怎样在CentOS上配置基于主机的入侵检测系统?
任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性。
AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统。AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点(inode)、链接数量、链接名称、用户、用户组、文件大小、块计数、修改时间、访问时间、创建时间、访问控制列表(acl)、SELinux安全上下文、xattrs以及md5/sha校验和。
AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库。然后,它对照该数据库,检查服务器的文件属性,然后在服务器运行时,一旦索引文件出现任何更改,就发出警告。正是由于这个原因,每当由于正当原因而更新系统或更改配置文件后,AIDE必须重新为受保护的文件编制索引。
对某些客户而言,他们的安全策略可能要求在服务器上安装某种入侵检测系统(IDS)。但无论客户是不是要求IDS,系统管理员部署IDS都是个好的做法。
在CentOS或RHEL上安装AIDE
AIDE的初始安装(以及首次运行)最好是在刚安装操作系统的系统上进行,没有任何服务暴露在互联网、甚至暴露在局域网面前。在这个早期阶段,我们可以将来自外部的一切闯入和篡改行为这种风险降到最低限度。事实上,这也是确保系统在AIDE构建其初始数据库时很干净的唯一途径。
由于这个原因,我们在使用# yum install aide这个命令安装AIDE后,需要将我们的机器从网络断开,并执行一些基本的配置任务,如下所述。
配置AIDE
默认配置文件位于/etc/aide.conf。该文件提供了几个示例保护规则(比如FIPSR、NORMAL、DIR和DATAONLY),每个规则后面跟着一个等号以及要检查的文件属性列表,或者任何预定义规则(用+分隔)。你也可以使用这种格式定义任何自定义规则。
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256
NORMAL = FIPSR+sha512
比如说,上述例子意味着,NORMAL规则将检查下列属性方面的不一致性:权限(p)、索引节点(i)、链接数量(n)、用户(u)、用户组(g)、大小(s)、修改时间(m)、创建时间(c)、访问控制列表(acl)、SELinux(selinux)、xattrs(xattr)以及SHA256/SHA512校验和(sha256和sha512)。
定义的规则可以灵活地用于不同的目录和文件(用正则表达式表示)。
条目前面的感叹号(!)告诉AIDE忽略子目录(或目录里面的文件),可针对子目录定义另一个规则。
在上面这个例子中,PERMS是面向/etc及其子目录和文件的默认规则。然而,没有规则会应用于/etc中的备份文件(即/etc/.*~),也不会应用于/etc/mtab文件。对于/etc中一些选择性的子目录或文件而言,而是应用NORMAL规则,替代默认规则PERMS。
定义合适的规则,并将其应用到系统中的合适位置,这是使用AIDE过程中最困难的部分,但运用良好的判断力是个好的开端。一个经验法则是,别检查不必要的属性。比如说,检查/var/log或/var/spool里面的文件的修改时间肯定会导致大量误报,因为有许多应用程序和守护进程常常将内容写入到这些位置。此外,检查多个校验和可能会加强安全性,不过代价是AIDE运行时间延长了。
另外,如果你使用MAILTO变量来指定电子邮件地址,可以将检查结果发送到你的邮箱。将下面这一行放入到/etc/aide.conf中的任何位置。
首次运行AIDE
运行下列命令对AIDE数据库进行初始化:
# aide --init
根据/etc/aide.conf生成的/var/lib/aide/aide.db.new.gz文件需要重命名为/var/lib/aide/aide.db.gz,以便让AIDE能读取它:
# mv /var/lib/aide/aide.db.new.gz /var/lib/aide.db.gz
现在,是时候对照数据库,执行我们的第一次系统检查了。为此,只要运行:
# aide
没有选项调用时,AIDE假设使用--check。
如果数据库创建后没有做过任何变更,AIDE在结束检查后会返回OK信息。
在生产环境中管理AIDE
构建初始AIDE数据库后,你常常需要由于各种正当的原因更新受保护的服务器,这是日常系统管理活动的一部分。每次服务器经过更新后,你必须重新构建AIDE数据库,以便将变更内容添加到数据库。为此,使用这个命令:
# aide --update
为了使用AIDE保护生产系统,可能最好安排一个计划任务,以便定期使用AIDE检查任何不一致性。比如说,安排AIDE每天运行一次,并将结果发送到电子邮件地址:
# crontab -e
0 0 * * * /usr/sbin/aide --check | /usr/bin/mail -s "AIDE run for $HOSTNAME" your@email.com
测试AIDE检查文件篡改的功能
下列测试场景将演示AIDE如何检查文件的完整性。
测试场景1
我们不妨添加一个新文件(比如/etc/fake)。
# cat /dev/null > /etc/fake
测试场景 2
我们不妨变更文件权限,看看它能否被检测到。
# chmod 644 /etc/aide.conf
测试场景 3
最后,我们不妨更改文件内容(比如添加一个注释行到/etc/aide.conf)。
echo "#This is a comment" >> /etc/aide.conf
在上面的屏幕截图中,第一列显示了文件属性,第二列显示了AIDE数据库中的值,第三列显示了那些属性的更新后值。第三列中的空白部分表示该属性没有更改(该例子中的ACL)。
结束语
要是你果真觉得自己处于这种情形:有充分的理由认为系统已遭到了篡改,可是乍一看又无法查明什么有可能遭到了更改,像AIDE这样的基于主机的入侵检测系统就大有帮助,因为它可以帮助你尽快查明什么遭到了更改,而不是胡加猜测、浪费宝贵的时间。
相关文章
- CC主要是用来攻击页面的,大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,对不?!一般来说,访问的人越多,论坛的页2024-01-06
- 入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以2021-04-15
- 这篇文章主要介绍了文件上传漏洞全面渗透分析小结,这里主要为大家分享一下防御方法,需要的朋友可以参考下2021-03-21
- 这篇文章主要介绍了sql手工注入语句&SQL手工注入大全,需要的朋友可以参考下2017-09-06
- 这篇文章主要介绍了详解Filezilla server 提权,需要的朋友可以参考下2017-05-13
FileZilla Server 2008 x64 提权与防御方法
这篇文章主要介绍了FileZilla Server 2008 x64 提权与防御方法,需要的朋友可以参考下2017-05-13- 不久之前我们说过关于http和https的区别,对于加密的https,我们一直认为它是相对安全的,可今天要讲的是,一种绕过HTTPS加密得到明文信息的web攻击方式,不知道这消息对你2016-08-10
iPhone和Mac也会被黑 一条iMessage密码可能就被盗了
一直以来苹果系统的安全性都是比安卓要高的,但是再安全的系统也免不了漏洞,苹果也一样。最近爆出的新漏洞,只需要接收一条多媒体信息或者iMessage就会导致用户信息泄露。2016-07-27- 国家正在修正关于黑客方面的法律法规,有一条震惊黑客圈的“世纪佳缘”起诉白帽黑客事件,深深的伤害了广大黑客们的心,加上扎克伯格和特拉维斯·卡兰尼克账号被盗,于是黑2016-07-11
如何逆向破解HawkEye keylogger键盘记录器进入攻击者邮箱
面对恶意邮件攻击,我们就只能默默忍受被他攻击,连自我保护能力都没有谈什么反抗?让人痛快的是,如今有了解决办法,逆向破解键盘记录器,进入攻击者邮箱2016-07-06
最新评论