CentOS7下的AIDE入侵检测配置-阿里云开发者社区

开发者社区> 余二五> 正文

CentOS7下的AIDE入侵检测配置

简介:
+关注继续查看

1、AIDE的简单介绍

  AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。

2、安装并简单配置aide

1
2
3
4
5
6
7
8
9
10
11
[root@LVS-DR01 ~]# yum -y install aide
[root@LVS-DR01 ~]# vim /etc/aide.conf 
# 添加下列行:
/molewan        NORMAL
[root@LVS-DR01 ~]# aide --init
AIDE, version 0.15.1
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
初始化的时间会比较长,耐心等待下
[root@LVS-DR01 ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
说明:根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要重命名
/var/lib/aide/aide.db.gz,以便让AIDE能读取它

3、模拟在aide监管的目录下,新添加一个文件

1
2
3
4
[root@LVS-DR01 ~]# cd /molewan/
[root@LVS-DR01 molewan]# cp /etc/passwd .
[root@LVS-DR01 molewan]# ls
passwd

4、执行aide进行检查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
[root@LVS-DR01 molewan]# aide --check
Entry /root/.mysql_history in databases has different attributes: 20000001d 20020001d
AIDE 0.15.1 found differences between database and filesystem!!
Start timestamp: 2017-06-22 10:35:10
Summary:
  Total number of files:272614
  Added files:1
  Removed files:0
  Changed files:3
---------------------------------------------------
Added files:
---------------------------------------------------
added: /molewan/passwd
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /opt/gitlab/sv/logrotate/supervise/pid
changed: /opt/gitlab/sv/logrotate/supervise/status
changed: /root/.mysql_history
---------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /opt/gitlab/sv/logrotate/supervise/pid
SHA256   : 1JSst6Quw/tdtJftiGt/21jUIBRbzOcQ , NUB/zWnJypaqQW2QQcC/Mx5e1QInQn+0
File: /opt/gitlab/sv/logrotate/supervise/status
SHA256   : A/GkExLS7Y1JyYVE4N7/I1pUxRH/xj1P , BKuJ49lWHu2kprL//4A+AO/lJZS7evFx
File: /root/.mysql_history
Perm     : lrwxrwxrwx                       , -rw-------
说明:可以发现,新添加哪些文件,修改了哪些参数

参考资料:http://os.51cto.com/art/201411/457358.htm











本文转自 冰冻vs西瓜 51CTO博客,原文链接:http://blog.51cto.com/molewan/1940878,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
怎么设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程
8338 0
CentOS7配置epel镜像并安装更新
CentOS7配置epel镜像并安装更新
16 0
CentOS7 64位下MySQL5.7安装与配置(YUM)
CentOS7 64位下MySQL5.7安装与配置(YUM)http://www.bieryun.com/3277.html 1、配置YUM源 在MySQL官网中下载YUM源rpm安装包:http://dev.
1216 0
配置 Ceph 内外网分离
luminous.jpg 1. 为什么要做内外网分离   先明确一下这么做的必要性。Ceph 的客户端,如 RADOSGW,RBD 等,会直接和 OSD 互联,以上传和下载数据,这部分是直接提供对外下载上传能力的;Ceph 一个基本功能是提供数据的冗余备份,OSD 负责数据的备份,跨主机间的数据备份当然要占用带宽,而且这部分带宽是无益于 Ceph 集群的吞吐量的。
1271 0
+关注
20382
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载