入侵检测工具之RKHunter & AIDE-阿里云开发者社区

入侵检测工具之RKHunter & AIDE

2017-11-20 1292

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

一、入侵检测工具rkhunter

1、rkhunter是Linux系统平台下的一款开源入侵检测工具，具有非常全面的扫描范围。

rootkit hunter功能：

检测易受攻击的文件；

检测隐藏文件；

检测重要文件的权限；

检测系统端口号；

2、安装rkhunter

下载：http://sourceforge.net/projects/rkhunter

 
        tar 
        zxvf rkhunter-1.4.0.
        tar
        .gz 
       
        cd 
        rkhunter-1.4.0 
       
        .
        /installer
        .sh –
        install 
       
        vi 
        /etc/rkhunter
        .conf 
       
        LOGFILE=
        /tmp/rkhunter/tkhunter_
        `
        date 
        +%Y%m%d`.log  
        #修改生成日志文件位置

3、rkhunter使用

 
        rkhunter –checkall 
        #执行rootkit预定库，来检测本地系统文件 
       
        rkhunter --checkall--skip-keypress  
        #--skip-keyperss参数来自动持续检测，一直到结束

4、设置任务计划，定期检测

 
        crontab 
        -e 
       
        30 08 * * * 
        /usr/local/bin/rkhunter 
        --checkall --cronjob  
        #每天早上08:30执行一次，--cronjobb，作为一个cron运行

二、入侵检测工具aide

1、AIDE一款开源入侵检测工具，主要用途是检查文档的完整性。

AIDE通过构造指定文件的完整性样本库（快照），作为比对标准，当这些文件发生改动时，其对应的校验值也必然随之变化，AIDE可以识别这些变化从而提醒管理员。AIDE监控的属性变化主要包括：权限、属主、属组、文件大小、创建时间、最后修改时间、最后访问时间、增加的大小以及链接数，并能够使用SHA1、MD5等算法为每个文件生成校验码。

2、安装aide

下载：http://sourceforge.net/projects/aide

 
        yum 
        install 
        aide 
       
        vi 
        /etc/aide
        .conf 
       
        database=
        file
        :@@{DBDIR}
        /aide
        .db.gz  
        #系统镜像库位置 
       
        database_out=
        file
        :@@{DBDIR}
        /aide
        .db.new.gz  
        #新生成系统镜像库，默认在/var/lib/aide/下 
       
        # Next decide whatdirectories/files you want in the database.
       
        /boot   
        NORMAL 
       
        /bin    
        NORMAL 
       
        /sbin   
        NORMAL 
       
        /lib    
        NORMAL 
       
        /lib64  
        NORMAL 
       
        #/opt    NORMAL #注释不检查目录
       
        /usr    
        NORMAL 
       
        /root   
        NORMAL 
       
        # These are too volatile ，排除掉个别不检查的目录
       
        !
        /usr/src 
       
        !
        /usr/tmp 
       
        #根据需求在下面添加新的检测目录
       
        /etc/exports  
        NORMAL 
       
        /etc/fstab    
        NORMAL 
       
        /etc/passwd   
        NORMAL

3、aide使用

 
        aide --init  
        #初始化，建立第一个样本库 
       
        cd 
        /var/lib/aide/ 
       
        ls
       
        aide.db.new.gz  
        #新生成系统aide库 
       
        mv 
        aide.db.new.gz aide.db.gz  
        #需要重命名后才能使用 
       
        aide --check  
        #确定正常运行aide库 
       
        aide --update  
        #更新库，每次运行此命令，就会生成aide.db.new.gz，然后再重命名 
       
        mv 
        aide.db.new.gz aide.db.gz 
       
        mv
        : overwrite `aide.db.gz'? y

4、aide入侵检测测试

我们更改了ftp可以登录系统的属性，使用aide检测，找出了与aide库不一样的文件。

 
        aide --check --report=
        file
        :
        /tmp/aide-check-
        `
        date 
        +%Y%m%d `.txt 
        #--report是将信息输出到指定文件

5、设置任务计划，定期检测

 
        crontab 
        –e 
       
        30 08 * * * 
        /usr/sbin/aide 
        --check--report=
        file
        :
        /tmp/aide-check-
        ` 
        date 
        +%Y%m%d `.txt 
        #每天早上08:30执行一次

也可以将信息发送到邮件:

 
        30 08 * * * 
        /usr/sbin/aide 
        --check| mail –s “AIDE report“ 
        test
        @163.com

 
  本文转自 李振良OK 51CTO博客，原文链接：http://blog.51cto.com/lizhenliang/1307645，如需转载请自行联系原作者

入侵检测工具之RKHunter & AIDE

热门文章

最新文章

相关电子书