简介
助手(高级入秦检测环境)是文件完整性检查程序和入秦检测程序。
特性
-
<李>主要用途是检查文件的完整性,审计计算机上哪些文件被更改过。
<李>助手根据从/etc/助理。参看配置文件中找到的正则表达式规则创建数据库。初始化该数据库后,就可以用来验证文件的完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库.AIDE数据库能够保存文件的各种属性,包括:权限(许可),索引节点序号(inode编号),所属用户(用户),所属用户组(集团),文件大小,最后修改时间(mtime),创建时间(ctime),最后访问时间(一次),增加的大小以及连接数.AIDE还能够使用下列算法:sha1, md5, rmd160,老虎,以密文形式建立每个文件的校验码或散列号。
<李>这个数据库不应该保存那些经常变动的文件信息,例如:日志文件,邮件,/proc文件系统,用户其实目录以及临时目录。
背景
当一个入秦者进入了你的系统并且种植了木,通常会想办法来隐蔽这个木马(除了木马自身的一些隐蔽特性外,他会尽量给你检查系统的过程设置障碍),通常入秦者会修改一些文件,比如管理员通常用ps辅助来查看系统进程,那么入秦者很可能用自己经过修改的ps程序来替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序。如果入秦者发现管理员正在运行crontab作业,也有可能替换掉crontab程序等等。所以由此可以看出对于系统文件或是关键文件的检查是很必要的。目前就系统完整性检查的工具用的比较多的有两款:Tripwire和助手,前者是一款商业软件,后者是一款免费的但功能也很强大的工具。
操作步骤
安装
<代码类=" language-bash "> [root@CentOS7 ~] # yum - y安装助手
修改配置文件
/etc/aide.conf
<代码类=" language-bash ">/etc/助理。参看默认配置文件路径/usr/sbin/aide默认二进制可执行文件路径/var/lib/aide默认数据库文件路径/var/log/aide默认日志文件路径
初始化默认的助手的库:
<代码类=發anguage-bash”>“助手”——init 执行完这步操作后会在默认数据库路径/var/lib/助手下产生一个名为“aide.db.new.gz”的数据库文件,/etc/aide.conf中定义的规则都写入到了该数据库文件中。
生成检查数据库(建议初始化数据库存放到安全的地方)
<代码类=" language-bash "> mv/var/lib/aide/aide.db{格式,}. gz和
因为助手默认是从aide.db.gz数据库文件中读?etc/aide.conf文件中定义的规则来检测文件完整性的,所以需要重命名初始化的库文件。
检测h5> <代码类=發anguage-bash”>“助手”——检查
更新数据库h5> <代码类=發anguage-bash”>“助手”——更新
检测完需要更新文件数据库,否则下次检测还是从旧的文件数据库中读取规则来检测文件的完整性。同时需要重命名数据库文件
助手默认规则
<代码类=" language-bash "> #
# p:权限
#我:索引节点:
# n:链接的数量
# u:用户
# g:组
#年代:大小
b:块计数
m: mtime
#:一次
# c: ctime
#年代:检查大小
# acl:访问控制列表
# selinux selinux安全上下文
# xattrs:扩展文件属性
# md5: md5校验和
# sha1: sha1校验和
# sha256: sha256校验和
# sha512: sha512校验和
# rmd160: rmd160校验和
#虎:老虎校验和
#哈弗:哈弗校验和(MHASH>规则定义格式:规则名=具体规则
【例】:测试=a + m + c
规则使用格式:文件/目录规则名
【例】:/dir1测试
注:如果在文件或目录前面加了“!”,则表示忽略检测
助手规则验证
助手默认规则
<代码类=" language-bash "> # # p:权限 #我:索引节点: # n:链接的数量 # u:用户 # g:组 #年代:大小 b:块计数 m: mtime #:一次 # c: ctime #年代:检查大小 # acl:访问控制列表 # selinux selinux安全上下文 # xattrs:扩展文件属性 # md5: md5校验和 # sha1: sha1校验和 # sha256: sha256校验和 # sha512: sha512校验和 # rmd160: rmd160校验和 #虎:老虎校验和 #哈弗:哈弗校验和(MHASH>规则定义格式:规则名=具体规则 【例】:测试=a + m + c 规则使用格式:文件/目录规则名 【例】:/dir1测试 注:如果在文件或目录前面加了“!”,则表示忽略检测
助手规则验证
在/etc/助理。参看文件中定义如下规则,这里的/dir1目录刚开始是空的。
<代码类=" language-bash ">测试=a + c + m/dir1 te
测试1:
<代码类=" language-bash ">在该目录下创建一个新的文件file1,并写入“你好助手” root@CentOS7 ~ #助手——检查 助手,版本0.15.1 # # #所有文件数据库匹配的助手。看起来好! root@CentOS7 ~ #回声”你好助手”在/dir1/file1 root@CentOS7 ~ #助手——检查 助手0.15.1发现数据库和文件系统之间的差异! ! 开始时间:2019-11-10 19:12:57 简介: 总数量的文件:3 添加文件:1 删除文件:0 改变文件:1 --------------------------------------------------- 添加文件: --------------------------------------------------- 补充:/dir1/file1 --------------------------------------------------- 修改文件: --------------------------------------------------- 改变:/dir1 --------------------------------------------------- 详细信息的变化: --------------------------------------------------- 目录:/dir1 Mtime: 2019-11-10 19:12:00, 2019-11-10 19:12:55 Ctime: 2019-11-10 19:12:00, 2019-11-10 19:12:55 以上输出表示在/dir1目录下添加了file1文件,并且修改了/dir1目录的Ctime和Mtime属性如何在Linux中使用助手监控文件的完整性
