文件记录监控文件:AIDE
高级入侵检测环境 (AIDE) 工具检查文件完整性,并根据先前记录的有效系统映像检测任何更改。 图像存储为数据库(/var/lib/aide/aide.db) 包含系统所有文件的相关信息(指纹、权限、时间戳等)。
您可以通过运行安装 AIDE apt更新 其次是 apt安装助手. 您将首先使用以下命令初始化数据库 助手; 然后它将每天运行(通过 /etc/cron.daily/助手 脚本)到
检查没有任何相关改变。 当检测到更改时,AIDE 会将它们记录在日志文件中 (/var/log/aide/*.log) 并通过电子邮件将其调查结果发送给管理员。
保护数据库 由于 AIDE 使用本地数据库来比较文件的状态,因此其结果的有效性与数据库的有效性直接相关。 如果攻击者在受感染的系统上获得 root 权限,他们将能够替换数据库并掩盖他们的踪迹。 防止这种颠覆的一种方法是将参考数据存储在只读存储介质上。
保护数据库 由于 AIDE 使用本地数据库来比较文件的状态,因此其结果的有效性与数据库的有效性直接相关。 如果攻击者在受感染的系统上获得 root 权限,他们将能够替换数据库并掩盖他们的踪迹。 防止这种颠覆的一种方法是将参考数据存储在只读存储介质上。
您可以使用选项 /etc/默认/助手 调整行为 援助 包裹。 AIDE 配置正确存储在 /etc/aide/aide.conf 和 /etc/aide/aide.conf.d/ (实际上,这些文件仅供 更新aide.conf 生成 /var/lib/aide/aide.conf。 自动生成)。 配置指示需要检查哪些文件的哪些属性。 例如,日志文件的内容经常发生变化,只要这些文件的权限保持不变就可以忽略这种变化,但可执行程序的内容和权限都必须保持不变。 虽然不是很复杂,但配置语法并不完全直观,我们建议阅读 助手.conf(5) 手册页了解更多详情。
每天都会生成一个新版本的数据库 /var/lib/aide/aide.db.new; 如果所有记录的更改都是合法的,则可用于替换参考数据库。
Tripwire 与 AIDE 非常相似; 甚至配置文件的语法也几乎一样。 提供的主要补充 绊线 是一种对配置文件进行签名的机制,以便攻击者无法将其指向参考数据库的不同版本。
Samhain 还提供了类似的功能以及一些帮助检测 rootkit 的功能(请参阅侧栏“checksecurity 和 chkrootkit/rkhunter 包” [第 164 页])。 它也可以在网络上全局部署,并在中央服务器上记录其踪迹(带有签名)。
这个 检查安全 和 检查安全 由几个对系统执行基本检查的小脚本组成 chkrootkit/猎手 (搜索空密码、新的 setuid 文件等)并在出现这些情况时向您发出警告 包 检测条件。 尽管它有明确的名称,但您不应该仅仅依靠它来
确保 Linux 系统是安全的。
这个 chkrootkit 和 猎手 包检测到某些 的rootkit 可能安装在系统上。 提醒一下,这些软件旨在隐藏系统的妥协,同时谨慎地保持对机器的控制。 这些测试并非 100% 可靠,但它们通常可以将您的注意力吸引到潜在问题上。
这个 检查安全 和 检查安全 由几个对系统执行基本检查的小脚本组成 chkrootkit/猎手 (搜索空密码、新的 setuid 文件等)并在出现这些情况时向您发出警告 包 检测条件。 尽管它有明确的名称,但您不应该仅仅依靠它来
确保 Linux 系统是安全的。
这个 chkrootkit 和 猎手 包检测到某些 的rootkit 可能安装在系统上。 提醒一下,这些软件旨在隐藏系统的妥协,同时谨慎地保持对机器的控制。 这些测试并非 100% 可靠,但它们通常可以将您的注意力吸引到潜在问题上。