<强>
0 x00为何要用
入侵检测,安全领域当中最基本也是最好用的一种攻击检测方式。对于我们的服务器来讲,假设被攻击了,破坏数据并不是绝大多数攻击者的本意,更多的是想要用我
们的服务器去做爱做的事,所以一旦服务器遭到入侵,很多的配置,可能是会被改变的。比如新安装了一个软件,比如突然多了一些数据,或者说服务器的配置文件
发生了变化。那么,助手这款入侵检测软件就可以检测我们系统的一些变动,而这些直接检测出来的结果就可以作为我们服务器被攻破的依据。注意:我们这里
所说的入侵检测,并非网络的入侵检测,而是系统的入侵检测。
<强>
0 x01关于助手
助手是(先进的入侵检测环境)高级入侵检测的缩写,实现的功能主要对文件完整性进行检测。
助手
首先会初始化一个被监测文件的数据库,它会提前对文件进行一个校验运算,把校验值保存到数据库中。最后根据管理员的配置进行周期性检查,比如说1天,1
周,或者手动检查。检查的时候其实就是对被监测文件再进行一次校验,把新校验值和原校验值进行对比,如果不一样证明有变动。
<强>
# md5
<强>
# p:,,,,,权限的大敌;,,,,,,,,==,& lt权限
#我:,,,,,inode大敌;,,,,,,,,,,==,& lt innode号
# u:,,,,,uid大敌;,,,,,,,,,,,,,& lt;==用户id
# g:,,,,,gid大敌;,,,,,,,,,,,,==,& lt组id
# l:,,,,,链接名称大敌;,,,,,,,,==,& lt链接名称
#年代:,,,,,,大小,,,,,,,,,,,& lt;==文件大小
# 2:,,,,,块计数大敌;,,,,,,,,==,& lt块的总数
# n:,,,,,的链接数大敌;,,,,,,==,& lt链接数量
#一个:,,,,,,一次,,,,,,,,,,,& lt;==最后访问时间
m:,,,,,mtime大敌;,,,,,,,,,,,& lt;==最后修改时间
# c:,,,,,ctime大敌;,,,,,,,,,,,& lt;==最后改变时间
#年代:,,,,,,越来越多的大小,,,,,,==,& lt数据增长大小,,
# acl:,,,,访问控制列表,,==,& lt访问控制列表
# selinux:,SELinux安全上下文大敌;==,& lt SElinux上下文
# xattrs:,,扩展文件属性,& lt;==文件扩展属性
<强>
# yum安装- y的助手,,& lt;==百胜方式安装助手
# cp/etc/aide.参看/etc/aide.conf.default,,,,& lt;==备份原配置文件
# vim/etc/aide.相依,,& lt;==修改配置文件
首先我们把默认监测对象通通干掉:
然后选择监测属性/创建监测规则:
设定监测对象:
最不应该变得就是配置文件和命令。
<强>
#助手——初始化,,& lt;==初始化监测数据库
# mv/var/lib/aide/aide.db.new。广州/var/lib/aide/aide.db.广州,,& lt;==把生成的监测数据库重命名
#助手——检查,,& lt;==手动检测
#助手——更新,,& lt;==更新数据库
#
回声“* 2 * * */usr/sbin/aide——检查|邮件- s \“助理报告\“;
root@wooyun.org"在比;/etc/crontab,,
& lt;==周期性检查,每2分钟一次,并把检测结果发到管理员邮箱
