AIDE的概述与实践应用

1、AIDE的概述与实践应用一、AIDE概述AIDE(Advanced Intrusion Detection Environment，高级入侵检测环境)是个入侵检测工具，主要用途是检查文本的完整性。AIDE能够构造一个指定文档的数据库，它使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rm

2、d160、tiger，以密文形式建立每个文档的校验码或散列号。文件系统入侵检测的原理：1.当系统处于健康状态时，把系统所有的文件做各种指纹的检验，得出一个检验基准数据库。2.不是所有的文件都需要保存指纹，如临时文件（/var/log | /tmp | /var/tmp | /proc | /sys | /dev/shm.）。3.需要检验文件是否被更改，只需要把基准数据对应指纹值做对比，就可以得知哪些文件被更改过。4.每天把检验的结果以邮件或者其它方式发送管理员。AIDE入侵检测工具的优点在系统安装完毕，要连接到网络上之前，系统管理员应该建立新系统的 AIDE 数据库。 这第一个AIDE数据库是

3、系统的一个快照和以后系统升级的参照。数据库应该包含这些信息：关键的系统二进制可执行程序、动态链接库、头文件以及其它总是保持不变的文件。 这个数据库不应该保存那些经常变动的文件信息，例如日志文件、邮件、/proc文件系统、用户起始目录以及临时目录。一旦发现系统被入侵，系统管理员可能会使用 ls、ps、netstat 以及who 等系统工具对系统进行检查 ，但是所有这些工具都可能被木马程序代替了。可以想象被修改的ls程序将不会显示任何有关入侵的文件信息，ps也不显示任何入侵进程的信息。即使系统管理员已经把关键的系统文件的日期、大小等信息都打印到了纸上，恐怕也无法通过比较知道它们是否被修改过了，因为

4、文件日期、大小等信息是非常容易改变的，一些比较好的rootkit可以很轻松地对这些信息进行假冒。虽然文件的日期、大小等信息可能被假冒，但是假冒某个文件的一个加密校验码（例如：md5）就非常困难了，更不要说假冒所有AIDE支持的校验码了。在系统被入侵后，系统管理员只要重新运行 AIDE，就能够很快识别出哪些关键文件被攻击者修改过了。不过，要注意这也不是绝对的，因为AIDE可执行程序的二进制文件本身可能被修改了或者数据库也被修改了。因此，应该把AIDE的数据库放到安全的地方，而且进行检查时要使用保证没有被修改过的程序。aide用法aide有两种参数：命令参数和选项参数，以下是aide的命令参数：-

5、check：检查数据库的一致性。需要一个初始化的AIDE数据库。也是AIDE的默认命令选项。-init：初始化一个数据库，数据库产生后一定要放到一个安全的地方。-update：检查数据库，并且以非交互的方式升级数据库。输入的数据库和输出的数据库必须是不同的。选项参数：-config=configfile：指定configfile文档作为配置文档，不使用默认的./aide.conf。假如使用-，aide就从标准输入中读取。-before=configparameters：在读取配置文档之前，首先处理configparameters指定的配置选项。-after=configparameters：处

6、理完配置文档配置的配置选项以后，再处理configparameters配置的配置选项。-verbose=verbosity_level,-V verbosity_level：控制aide信息显示的冗余程度。值在0到255之间。-report=reporter,-r：指定报告输出的URL。-version,-v：显示版本号-help,-h：显示帮助信息aide是个Tipwire的替代和扩展软件，他有一些Tripwire所不具备的特征。aide当前具备的特征包括：多种完整性检验算法、把数据库输出到标准输出设备/文档的能力、通过配置文档进行配置连同数据库压缩支持。将来aide会提高更多的特征。二、A

7、IDE部署1.下载安装aide软件包下载安装aide使用yum，使用yum可以自动解决软件包的依赖关系。执行命令yum y install aide2. 查看配置文件/etc/aide.conf执行命令vim /etc/aide.conf打开配置文件，可以在配置文件中依据检测的需要进行相应的修改。在aide.conf配置文件中定义了两个数据库文件。一个是基准数据库/var/lib/aide/用来进行对比校验的数据库；另一个是新数据库/var/lib/aide/aide.db.new.gz，初始化生成的此数据库可以通过mv操作生成基准数据库。3. 修改aide.conf文件，定义监控目录或文件r

8、ootserver # vim /etc/aide.conf 打开配置文件添加监控目录或文件的方法：路径 监控方法例如，监控/etc/important.cfg文件/etc/important.cfg NORMALNORMAL是aide.conf文件定义的一种监控方法。4. 定义基准数据库rootserver # aide -init 生成一个初始化aide数据库生成的数据库是/var/lib/aide/下的。rootserver # cd /var/lib/aiderootserver aide# mv 通过mv操作生成基准数据库，替换旧的基准数据库。5. 测试aide能否发现文件更改例如对前文提到的/etc/important.cfg文件进行修改。rootserver aide# aide -check结果显示：-Changed files:-changed: /etc/important.cfg6. 更新基准数据库如果对系统所作的修改是正常的，并不是黑客入侵所致，可以更新基准数据库，同样需要执行mv 替换旧的数据库。rootserver aide# aide -updaterootserver aide# mv 7. 保存入侵检测报告可以将检测结果保存到其他文件，以便日后查看。AIDE入侵检测工具是Linux系统中的一种比较方便好用的系统入侵检测，在实际生产