AIDE入侵检测

最新推荐文章于 2024-06-01 07:39:39 发布
最新推荐文章于 2024-06-01 07:39:39 发布
阅读量331 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sda1_hacker/article/details/102906521

检测在某个时间段内某个目录下发生了哪些变化。

1、安装以及相关配置
yum -y install aide

vim /etc/aide.conf
@@define DBDIR /var/lib/aide	#数据库目录
@@define LOGDIR /var/log/aide	#日志目录
database=file:@@{DBDIR}/aide.db.gz	#基本数据文件
database_out=file:@@{DBDIR}/aide.db.new.gz	#更新后的数据文件

# 下面的内容是一些规则
#p:      permissions
#i:      inode:
#n:      number of links
#u:      user
#g:      group
#s:      size
#md5:    md5 checksum
#sha1:   sha1 checksum
#sha256:        sha256 checksum
...
FIPSR = p+i+n+u+g+s+m+c+acl+selinux+xattrs+sha256	#检测规则的组合,54行
...
# 下面是对目录进行了相关的检测,99行开始
/boot/   CONTENT_EX
/bin/    CONTENT_EX
/sbin/   CONTENT_EX
/lib/    CONTENT_EX
/lib64/  CONTENT_EX
/opt/    CONTENT



2、测试:
由于配置文件中检测的目录太多,会影响执行的速度。
为了方便测试,需要自定义检测目录。
sed -i '99,312s/^/#/' /etc/aide.conf
vim +98 /etc/aide.conf
/root/ FIPSR	#自定义检测目录,指定检测规则

aide --init	#初始化,在/var/lib/aide目录下会产生文件,aide.db.new.gz

在入侵之前将数据库文件进行备份
mv /var/lib/aide/aide.db.new.gz /media	#移动到u盘,光盘都可以
cp /media/aide.db.new.gz /var/lib/aide/aide.db.gz	#和配置文件中database=file:@@{DBDIR}/aide.db.gz对应,基本数据文件

在/root./目录下创建一系列文件
echo 123456 > aa.txt
echo 789456123 > bb.txt

aide --check	#进行检测
# 根据配置文件中定义的目录生成检测信息,
# 并且和/var/lib/aide/aide.db.gz 进行比较,把对比的结果输出到屏幕

在这里插入图片描述

写总结的第六十天!!!

使用AIDE工具做入侵检测
KHOST的博客
08-05 634
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。 AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。
AIDE 系统入侵检测
Ghostwang2020的博客
07-03 852
AIDE 系统入侵检测 Advanced Intrusion Detection Environment 是系统自带的一个入侵检测工具,主要目的是检查文件的一致性,包括文件是否被更改,文件属性是否发生变化, 文件被修改的时间等。一旦出现AIDE监控的文件被篡改的情况,就会发出警告,通知系统管理员。 6.1 配置AIDE 6.1.1安装包:]# yum -y install aide 6.1.2 查看配置文件/etc/aide.conf 里的默认规则 ]# cat /etc/aide.conf | grep
AIDE入侵检测系统
行走的皮卡丘
10-08 806
Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。 使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。
Linux系统入侵检测
Mr.Wang的博客
09-25 603
使用AIDE入侵检测 1.安装aide软件 2.执行初始化校验操作,生成校验数据库文件 3.备份数据库文件到安全的地方 4.使用数据库执行入侵检测操作 方法说明: Aide通过检查数据文件的权限、时间、大小、哈希值等,校验数据的完整性。 使用Aide需要在数据没有被破坏前,对数据完成初始化校验,生成校验数据库文件,在被攻击后,可以使用数据库文件,快速定位被人篡改的文件。 步骤一:部署AIDE入侵...
Linux中AIDE入侵检测系统的应用.pdf
09-06
Linux 中 AIDE 入侵检测系统的应用 Linux 系统的安全性问题变得越来越重要,随着 Linux 系统在实际生产环境中的应用越来越广泛。Linux 系统提供了非常多的安全机制,本文就目前应用的比较多而且也比较方便的一种...
10.4: 加密与解密 、 AIDE入侵检测系统 、 扫描与抓包 、 总结和答疑.docx
03-05
-linux加密与解密、AIDE入侵检测系统、扫描与抓包 在 Linux 系统中,加密与解密是一项非常重要的安全机制。通过加密,可以保护数据的机密性和完整性。本文将介绍 Linux 中的加密与解密应用,包括对称加密和非对称...
使用GPG进行加密解密与AIDE入侵检测系统实践
"该文档主要介绍了Linux环境下的加密与解密技术、AIDE入侵检测系统的应用以及扫描与抓包分析,旨在提升网络安全和数据保护能力。文档通过具体案例详细讲解了如何使用GPG工具进行加密、解密和签名操作,同时提到了MD5...
使用AIDE入侵检测
01-07
2案例2:使用AIDE入侵检测 2.1问题 本案例要求熟悉Linux主机环境下的常用安全工具,完成以下任务操作: 安装aide软件 ...步骤一:部署AIDE入侵检测系统 1)安装软件包 [root@proxy ~]# yum -y insta
安全入侵检测AIDE
09-18 328
正文 0x00 为何要用 入侵检测,安全领域当中最基本也是最好用的一种攻击检测方式。对于我们的服务器来讲,假设被攻击了,...
AIDE: linux 高级入侵检测系统(保证文件完整性)
07-02
AIDE (Advanced intrusion detection environment) is an intrusion detection program. More specifically a file integrity checker.
加密与解密 入侵检测 扫描与抓包
weixin_30417487的博客
04-28 915
Top NSD SECURITY DAY02 案例1:加密与解密应用 案例2:使用AIDE入侵检测 案例3:扫描与抓包分析 1 案例1:加密与解密应用 1.1 问题 本案例要求采用gpg工具实现加/解密及软件签名等功能,分别完成以下任务: 检查文件的MD5校验和 使用GPG实现文件机密性保护,加密和解密操作 使用GPG的签名机制,验证数据的来源正确性 1....
CentOS7下的AIDE***检测配置
weixin_34379433的博客
06-22 260
1、AIDE的简单介绍 AIDE通过扫描一台(未被篡改)的Linux服务器的文件系统来构建文件属性数据库,以后将服务器文件属性与数据库中的进行校对,然后在服务器运行时对被修改的索引了的文件发出警告。出于这个原因,AIDE必须在系统更新后或其配置文件进行合法修改后重新对受保护的文件做索引。2、安装并简单配置aide[root@LVS-DR01~]#yum-yinsta...
Linux安全之AIDE系统入侵检测工具安装和使用
最新发布
qq_53058639的博客
06-01 1406
AIDE,全称为Advanced Intrusion DetectionEnvironment,是一个主要用于检测文件完整性的入侵检测工具。它能够构建一个指定文件的数据库,并使用aide.conf作为其配置文件。AIDE数据库能够保存文件的各种属性,包括权限、索引节点序号、所属用户、所属用户组、文件大小、最后修改时间、创建时间、最后访问时间、增加的大小以及连接数等。此外,AIDE还支持多种算法,如sha1、md5、rmd160、tiger等,以密文形式建立每个文件的校验码或散列号。
入侵检测系统:AIDE
小六的昵称已被使用
03-10 666
title: 入侵检测系统:AIDE categories: Linux tags: - AIDE timezone: Asia/Shanghai date: 2019-03-10 所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。 这款工具年纪也不小了,相对来同类工具Tripwire说,它的操作也更加简单。它需要对系...
linux入侵检测工具之aide
xpt211314的博客
07-24 1727
AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。 它通过系统的“缩影”来进行对比,将期间的操作记录清楚的继续下来。比如说一个黑客在你的服务器里做了一些手脚,或者抓你的服务器去当矿工了,如果有了aide,进过对比就会知道操作记录,从而知道对方增、删、改、查了什么文件,这样修改回来就可以了; ...
加密与解密 AIDE入侵检测系统 扫描与抓包
jon_stark的博客
05-15 593
对称加密:加密/解密用同一个密钥对称加密算法:DES,AES非对称加密:加密/解密用不同的密钥(公钥,私钥)非对称加密算法:RSA,DSAHash散列技术:MD5 (md5sum  文件名),SHA一  使用GPG对称加密方式保护文件1)安装gnupg2    [root@vpn ~]# yum -y install gnupg22)使用gpg对称加密算法加密数据的操作    [root@vpn ...
AIDE文件系统高级入侵检测
流沙
12-07 1188
AIDE --(文件系统)高级入侵检测 1、aide的概述 AIDE(Adevanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文本的完整性。  AIDE能够构造一个指定文档的数据库,他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(ino
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值