Centos配置IDS入侵检测系统

0x00 背景

不说那么官方的话,在Linux系统逐渐泛滥的今天,很多都会出现被入侵的现象,这样对于安全应急人员处理起来很麻烦,这个时候如果在服务器上运行着入侵检测系统,那么对于我们处理攻击事件就简单的多,本文要介绍的就是一个对于文件进行检测的入侵检测系统AIDE;

AIDE:针对文件的入侵检测系统,其实它的功能很简单就是帮助运维人员在检查我们主机文件篡改的机制,这个的文件篡改包括“创建、修改、删除、属性变化、文件大小变化、文件权限变化“等等。在我们对系统进行入侵分析时,我们可以通过这个系统来查看哪些文件被攻击改动过;这样会节约我们很多的时间;

优点:方便、快捷可以帮助运维人员在很短时间内找到服务器文件被修改的记录;

缺点:只能查看文件的篡改,具体需要运维人员自己分析,只是一个辅助工具;

0x01 配置

安装:

在centos及系列中,aide这个软件已经放置在我们的yum源中,我们可以使用search来查找

yum search aide

yum install aide.x86_64 -y

1

安装完成后,我们需要生成数据库文件让aide来连接

aide –init #生成数据库

2

根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要被重命名为/var/lib/aide/aide.db.gz,以便AIDE能读取它:

3

AIDE参数说明

4

配置文件说明:

FIPSR:p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256

(这就是我们定义的规则)

#p: permissions #权限

#i: inode: #节点

#n: number of links #链接

#u: user #用户

#g: group #组

#s: size #大小

#b: block count #块设备

#m: mtime #修改时间

#a: atime #访问时间

#c: ctime #创建世界

#S: check for growing size #检查文件增加的大小

#acl: Access Control Lists #文件的acl访问控制列表

#selinux SELinux security context #selinux

#xattrs: Extended file attributes

#md5: md5 checksum #文件的md5及sha值

#sha1: sha1 checksum

#sha256: sha256 checksum

#sha512: sha512 checksum

#rmd160: rmd160 checksum #rmd校验

#tiger: tiger checksum #crc32校验

#haval: haval checksum (MHASH only)

#gost: gost checksum (MHASH only)

#crc32: crc32 checksum (MHASH only)

#whirlpool: whirlpool checksum (MHASH only)

……………………规则说明……………………

FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256 #由上面的每一个小权限组成特定的规则定义

ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger

PERMS = p+i+u+g+acl+selinux

NORMAL = FIPSR+sha512

在下面的图中,使用的默认Normal与PERMS

……………………此处略去500字……………………

@@define DBDIR /var/lib/aide #数据库目录
@@define LOGDIR /var/log/aide #日志目录

database=file:@@{DBDIR}/aide.db.gz #数据库文件

database_out=file:@@{DBDIR}/aide.db.new.gz #数据库初始文件

gzip_dbout=yes #数据库是否使用gz后缀格式

verbose=5 #默认级别5
report_url=file:@@{LOGDIR}/aide.log #日志文件
report_url=stdout #将标准输出到屏幕上

5

文件前面的!代表忽略子目录以及忽略目录中的文件,对其中的文件或文件夹可以使用其他的规则;比如这里PERMS是用于/etc机器子目录和文件的默认规则。然而,对于/etc中的备份文件(如/etc/.*~)则不应用任何规则,也没有规则用于/etc/mtab文件。对于/etc中的其它一些选定的子目录或文件,使用NORMAL规则替代默认规则PERMS。

默认格式是:[!]文件或文件夹 规则

0x02 测试

首先我们测试一下新增文件:

touch /etc/test.txt

运行aide(默认aide –check)

6

修改一个文件

echo “#this is a test” >> /etc/aide.conf

7

8

这个时候我们就能够看到对于文件进行不同的修改,会产生不同的结果。

0x03 最后扯两句

通过这种直观的结果,我们根据这个结果对发生篡改的文件进行查看分析,很快就能帮助我们分析出攻击者采用的方式,通过其他技术我们还可以追踪攻击者,当然如果我们结合其他的入侵检测软件能够更加便捷,所以后续还会写一篇关于snort网络入侵检测防御系统的文章,大家可以结合起来加快我们对被入侵系统的分析。

欢迎大家一起交流~~~

 

*本文作者:Blood_Zer0@Hurricane Security,本文属Mottoin原创投稿文章,未经许可禁止转载

原创文章,作者:Blood_Zer0,如若转载,请注明出处:http://www.mottoin.com/article/system/86247.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code