ubuntu系统如何配置***检测系统AIDE?
服务器由于对互联网提供服务,所以面临这各种各样的安全问题,******并篡改文件是比较常见的服务器风险。所以,对系统的重要文件进行完整性监视并及时发出预警,是确保服务器安全的一个重要手段。
对于大型解决方案,建议使用知名的工具,如Tripwire Enterprise。然而,许多中小型公司可能无法负担这一费用。那么,企业可以用什么来满足这一要求呢?AIDE(高级***检测环境)是一个不错的选择。
AIDE是一个非常简单(但功能强大)的程序,它从cron运行,检查您的文件(通常是一个晚上一次),它将扫描您的系统,寻找其监视的目录中的任何更改。AIDE根据从配置文件中找到的正则表达式规则创建一个数据库。一旦这个数据库被初始化,它就可以用来验证文件的完整性。
在基于Ubuntu或Debian的系统上,您可以通过以下方式安装
apt-get install aide
现在要设置一些基本配置,如电子邮件通知、更新类型等,可以参考以下内容修改,具体含义配置文件有说明::
vim /etc/default/aide
...
FQDN=web01.domain.com
MAILSUBJ="Daily AIDE report for $FQDN"
QUIETREPORTS=no
COMMAND=update
COPYNEWDB=yes...
Debian/Ubuntu配置AIDE的方法与CentOS/RHEL稍有些不同。所有配置文件都驻留在/etc/aide/aide.conf.d/,文件的编号被AIDE用来决定处理这些文件的顺序。安装时内置了许多规则,也可以用序号文件的方式创建自配置文件
无论何时对AIDE配置进行更改,都需要重建AIDE运行时配置,并初始化数据库。
update-aide.conf
aideinit -y -f
现在比如对/etc/hosts进行修改,然后运行aide看看它是否检测到了变化,并通过电子邮件发送报告
/etc/cron.daily/aide
如果您只想快速测试AIDE,则可以通过以下方式执行一次性扫描:
aide.wrapper
要接收每夜的AIDE报告,不需要进一步配置,因为Ubuntu/Debian已经设置了一个cron作业。
.
下面是AIDE的一个报告样本:
Start timestamp: 2016-03-07 13:16:35
Summary:
Total number of files: 77937
Added files: 2
Removed files: 3
Changed files: 7
Added files:
f++++++++++++++++: /var/log/aide/aide.log.0
d++++++++++++++++: /var/www/vhosts/domain.com/new
Removed files:
f----------------: /var/www/vhosts/domain.com/blah
f----------------: /var/www/vhosts/domain.com/test
d----------------: /var/www/vhosts/domain.com/test1
Changed files:
报告列出了文件的修改删除等操作,根据这个报告来判断是不是自己修改的,这有助于您采取主动的安全方法。
©著作权归作者所有:来自51CTO博客作者hzhgz2006的原创作品,如需转载,请注明出处,否则将追究法律责任更多相关文章
- Windows 遍历查找文件夹文件
- Android Studio生成签名文件方法
- Linux发行版的系统目录名称命名规则及用途
- 91.mysql主从配置自动部署
- 软链接与硬链接的区别
- 文件的元数据信息查看及修改文件时间戳信息
- 用查找替换命令删除文件中行首的空白字符
- 不重启JVM,替换掉已经加载的类,偷天换日?
- Mac同名文件夹合并的坑