AIDE

发表于 | 阅读次数:
字数统计: 645 | 阅读时长 ≈ 3

AIDE入门

AIDE是一个实现系统功能完整性检查的工具

如果有黑客使用木马程序替换掉你系统上的ps程序,以使用ps命令查不到正在运行的木马程序;
如果入侵者发现管理员正在运行crontab作业,也有可能替换掉crontab程序等等。
此时,就可以使用aide监控这些应用程序,以避免被篡改。

yum安装AIDE

1
2
3
4
5
6
7
8
		$ yum -y install aide
```  

### aide命令的使用

**初始化生成数据库**
```bash
		$ aide -i

生成的数据库放在/var/lib/aide目录中

对比被监控文件是否有变化

1
2
$ mv /var/lib/aide/aide.db.{new.gz,gz} "修改数据库名称用于对比"
$ aide -C

aide配置监控规则

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
[root@node01 ~]#sed -n '/^[^#]/p' /etc/aide.conf 
@@define DBDIR /var/lib/aide "数据库存放目录"
@@define LOGDIR /var/log/aide "日志存放目录"
database=file:@@{DBDIR}/aide.db.gz "用于比较的数据库,默认不会自动生成,需要改名"
database_out=file:@@{DBDIR}/aide.db.new.gz "使用aide -i生成的数据库"
gzip_dbout=yes "是否支持压缩"
verbose=5
report_url=file:@@{LOGDIR}/aide.log
report_url=stdout
###These are the default rules. "监控规则"
#
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#b:      block count
#m:      mtime
#a:      atime
#c:      ctime
#S:      check for growing size
#acl:           Access Control Lists
#selinux        SELinux security context
#xattrs:        Extended file attributes
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
#sha512:        sha512 checksum
#rmd160: rmd160 checksum
#tiger:  tiger checksum

#haval:  haval checksum (MHASH only)
#gost:   gost checksum (MHASH only)
#crc32:  crc32 checksum (MHASH only)
#whirlpool:     whirlpool checksum (MHASH only)
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256 "自定义监控规则组合"
ALLXTRAHASHES = sha1+rmd160+sha256+sha512+tiger
EVERYTHING = R+ALLXTRAHASHES
NORMAL = sha256
DIR = p+i+n+u+g+acl+selinux+xattrs
PERMS = p+u+g+acl+selinux+xattrs
STATIC = p+u+g+acl+selinux+xattrs+i+n+b+c+ftype
LOG = p+u+g+n+acl+selinux+ftype
CONTENT = sha256+ftype
CONTENT_EX = sha256+ftype+p+u+g+n+acl+selinux+xattrs
DATAONLY =  p+n+u+g+s+acl+selinux+xattrs+sha256

/boot/ DIR "监控的目录,以及用哪个规则监控"

导入光盘文件

1
2
[root@node01 ~]#cobbler import --path=/misc/cd/ --name=centos-6.10-x86_64 --arch=x86_64
[root@node01 ~]#cobbler import --path=/app/httpd/htdocs/centos/7/os/x86_64 --name=centos-7.5-x86_64 --arch=x86_64

此时会自动在/var/lib/cobbler/kickstarts/文件夹下生成两个最小化安装的应答文件。
在新建主机启动就可以自动基于http最小化安装系统。

查看系统distro列表

1
2
3
4
[root@node01 ~]#cobbler distro list
  centos-6.10-x86_64
  centos-7.5-x86_64
  centos7.5-x86_64

查看引导文件列表

1
2
3
4
[root@node01 ~]#cobbler profile list
  centos-6.10-x86_64
  centos-7.5-x86_64
  centos7.5-x86_64

导入自制的应答文件

1
[root@node01 ~]#cobbler profile add --name=centos-7.5-x86_64_mini --distro=centos7.5-x86_64 --kickstart=/var/lib/cobbler/kickstarts/ks7-mini.cfh
分享到: 收藏夹 复制网址 邮件 微信 QQ空间 腾讯微博 豆瓣 一键分享 更多