AIDE的概述與實(shí)踐應(yīng)用

1、AIDE的概述與實(shí)踐應(yīng)用一、AIDE概述AIDE(Advanced Intrusion Detection Environment，高級(jí)入侵檢測(cè)環(huán)境)是個(gè)入侵檢測(cè)工具，主要用途是檢查文本的完整性。AIDE能夠構(gòu)造一個(gè)指定文檔的數(shù)據(jù)庫(kù)，它使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫(kù)能夠保存文檔的各種屬性，包括：權(quán)限(permission)、索引節(jié)點(diǎn)序號(hào)(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時(shí)間(mtime)、創(chuàng)建時(shí)間(ctime)、最后訪問(wèn)時(shí)間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法：sha1、md5、rm

2、d160、tiger，以密文形式建立每個(gè)文檔的校驗(yàn)碼或散列號(hào)。文件系統(tǒng)入侵檢測(cè)的原理：1.當(dāng)系統(tǒng)處于健康狀態(tài)時(shí)，把系統(tǒng)所有的文件做各種指紋的檢驗(yàn)，得出一個(gè)檢驗(yàn)基準(zhǔn)數(shù)據(jù)庫(kù)。2.不是所有的文件都需要保存指紋，如臨時(shí)文件（/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm.）。3.需要檢驗(yàn)文件是否被更改，只需要把基準(zhǔn)數(shù)據(jù)對(duì)應(yīng)指紋值做對(duì)比，就可以得知哪些文件被更改過(guò)。4.每天把檢驗(yàn)的結(jié)果以郵件或者其它方式發(fā)送管理員。AIDE入侵檢測(cè)工具的優(yōu)點(diǎn)在系統(tǒng)安裝完畢，要連接到網(wǎng)絡(luò)上之前，系統(tǒng)管理員應(yīng)該建立新系統(tǒng)的 AIDE 數(shù)據(jù)庫(kù)。 這第一個(gè)AIDE數(shù)據(jù)庫(kù)是

3、系統(tǒng)的一個(gè)快照和以后系統(tǒng)升級(jí)的參照。數(shù)據(jù)庫(kù)應(yīng)該包含這些信息：關(guān)鍵的系統(tǒng)二進(jìn)制可執(zhí)行程序、動(dòng)態(tài)鏈接庫(kù)、頭文件以及其它總是保持不變的文件。 這個(gè)數(shù)據(jù)庫(kù)不應(yīng)該保存那些經(jīng)常變動(dòng)的文件信息，例如日志文件、郵件、/proc文件系統(tǒng)、用戶起始目錄以及臨時(shí)目錄。一旦發(fā)現(xiàn)系統(tǒng)被入侵，系統(tǒng)管理員可能會(huì)使用 ls、ps、netstat 以及who 等系統(tǒng)工具對(duì)系統(tǒng)進(jìn)行檢查 ，但是所有這些工具都可能被木馬程序代替了?？梢韵胂蟊恍薷牡膌s程序?qū)⒉粫?huì)顯示任何有關(guān)入侵的文件信息，ps也不顯示任何入侵進(jìn)程的信息。即使系統(tǒng)管理員已經(jīng)把關(guān)鍵的系統(tǒng)文件的日期、大小等信息都打印到了紙上，恐怕也無(wú)法通過(guò)比較知道它們是否被修改過(guò)了，因?yàn)?/p>

4、文件日期、大小等信息是非常容易改變的，一些比較好的rootkit可以很輕松地對(duì)這些信息進(jìn)行假冒。雖然文件的日期、大小等信息可能被假冒，但是假冒某個(gè)文件的一個(gè)加密校驗(yàn)碼（例如：md5）就非常困難了，更不要說(shuō)假冒所有AIDE支持的校驗(yàn)碼了。在系統(tǒng)被入侵后，系統(tǒng)管理員只要重新運(yùn)行 AIDE，就能夠很快識(shí)別出哪些關(guān)鍵文件被攻擊者修改過(guò)了。不過(guò)，要注意這也不是絕對(duì)的，因?yàn)锳IDE可執(zhí)行程序的二進(jìn)制文件本身可能被修改了或者數(shù)據(jù)庫(kù)也被修改了。因此，應(yīng)該把AIDE的數(shù)據(jù)庫(kù)放到安全的地方，而且進(jìn)行檢查時(shí)要使用保證沒(méi)有被修改過(guò)的程序。aide用法aide有兩種參數(shù)：命令參數(shù)和選項(xiàng)參數(shù)，以下是aide的命令參數(shù)：-

5、check：檢查數(shù)據(jù)庫(kù)的一致性。需要一個(gè)初始化的AIDE數(shù)據(jù)庫(kù)。也是AIDE的默認(rèn)命令選項(xiàng)。-init：初始化一個(gè)數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)產(chǎn)生后一定要放到一個(gè)安全的地方。-update：檢查數(shù)據(jù)庫(kù)，并且以非交互的方式升級(jí)數(shù)據(jù)庫(kù)。輸入的數(shù)據(jù)庫(kù)和輸出的數(shù)據(jù)庫(kù)必須是不同的。選項(xiàng)參數(shù)：-config=configfile：指定configfile文檔作為配置文檔，不使用默認(rèn)的./aide.conf。假如使用-，aide就從標(biāo)準(zhǔn)輸入中讀取。-before=configparameters：在讀取配置文檔之前，首先處理configparameters指定的配置選項(xiàng)。-after=configparameters：處

6、理完配置文檔配置的配置選項(xiàng)以后，再處理configparameters配置的配置選項(xiàng)。-verbose=verbosity_level,-V verbosity_level：控制aide信息顯示的冗余程度。值在0到255之間。-report=reporter,-r：指定報(bào)告輸出的URL。-version,-v：顯示版本號(hào)-help,-h：顯示幫助信息aide是個(gè)Tipwire的替代和擴(kuò)展軟件，他有一些Tripwire所不具備的特征。aide當(dāng)前具備的特征包括：多種完整性檢驗(yàn)算法、把數(shù)據(jù)庫(kù)輸出到標(biāo)準(zhǔn)輸出設(shè)備/文檔的能力、通過(guò)配置文檔進(jìn)行配置連同數(shù)據(jù)庫(kù)壓縮支持。將來(lái)aide會(huì)提高更多的特征。二、A

7、IDE部署1.下載安裝aide軟件包下載安裝aide使用yum，使用yum可以自動(dòng)解決軟件包的依賴關(guān)系。執(zhí)行命令yum y install aide2. 查看配置文件/etc/aide.conf執(zhí)行命令vim /etc/aide.conf打開(kāi)配置文件，可以在配置文件中依據(jù)檢測(cè)的需要進(jìn)行相應(yīng)的修改。在aide.conf配置文件中定義了兩個(gè)數(shù)據(jù)庫(kù)文件。一個(gè)是基準(zhǔn)數(shù)據(jù)庫(kù)/var/lib/aide/用來(lái)進(jìn)行對(duì)比校驗(yàn)的數(shù)據(jù)庫(kù)；另一個(gè)是新數(shù)據(jù)庫(kù)/var/lib/aide/aide.db.new.gz，初始化生成的此數(shù)據(jù)庫(kù)可以通過(guò)mv操作生成基準(zhǔn)數(shù)據(jù)庫(kù)。3. 修改aide.conf文件，定義監(jiān)控目錄或文件r

8、ootserver # vim /etc/aide.conf 打開(kāi)配置文件添加監(jiān)控目錄或文件的方法：路徑 監(jiān)控方法例如，監(jiān)控/etc/important.cfg文件/etc/important.cfg NORMALNORMAL是aide.conf文件定義的一種監(jiān)控方法。4. 定義基準(zhǔn)數(shù)據(jù)庫(kù)rootserver # aide -init 生成一個(gè)初始化aide數(shù)據(jù)庫(kù)生成的數(shù)據(jù)庫(kù)是/var/lib/aide/下的。rootserver # cd /var/lib/aiderootserver aide# mv 通過(guò)mv操作生成基準(zhǔn)數(shù)據(jù)庫(kù)，替換舊的基準(zhǔn)數(shù)據(jù)庫(kù)。5. 測(cè)試aide能否發(fā)現(xiàn)文件更改例如對(duì)前文提到的/etc/important.cfg文件進(jìn)行修改。rootserver aide# aide -check結(jié)果顯示：-Changed files:-changed: /etc/important.cfg6. 更新基準(zhǔn)數(shù)據(jù)庫(kù)如果對(duì)系統(tǒng)所作的修改是正常的，并不是黑客入侵所致，可以更新基準(zhǔn)數(shù)據(jù)庫(kù)，同樣需要執(zhí)行mv 替換舊的數(shù)據(jù)庫(kù)。rootserver aide# aide -updaterootserver aide# mv 7. 保存入侵檢測(cè)報(bào)告可以將檢測(cè)結(jié)果保存到其他文件，以便日后查看。AIDE入侵檢測(cè)工具是Linux系統(tǒng)中的一種比較方便好用的系統(tǒng)入侵檢測(cè)，在實(shí)際生產(chǎn)