一、入侵检测工具rkhunter
1、rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围。
rootkit hunter功能:
检测易受攻击的文件;
检测隐藏文件;
检测重要文件的权限;
检测系统端口号;
2、安装rkhunter
下载:http://sourceforge.net/projects/rkhunter
1
2
3
4
5
|
tar
zxvf rkhunter-1.4.0.
tar
.gz
cd
rkhunter-1.4.0
.
/installer
.sh –
install
vi
/etc/rkhunter
.conf
LOGFILE=
/tmp/rkhunter/tkhunter_
`
date
+%Y%m%d`.log
#修改生成日志文件位置
|
3、rkhunter使用
1
2
|
rkhunter –checkall
#执行rootkit预定库,来检测本地系统文件
rkhunter --checkall--skip-keypress
#--skip-keyperss参数来自动持续检测,一直到结束
|
4、设置任务计划,定期检测
1
2
|
crontab
-e
30 08 * * *
/usr/local/bin/rkhunter
--checkall --cronjob
#每天早上08:30执行一次,--cronjobb,作为一个cron运行
|
二、入侵检测工具aide
1、AIDE一款开源入侵检测工具,主要用途是检查文档的完整性。
AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括:权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数,并能够使用SHA1、MD5等算法为每个文件生成校验码。
2、安装aide
下载:http://sourceforge.net/projects/aide
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
yum
install
aide
vi
/etc/aide
.conf
database=
file
:@@{DBDIR}
/aide
.db.gz
#系统镜像库位置
database_out=
file
:@@{DBDIR}
/aide
.db.new.gz
#新生成系统镜像库,默认在/var/lib/aide/下
# Next decide whatdirectories/files you want in the database.
/boot
NORMAL
/bin
NORMAL
/sbin
NORMAL
/lib
NORMAL
/lib64
NORMAL
#/opt NORMAL #注释不检查目录
/usr
NORMAL
/root
NORMAL
# These are too volatile ,排除掉个别不检查的目录
!
/usr/src
!
/usr/tmp
#根据需求在下面添加新的检测目录
/etc/exports
NORMAL
/etc/fstab
NORMAL
/etc/passwd
NORMAL
|
3、aide使用
1
2
3
4
5
6
7
8
9
|
aide --init
#初始化,建立第一个样本库
cd
/var/lib/aide/
ls
aide.db.new.gz
#新生成系统aide库
mv
aide.db.new.gz aide.db.gz
#需要重命名后才能使用
aide --check
#确定正常运行aide库
aide --update
#更新库,每次运行此命令,就会生成aide.db.new.gz,然后再重命名
mv
aide.db.new.gz aide.db.gz
mv
: overwrite `aide.db.gz'? y
|
4、aide入侵检测测试
我们更改了ftp可以登录系统的属性,使用aide检测,找出了与aide库不一样的文件。
1
|
aide --check --report=
file
:
/tmp/aide-check-
`
date
+%Y%m%d `.txt
#--report是将信息输出到指定文件
|
5、设置任务计划,定期检测
1
2
|
crontab
–e
30 08 * * *
/usr/sbin/aide
--check--report=
file
:
/tmp/aide-check-
`
date
+%Y%m%d `.txt
#每天早上08:30执行一次
|
也可以将信息发送到邮件:
1
|
30 08 * * *
/usr/sbin/aide
--check| mail –s “AIDE report“
test
@163.com
|
本文转自 李振良OK 51CTO博客,原文链接:http://blog.51cto.com/lizhenliang/1307645,如需转载请自行联系原作者