 以及who 等系統(tǒng)工具對系統(tǒng)進行檢查 ，但是所有這些工具都可能被木馬程序代替了?？梢韵胂蟊恍薷牡膌s程序?qū)⒉粫@示任何有關(guān)入侵的文件信息，ps也不顯示任何入侵進程的信息。即使系統(tǒng)管理員已經(jīng)把關(guān)鍵的系統(tǒng)文件的日期、大小等信息都打印到了紙上，恐怕也無法通過比較知道它們是否被修改過了，因為

4、文件日期、大小等信息是非常容易改變的，一些比較好的rootkit可以很輕松地對這些信息進行假冒。雖然文件的日期、大小等信息可能被假冒，但是假冒某個文件的一個加密校驗碼（例如：md5）就非常困難了，更不要說假冒所有AIDE支持的校驗碼了。在系統(tǒng)被入侵后，系統(tǒng)管理員只要重新運行 AIDE，就能夠很快識別出哪些關(guān)鍵文件被攻擊者修改過了。不過，要注意這也不是絕對的，因為AIDE可執(zhí)行程序的二進制文件本身可能被修改了或者數(shù)據(jù)庫也被修改了。因此，應(yīng)該把AIDE的數(shù)據(jù)庫放到安全的地方，而且進行檢查時要使用保證沒有被修改過的程序。aide用法aide有兩種參數(shù)：命令參數(shù)和選項參數(shù)，以下是aide的命令參數(shù)：-

5、check：檢查數(shù)據(jù)庫的一致性。需要一個初始化的AIDE數(shù)據(jù)庫。也是AIDE的默認(rèn)命令選項。-init：初始化一個數(shù)據(jù)庫，數(shù)據(jù)庫產(chǎn)生后一定要放到一個安全的地方。-update：檢查數(shù)據(jù)庫，并且以非交互的方式升級數(shù)據(jù)庫。輸入的數(shù)據(jù)庫和輸出的數(shù)據(jù)庫必須是不同的。選項參數(shù)：-config=configfile：指定configfile文檔作為配置文檔，不使用默認(rèn)的./aide.conf。假如使用-，aide就從標(biāo)準(zhǔn)輸入中讀取。-before=configparameters：在讀取配置文檔之前，首先處理configparameters指定的配置選項。-after=configparameters：處

6、理完配置文檔配置的配置選項以后，再處理configparameters配置的配置選項。-verbose=verbosity_level,-V verbosity_level：控制aide信息顯示的冗余程度。值在0到255之間。-report=reporter,-r：指定報告輸出的URL。-version,-v：顯示版本號-help,-h：顯示幫助信息aide是個Tipwire的替代和擴展軟件，他有一些Tripwire所不具備的特征。aide當(dāng)前具備的特征包括：多種完整性檢驗算法、把數(shù)據(jù)庫輸出到標(biāo)準(zhǔn)輸出設(shè)備/文檔的能力、通過配置文檔進行配置連同數(shù)據(jù)庫壓縮支持。將來aide會提高更多的特征。二、A

7、IDE部署1.下載安裝aide軟件包下載安裝aide使用yum，使用yum可以自動解決軟件包的依賴關(guān)系。執(zhí)行命令yum y install aide2. 查看配置文件/etc/aide.conf執(zhí)行命令vim /etc/aide.conf打開配置文件，可以在配置文件中依據(jù)檢測的需要進行相應(yīng)的修改。在aide.conf配置文件中定義了兩個數(shù)據(jù)庫文件。一個是基準(zhǔn)數(shù)據(jù)庫/var/lib/aide/用來進行對比校驗的數(shù)據(jù)庫；另一個是新數(shù)據(jù)庫/var/lib/aide/aide.db.new.gz，初始化生成的此數(shù)據(jù)庫可以通過mv操作生成基準(zhǔn)數(shù)據(jù)庫。3. 修改aide.conf文件，定義監(jiān)控目錄或文件r

8、ootserver # vim /etc/aide.conf 打開配置文件添加監(jiān)控目錄或文件的方法：路徑 監(jiān)控方法例如，監(jiān)控/etc/important.cfg文件/etc/important.cfg NORMALNORMAL是aide.conf文件定義的一種監(jiān)控方法。4. 定義基準(zhǔn)數(shù)據(jù)庫rootserver # aide -init 生成一個初始化aide數(shù)據(jù)庫生成的數(shù)據(jù)庫是/var/lib/aide/下的。rootserver # cd /var/lib/aiderootserver aide# mv 通過mv操作生成基準(zhǔn)數(shù)據(jù)庫，替換舊的基準(zhǔn)數(shù)據(jù)庫。5. 測試aide能否發(fā)現(xiàn)文件更改例如對前文提到的/etc/important.cfg文件進行修改。rootserver aide# aide -check結(jié)果顯示：-Changed files:-changed: /etc/important.cfg6. 更新基準(zhǔn)數(shù)據(jù)庫如果對系統(tǒng)所作的修改是正常的，并不是黑客入侵所致，可以更新基準(zhǔn)數(shù)據(jù)庫，同樣需要執(zhí)行mv 替換舊的數(shù)據(jù)庫。rootserver aide# aide -updaterootserver aide# mv 7. 保存入侵檢測報告可以將檢測結(jié)果保存到其他文件，以便日后查看。AIDE入侵檢測工具是Linux系統(tǒng)中的一種比較方便好用的系統(tǒng)入侵檢測，在實際生產(chǎn)