也想出现在这里? 联系我们

怎样在CentOS上配置基于主机的入侵检测系统?

作者 : 小编 本文共2538个字,预计阅读时间需要7分钟 发布时间: 2021-06-15 共623人阅读
也想出现在这里? 联系我们

任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性。

AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统。AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点(inode)、链接数量、链接名称、用户、用户组、文件大小、块计数、修改时间、访问时间、创建时间、访问控制列表(acl)、SELinux安全上下文、xattrs以及md5/sha校验和。

AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库。然后,它对照该数据库,检查服务器的文件属性,然后在服务器运行时,一旦索引文件出现任何更改,就发出警告。正是由于这个原因,每当由于正当原因而更新系统或更改配置文件后,AIDE必须重新为受保护的文件编制索引。

对某些客户而言,他们的安全策略可能要求在服务器上安装某种入侵检测系统(IDS)。但无论客户是不是要求IDS,系统管理员部署IDS都是个好的做法。

在CentOS或RHEL上安装AIDE

AIDE的初始安装(以及首次运行)最好是在刚安装操作系统的系统上进行,没有任何服务暴露在互联网、甚至暴露在局域网面前。在这个早期阶段,我们可以将来自外部的一切闯入和篡改行为这种风险降到最低限度。事实上,这也是确保系统在AIDE构建其初始数据库时很干净的唯一途径。

由于这个原因,我们在使用# yum install aide这个命令安装AIDE后,需要将我们的机器从网络断开,并执行一些基本的配置任务,如下所述。

配置AIDE

默认配置文件位于/etc/aide.conf。该文件提供了几个示例保护规则(比如FIPSR、NORMAL、DIR和DATAONLY),每个规则后面跟着一个等号以及要检查的文件属性列表,或者任何预定义规则(用+分隔)。你也可以使用这种格式定义任何自定义规则。

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256

NORMAL = FIPSR+sha512

比如说,上述例子意味着,NORMAL规则将检查下列属性方面的不一致性:权限(p)、索引节点(i)、链接数量(n)、用户(u)、用户组(g)、大小(s)、修改时间(m)、创建时间(c)、访问控制列表(acl)、SELinux(selinux)、xattrs(xattr)以及SHA256/SHA512校验和(sha256和sha512)。

定义的规则可以灵活地用于不同的目录和文件(用正则表达式表示)。

条目前面的感叹号(!)告诉AIDE忽略子目录(或目录里面的文件),可针对子目录定义另一个规则。

在上面这个例子中,PERMS是面向/etc及其子目录和文件的默认规则。然而,没有规则会应用于/etc中的备份文件(即/etc/.*~),也不会应用于/etc/mtab文件。对于/etc中一些选择性的子目录或文件而言,而是应用NORMAL规则,替代默认规则PERMS。

定义合适的规则,并将其应用到系统中的合适位置,这是使用AIDE过程中最困难的部分,但运用良好的判断力是个好的开端。一个经验法则是,别检查不必要的属性。比如说,检查/var/log或/var/spool里面的文件的修改时间肯定会导致大量误报,因为有许多应用程序和守护进程常常将内容写入到这些位置。此外,检查多个校验和可能会加强安全性,不过代价是AIDE运行时间延长了。

另外,如果你使用MAILTO变量来指定电子邮件地址,可以将检查结果发送到你的邮箱。将下面这一行放入到/etc/aide.conf中的任何位置。

MAILTO=root@localhost

首次运行AIDE

运行下列命令对AIDE数据库进行初始化:

# aide –init

根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要重命名为/var/lib/aide/aide.db.gz,以便让AIDE能读取它:

# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz

现在,是时候对照数据库,执行我们的第一次系统检查了。为此,只要运行:

# aide

没有选项调用时,AIDE假设使用–check。

如果数据库创建后没有做过任何变更,AIDE在结束检查后会返回OK信息。

在生产环境中管理AIDE

构建初始AIDE数据库后,你常常需要由于各种正当的原因更新受保护的服务器,这是日常系统管理活动的一部分。每次服务器经过更新后,你必须重新构建AIDE数据库,以便将变更内容添加到数据库。为此,使用这个命令:

# aide –update

为了使用AIDE保护生产系统,可能最好安排一个计划任务,以便定期使用AIDE检查任何不一致性。比如说,安排AIDE每天运行一次,并将结果发送到电子邮件地址:

# crontab -e

0 0 * * * /usr/sbin/aide –check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com

测试AIDE检查文件篡改的功能

下列测试场景将演示AIDE如何检查文件的完整性。

测试场景1

我们不妨添加一个新文件(比如/etc/fake)。

# cat /dev/null > /etc/fake

测试场景 2

我们不妨变更文件权限,看看它能否被检测到。

# chmod 644 /etc/aide.conf

测试场景 3

最后,我们不妨更改文件内容(比如添加一个注释行到/etc/aide.conf)。

echo "#This is a comment" >> /etc/aide.conf

在上面的屏幕截图中,第一列显示了文件属性,第二列显示了AIDE数据库中的值,第三列显示了那些属性的更新后值。第三列中的空白部分表示该属性没有更改(该例子中的ACL)。

结束语

要是你果真觉得自己处于这种情形:有充分的理由认为系统已遭到了篡改,可是乍一看又无法查明什么有可能遭到了更改,像AIDE这样的基于主机的入侵检测系统就大有帮助,因为它可以帮助你尽快查明什么遭到了更改,而不是胡加猜测、浪费宝贵的时间。

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 怎样在CentOS上配置基于主机的入侵检测系统?

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录