Debian/Ubuntu Linux安装高级入侵检测环境(AIDE)软件

时间:2020-01-09 10:38:03  来源:igfitidea点击:

AIDE是一种基于主机的开源入侵检测系统,可以替代众所周知的Tripwire完整性检查器。
它提供软件完整性检查,并且可以检测到系统上已发生入侵(监视文件系统以进行未经授权的更改,例如查找系统二进制文件是否已修改以及是否安装了新的破解版本)。
如何在Ubuntu LTS/Debian Linux 5.0服务器下安装和配置AIDE?
在生产环境中系统上线之前,最好部署任何完整性检查软件。
如果可能,请在系统连接到任何网络之前安装此软件。

AIDE是基于主机的入侵检测系统(HIDS),它可以监视和分析计算系统的内部。

1.0 Debian/Ubuntu Linux安装AIDE

执行以下命令:

# apt-get update && apt-get install aide

1.0.1配置和自定义AIDE

您需要定制/etc/aide/aide.conf以满足您的要求。
对于许多环境,默认配置是可接受的。

  • /etc/aide/aide.conf和/etc/aide/aide.conf.d/默认的AIDE配置文件。
  • /var/lib/aide/aide.db AIDE数据库的默认位置。
  • /var/lib/aide/aide.db.new新创建的AIDE数据库的默认位置。

1.0.2如何构建,存储和测试数据库?

aideinit创建一个新的AIDE数据库。
它将在默认的database_out位置(在/etc/aide/aide.conf中定义)初始化AIDE数据库。
然后它将提示您替换现有的AIDE数据库。

aideinit会尝试根据aide.conf设置自动检测数据库和database_out文件的正确位置。
根据提示,这些设置可以在命令行上覆盖。
要生成新数据库,请输入:

# aideinit

输出示例:

Running aide --init...

输出示例:

AIDE, version 0.13.1
### AIDE database at /var/lib/aide/aide.db.new initialized.

最后,安装新生成的数据库,输入:

# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

接下来,运行手动检查:

# aide -c /etc/aide/aide.conf --check

如果此检查产生任何意外的输出,请进行调查。
您需要将数据库以及配置文件/etc/aide/aide.conf和aide二进制文件移动到安全的非现场只读位置。
应该这样做以提高整体安全性。
如果攻击者可以修改二进制文件,则您将不会发现任何东西,因此请将其移出或刻录到CD-ROM中,然后将其用于检查。
您也可以使用这些文件的哈希。
将文件移到异地服务器。

# scp /var/lib/aide/aide.db* /usr/bin/aide /etc/aide/aide.conf /etc/aide/aide.conf.d/* [email protected]:/path/to/dir

使用诸如cdrecord之类的工具将文件写入CDROM。

1.0.4如何测试任何二进制文件的完整性?

运行命令(注意:通常只需要运行aide -c /etc/aide/aide.conf检查):

# touch /bin/date
# aide -c /etc/aide/aide.conf --check

1.0.5 Cron实施定期完整性检查

默认情况下,AIDE会自行安装以定期执行/etc/cron.daily/aide。
该脚本每天执行一次,这可能适用于许多服务器环境。
如果安装的二进制文件有任何问题(由您或系统更新程序(如apt-get或攻击者修改),您将收到一封电子邮件(默认发送给root用户)。
您可以通过编辑/etc/default/aide文件来自定义电子邮件。
您需要设置MAILTO变量。
这是邮寄的电子邮件地址报告。

[email protected]

1.0.6有关系统更改的说明

AIDE邮件可能表明您的服务器受到攻击。
但是,有时您更新系统和配置更改或软件更新。
需要更改配置或更新软件时,应重复以下步骤:

# aideinit
# cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
# aide -c /etc/aide/aide.conf --check

最后,使用scp将文件(数据库和助手二进制文件)移动到只读介质或非现场服务器上(请参阅第1.02节中描述的步骤)。