RH413企业安全加固 第8章 监视文件系统变更
来源:互联网 发布:正装皮鞋搭配 知乎 编辑:程序博客网 时间:2024/04/26 07:19
第8章 监视文件系统变更(注意:红字)
环境配置
1、RHEL6.4 SERVER IP:10.10.10.221
2、RHEL6.4 CLIENT IP:10.10.10.223
1、aide工具主要做入侵检测,先创建原数据库跟更改的系统的文件进行比对来检测文件系统发生的变化。
2、RHEL6.4 CLIENT安装aide包
[root@student ~]# yum install -y aide
Loaded plugins: product-id, refresh-packagekit, security, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package aide.x86_64 0:0.14-3.el6_2.2 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=============================================================================================================================================================
Package Arch Version Repository Size
=============================================================================================================================================================
Installing:
aide x86_64 0.14-3.el6_2.2 aa 123 k
Transaction Summary
=============================================================================================================================================================
Install 1 Package(s)
Total download size: 123 k
Installed size: 297 k
Downloading Packages:
aide-0.14-3.el6_2.2.x86_64.rpm | 123 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : aide-0.14-3.el6_2.2.x86_64 1/1
aa/productid | 1.7 kB 00:00
Verifying : aide-0.14-3.el6_2.2.x86_64 1/1
Installed:
aide.x86_64 0:0.14-3.el6_2.2
Complete!
3、配置/etc/aide.conf文件
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
默认存放的数据库位置和日志存放位置
database=file:@@{DBDIR}/aide.db.gz
默认读取的数据为aide.db.gz
#p: permissions --权限
#i: inode: --节点
#n: number of links --链接数
#u: user --用户
#g: group --组
#s: size --大小
#b: block count --块数
#m: mtime --最后的更新时间
#a: atime --最后的访问时间
#c: ctime --最后的创建时间
#S: check for growing size
#acl: Access Control Lists
#selinux SELinux security context
#xattrs: Extended file attributes
#md5: md5 checksum
#R: p+i+n+u+g+s+m+c+acl+selinux+xattrs+md5
#L: p+i+n+u+g+acl+selinux+xattrs
#E: Empty group
#>: Growing logfile p+u+g+i+n+S+acl+selinux+xattrs
# Next decide what directories/files you want in the database.
默认监控的目录
/boot NORMAL
/bin NORMAL
/sbin NORMAL
/lib NORMAL
/lib64 NORMAL
/opt NORMAL
/usr NORMAL
/root NORMAL
# These are too volatile
!/usr/src
!/usr/tmp
NORMAL = R+rmd160+sha256 --这是NORMAL方式
4、做文件特殊监控
1)在/etc/aide.conf配置文件最后一行添加一行,/etc/important NORMAL
将从默认监控的目录开始到做后都注释掉只留/etc/important NORMAL
这行,如何注释掉请使用ctrl+v接着将把要注释的行选上,接着按大
写“I”,接着按“#”,最后按ESC键2次。
2) 创建/etc/important文件
[root@student ~]# cat /etc/important
Strom
5、生成初始化数据库
[root@student ~]# aide --init
AIDE, version 0.14
### AIDE database at /var/lib/aide/aide.db.new.gz initialized.
6、重命名初始化数据库防止新的数据覆盖
[root@student ~]# mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
7、执行系统检测
[root@student ~]# aide --check
AIDE, version 0.14
### All files match AIDE database. Looks okay!
8、改变要检测的系统文件
[root@student ~]# echo strom_wind >> /etc/important
9、再次检测系统文件是否被改动过
[root@student ~]# aide --check
AIDE found differences between database and filesystem!!
Start timestamp: 2016-01-19 08:08:42
Summary:
Total number of files: 3
Added files: 0
Removed files: 0
Changed files: 1
---------------------------------------------------
Changed files:
---------------------------------------------------
changed: /etc/important
--------------------------------------------------
Detailed information about changes:
---------------------------------------------------
File: /etc/important
Size : 7 , 18
Mtime : 2016-01-19 08:00:39 , 2016-01-19 08:07:59
Ctime : 2016-01-19 08:00:39 , 2016-01-19 08:07:59
MD5 : cp7rxRDI/M88Fhn6Zt9VGA== , wOlYQsO1nhVadqOcwNaQHg==
RMD160 : rJL55/zDPiUsXEvUO/puUU/4oEQ= , 9F6F/8ju5w585NLfY49P2OFRFqo=
SHA256 : n0WcSvFX9Rey7SWtwQC990oOUnpVxroH , dDZRM9+HBzEk6yCtPIm2NjXnLuTmcK+w
- RH413企业安全加固 第8章 监视文件系统变更
- RH413企业安全加固 第5章 管理文件系统
- RH413企业安全加固 第1章 RH413环境搭建
- RH413企业安全加固 第4章 创建文件系统(加密解密)
- RH413企业安全加固 第2章 跟踪安全更新
- RH413企业安全加固 第3章 管理软件包安装
- RH413企业安全加固 第6章 管理特殊权限
- RH413企业安全加固 第9章 管理用户账户
- RH413企业安全加固 第10章 管理 PAM
- RH413企业安全加固 第12章 安装 CA 中心
- RH413企业安全加固 第13章 管理 CA 中心
- RH413企业安全加固 第14章 配置系统日志
- RH413企业安全加固 第15章 配置系统审计
- RH413企业安全加固 第16章 控制网络服务访问
- RH413企业安全加固 第11章 加强控制台安全 第一节
- RH413企业安全加固 第11章 加强控制台安全 第二节
- RH413企业安全加固 第7章 管理附加文件权限
- RH413企业安全加固 第10章 第二节 管理 PAM
- 四个地址的转换进行分析
- 指定具体的时间,根据传入的值对当前时间做相应的操作
- hibernate 数据库问题
- Swarm创建docker集群:服务发现-etcd
- Android:实现一个带动画轮播效果的公告条。
- RH413企业安全加固 第8章 监视文件系统变更
- 迁移应用数据库到MySQL Database on Azure
- php读取某文件夹下的所有文件,并按文件的修改时间降序输出
- linux-0.12/boot/bootsect.S源代码阅读
- gulp实现引用文件内容到该页面
- vi编辑器命令
- 达观数据文辉:Hadoop和Hive使用经验
- 编译与解释
- python第三方库系列之二十六--不知道被谁删了微信好友
