Debian/Ubuntu Linux如何安装高级入侵检测环境(AIDE)软件
时间:2019-11-20 08:53:12 来源:igfitidea点击:
AIDE是一种基于主机的开源入侵检测系统。它提供软件完整性检查,并且可以检测到系统上已发生入侵(监视文件系统以进行未经授权的更改,例如查找系统二进制文件是否已修改以及是否安装了新的破解版本)。
如何在Ubuntu LTS/Debian Linux 5.0服务器中安装和配置AIDE?
在Debian/Ubuntu Linux中安装AIDE
执行以下命令:
# apt-get update && apt-get install aide
配置和自定义AIDE
AIDE默认的配置文件为:/etc/aide/aide.conf。
- /etc/aide/aide.conf和/etc/aide/aide.conf.d/默认的AIDE配置文件。
- /var/lib/aide/aide.db AIDE数据库的默认位置。
- /var/lib/aide/aide.db.new新创建的AIDE数据库的默认位置。
如何构建,存储和测试AIDE数据库?
aideinit创建一个新的AIDE数据库。
它将在默认的database_out位置(在/etc/aide/aide.conf中定义)初始化AIDE数据库。
然后它将提示您替换现有的AIDE数据库。
aideinit会尝试根据aide.conf设置自动检测数据库和database_out文件的正确位置。
创建新数据库:
# aideinit
安装新生成的数据库:
# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
执行手动检查:
# aide -c /etc/aide/aide.conf --check
为了安全,将数据库以及配置文件/etc/aide/aide.conf和aide二进制文件移动到安全的只读位置。
# scp /var/lib/aide/aide.db* /usr/bin/aide /etc/aide/aide.conf /etc/aide/aide.conf.d/* [email protected]:/path/to/dir
使用诸如cdrecord之类的工具将文件写入CDROM。
1.0.4如何测试任何二进制文件的完整性?
运行命令(注意:通常只需要运行aide -c /etc/aide/aide.conf检查):
# touch /bin/date # aide -c /etc/aide/aide.conf --check
使用Cron定期完整性检查
默认情况下,AIDE会自行安装以定期执行/etc/cron.daily/aide。
该脚本每天执行一次。
如果安装的二进制文件有任何问题(由您或系统更新程序(如apt-get或攻击者修改),您将收到一封电子邮件(默认发送给root用户)。
编辑/etc/default/aide文件,可以设置接收邮件。
[email protected]
有关系统更改的说明
收到AIDE邮件可能表明您的服务器受到攻击。
但是,有时需要更新系统或者软件。
那么需要重新执行下面的步骤:
# aideinit # cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db # aide -c /etc/aide/aide.conf --check